+ Responder ao Tópico



  1. #1

    Padrão Acessar a Internet da matriz, via VPN, na Filial...

    Montei um servidor em Slack10 c/ 2 serviços, compartilhamento de internet e compartilhamento de InterLan (serviço da Brasil Telecom para interligação de redes), usando iproute e iptables. Na Matriz eu "pingo" a Filial, mas da Filial eu só acesso as maquinas da Matriz através de regras de Iptables, ex:

    iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 139 -j DNAT --to-destination 10.3.46.10:139
    iptables -t nat -A PREROUTING -i eth2 -p udp --dport 139 -j DNAT --to-destination 10.3.46.10:139

    iptables -t nat -A POSTROUTING -o eth0 -p tcp -s 10.3.47.0/24 --dport 139 -j SNAT --to-source 10.3.46.4
    iptables -t nat -A POSTROUTING -o eth0 -p udp -s 10.3.47.0/24 --dport 139 -j SNAT --to-source 10.3.46.4

    iptables -I FORWARD -s 10.3.46.4 -p tcp --sport 139 -j ACCEPT
    iptables -I FORWARD -s 10.3.46.4 -p tcp --dport 139 -j ACCEPT
    iptables -I FORWARD -s 10.3.46.4 -p udp --sport 139 -j ACCEPT
    iptables -I FORWARD -s 10.3.46.4 -p udp --dport 139 -j ACCEPT

    Porém sergiu um novo desafio, permitir a navegação na Filial utilizando a Internet da Matriz, via InterLan, isso é possivel?

    Desde ja agradeço a atenção.

  2. #2
    VoipOnline
    Visitante

    Padrão Acessar a Internet da matriz, via VPN, na Filial...

    Não entendi muito bem o que vc deseja fazer. esclareça melhor. vc por acaso deseja navegar na web usando a Intranet q vc desenvolveu?
    Ou seja< vai usar a VPN para se conectar ao provedor de internet da Matriz para receber acesso a rede web?



  3. #3

    Padrão Acessar a Internet da matriz, via VPN, na Filial...

    Aew,

    Na matriz vc tem IP´s validos?? ou voce quer fazer um NAT para a filial usar?


    O seu Servidor pinga o ponto-filial ?

    nunca fiz dessa forma, mas tenta fazer um NAT...

    outra coisa.. a InterLan da BrTelecom permiti isso?? sera que nao é bloqueado ?

    flws

  4. #4

    Padrão Acessar a Internet da matriz, via VPN, na Filial...

    Citação Postado originalmente por VoipOnline
    Não entendi muito bem o que vc deseja fazer. esclareça melhor. vc por acaso deseja navegar na web usando a Intranet q vc desenvolveu?
    Ou seja< vai usar a VPN para se conectar ao provedor de internet da Matriz para receber acesso a rede web?
    Sim, eu tenho a VPN que conecta a filial ao servidor da matriz, que ja compartilha a internet na matriz, o que eu qro agora é usar tmb a internet da matriz na filial.



  5. #5

    Padrão Acessar a Internet da matriz, via VPN, na Filial...

    Citação Postado originalmente por cebolark
    Aew,

    Na matriz vc tem IP´s validos?? ou voce quer fazer um NAT para a filial usar?


    O seu Servidor pinga o ponto-filial ?

    nunca fiz dessa forma, mas tenta fazer um NAT...

    outra coisa.. a InterLan da BrTelecom permiti isso?? sera que nao é bloqueado ?

    flws
    Sim, da matriz eu pingo as maquinas da filial, mais da filial eu só pingo o servidor da matriz.
    Eu gostaria de tentar NAT, mais nem imagino por onde começar.
    Creio q naum seje bloqueado, o q a InterLan faz é só interligar os pontos, permitindo que de matriz eu acesse a filial e vice-versa, porém pra isso acontecer as maquinas da filial tem de ter como gateway o roteador da filial e as maquinas da matriz tem que ter como gateway o roteador da matriz.

  6. #6
    karfax
    Visitante

    Padrão Acessar a Internet da matriz, via VPN, na Filial...

    É simples, defina o ip VPN remoto como default gateway da tua rede.

    Sds,



  7. #7

    Padrão Acessar a Internet da matriz, via VPN, na Filial...

    Citação Postado originalmente por karfax
    É simples, defina o ip VPN remoto como default gateway da tua rede.

    Sds,
    O problema é que para a matriz "enxergar" a filial o gateway padrão da matriz tem que ser o IP do roteador da matriz, e para a filial "enxergar" a matriz o gateway padrão da filial tem de ser o ip do roteador da filial.

  8. #8
    CRASH2k
    Visitante

    Padrão Acessar a Internet da matriz, via VPN, na Filial...

    Isso ai é rolo com roteamento heim... vc precisaria fazer alguns acertos nas tabelas de roteamento de cada Interlan. Na matriz não defina como default gw o roteador Interlan da filial. Simplesmente adicione as rotas estáticas - rotas de rede (isto já será suficiente). O default gateway no roteador Interlan da matriz precisaria ser o seu servidor Linux. No Linux vc faz os acertos de NAT conforme julgar necessário. Outra alternativa seria criar um esquema de tunelamente diretamente entre um gateway linux na matriz e outro na filial. Qdo o tunel for estabelecido basta que a filial use a interface de tunel como default gw.

    Existem várias situações que podem ser pensadas. Vc tem MSN?



  9. #9
    netricardo
    Visitante

    Padrão Acessar a Internet da matriz, via VPN, na Filial...

    Nao faz pelo msn nao. Posta ai pra gente saber como foi resolvido.

  10. #10
    netricardo
    Visitante

    Padrão Acessar a Internet da matriz, via VPN, na Filial...

    Pessoal. Seguinte...
    Tenho uma empresa com 2 filiais interligadas via roteador.
    No Servidor principal tenho a internet compartilhada e as regras de roteamento:
    route add -net 192.168.2.0 gw 192.168.1.1 netmask 255.255.255.0 dev eth1
    route add -net 192.168.3.0 gw 192.168.1.1 netmask 255.255.255.0 dev eth1

    Onde 192.168.2.1 roteador filial 1 e 192.168.3.1 roteador filial 2
    192.168.1.1 roteador matriz.
    Com esses comandos eles já acessam a internet via Squid.
    Nao precisei acrescentar mais nada.



  11. #11

    Padrão Acessar a Internet da matriz, via VPN, na Filial...

    Com a estrurura q eu tenho hj eu acesso o servidor da matriz pela filial. porém há a necessidade tmb de acessar a internet.

    Na matriz eu tenho:

    Usuário
    IP: 10.3.46.10
    Gateway: 10.3.46.4

    Servidor:
    eth0: 10.3.46.4
    eth1: 200.xxx.xxx.xxx
    eth2: 10.3.45.6
    #----------------------------------------------------------------------------
    # InterLan
    ifconfig eth2 10.3.45.6 netmask 255.255.255.0 broadcast 10.3.45.255 up
    ip route add default via 10.3.45.5 table itlan
    ip rule add to 10.3.45.0/24 pref 20 table 2
    ip rule add to 10.3.47.0/24 pref 20 table 2
    ip rule add to 192.168.0.0/24 pref 20 table 2
    #----------------------------------------------------------------------------
    # IpTurbo
    ifconfig eth1 200.xxx.xxx.xxx netmask 255.255.255.248 up
    ip route add default via 200.xxx.xxx.xxx table net
    ip rule add to all pref 30 table 3
    #----------------------------------------------------------------------------

    Roteador
    LAN: 10.3.45.5
    WAN: 192.168.0.1

    Na Filial tenho:

    Usuário:
    IP: 10.3.47.10
    Gateway: 10.3.47.5

    Roteador:
    LAN: 10.3.47.5
    WAN: 192.168.0.2

    Com essa configuração da matriz eu faço:
    1 - pingo o roteador da filial
    2 - pingo as todas maquinas da filial
    3 - Acesso todas as maquinas da filial

    Com essa configuração da filial eu faço:
    1 - pingo o roteador da matriz
    2 - pingo somente a eth2 do servidor da matriz
    3 - acesso outras maquinas somente c/ regras de Iptables (NAT), redirecionando as portas.

    O que eu preciso agora é navegar na filial usando a internet q esta compartilhada no servidor da matriz na eth1. Pensei em usar NAT fazendo redirecionamentos, mais não sei c eh possivel.
    Pensei tmb em colocar como gateway do roteador da matriz o ip do servidor, mais tmb não sei c da certo. O Roteador é um Cisco 1700 (1721)

    Desde ja agradeço a atenção de todos...

    P.s.: Meu msn ta nesse icone abaixo (MSNM) e c conseuir resolver esse desafio certamente colocarei a disposição do forum, ja q uma mão lava a outra sempre...

  12. #12
    CRASH2k
    Visitante

    Padrão Acessar a Internet da matriz, via VPN, na Filial...

    A primeira coisa que vc precisa fazer é validar o roteamento de pacotes originados por 10.3.45.5 (seu gw da matriz) e destinado as estações da rede 10.3.46. Ou o seu roteador Interlan não tem rota para esta rede ou o seu gateway/fw Linux esta negando o forward neste sentido.

    Faz assim:
    telnet 10.3.45.5
    "digite a senha de acesso simples"
    ena
    "digite a senha definida para enable"
    ping
    "<ENTER> em Protocol [IP]"
    "10.3.46.10"
    "<ENTER> para o resto"

    De preferência qdo vc fizer isto deixe um terminal aberto com o tcpdump sniffando este tráfego. Assim vc já consegue saber de imediato se o pacote esta sendo repassado ao Linux. Algo como:
    tcpdump -i any icmp and dst host 10.3.46.10 -n

    Aparentemente, basta conferir se o roteador da matriz tem uma rota similar a (use o comando sh run (após o ena)) :
    ip route 10.3.46.0 255.255.255.0 10.3.45.6



  13. #13
    CRASH2k
    Visitante

    Padrão Acessar a Internet da matriz, via VPN, na Filial...

    Aliás, o que comentei seria para que a filial tivesse "livre" acesso a matriz. Para fornecer internet a coisa muda um pouco mais.

    Para disponibilizar a navegação (HTTP) basta disponibilizar o Squid a filial (coisa que já esta ok). Mas se você também quiser fazer roteamento de pacotes para Internet, ai a coisa complica um pouco mais.

    No roteamento para Internet, vc precisaria de algo similiar a:
    Em 10.3.45.5
    ip route 0.0.0.0 0.0.0.0 10.3.45.6
    ip route 10.3.47.0 255.255.255.0 IP_WAN_EM_10_3_47_5

    "Sem falar nas permissões de roteamento no Linux"

    Talvez o ideal fosse vc fazer o seguinte:

    Instale um servidor de VPN no gateway Linux da Matriz (openswan ou o OpenVPN) - o openvpn é muito bom e simples. Instale um "cliente" OpenVPN na filial (um gateway Linux na filial tb). Use a interface de VPN da filial como o default gateway no roteador Linux da filial. Fazendo isto, vc consegue disponibilizar a Internet sem mudar grandes coisas nos roteadores da BrT.

    Bom, tem várias formas... no final da tarde entro no MSN, se vc estiver online e quiser trocar umas idéias!

  14. #14
    Visitante

    Padrão Acessar a Internet da matriz, via VPN, na Filial...

    Muito obrigado a todos pela ajuda, resolvi o problema colocando como gateway do roteador da matriz o IP 10.3.46.5.