Acessar a Internet da matriz, via VPN, na Filial...

**EduLucas** · 02-06-2005, 09:54

Montei um servidor em Slack10 c/ 2 serviços, compartilhamento de internet e compartilhamento de InterLan (serviço da Brasil Telecom para interligação de redes), usando iproute e iptables. Na Matriz eu "pingo" a Filial, mas da Filial eu só acesso as maquinas da Matriz através de regras de Iptables, ex:

iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 139 -j DNAT --to-destination 10.3.46.10:139
iptables -t nat -A PREROUTING -i eth2 -p udp --dport 139 -j DNAT --to-destination 10.3.46.10:139

iptables -t nat -A POSTROUTING -o eth0 -p tcp -s 10.3.47.0/24 --dport 139 -j SNAT --to-source 10.3.46.4
iptables -t nat -A POSTROUTING -o eth0 -p udp -s 10.3.47.0/24 --dport 139 -j SNAT --to-source 10.3.46.4

iptables -I FORWARD -s 10.3.46.4 -p tcp --sport 139 -j ACCEPT
iptables -I FORWARD -s 10.3.46.4 -p tcp --dport 139 -j ACCEPT
iptables -I FORWARD -s 10.3.46.4 -p udp --sport 139 -j ACCEPT
iptables -I FORWARD -s 10.3.46.4 -p udp --dport 139 -j ACCEPT

Porém sergiu um novo desafio, permitir a navegação na Filial utilizando a Internet da Matriz, via InterLan, isso é possivel?

Desde ja agradeço a atenção.

VoipOnline · 02-06-2005, 10:02

Não entendi muito bem o que vc deseja fazer. esclareça melhor. vc por acaso deseja navegar na web usando a Intranet q vc desenvolveu?
Ou seja< vai usar a VPN para se conectar ao provedor de internet da Matriz para receber acesso a rede web?

**cebolark** · 02-06-2005, 10:03

Aew,

Na matriz vc tem IP´s validos?? ou voce quer fazer um NAT para a filial usar?

O seu Servidor pinga o ponto-filial ?

nunca fiz dessa forma, mas tenta fazer um NAT...

outra coisa.. a InterLan da BrTelecom permiti isso?? sera que nao é bloqueado ?

flws

**EduLucas** · 02-06-2005, 10:51

Postado originalmente por VoipOnline

Não entendi muito bem o que vc deseja fazer. esclareça melhor. vc por acaso deseja navegar na web usando a Intranet q vc desenvolveu?
Ou seja< vai usar a VPN para se conectar ao provedor de internet da Matriz para receber acesso a rede web?

Sim, eu tenho a VPN que conecta a filial ao servidor da matriz, que ja compartilha a internet na matriz, o que eu qro agora é usar tmb a internet da matriz na filial.

**EduLucas** · 02-06-2005, 10:55

Postado originalmente por cebolark

Aew,

Na matriz vc tem IP´s validos?? ou voce quer fazer um NAT para a filial usar?

O seu Servidor pinga o ponto-filial ?

nunca fiz dessa forma, mas tenta fazer um NAT...

outra coisa.. a InterLan da BrTelecom permiti isso?? sera que nao é bloqueado ?

flws

Sim, da matriz eu pingo as maquinas da filial, mais da filial eu só pingo o servidor da matriz.
Eu gostaria de tentar NAT, mais nem imagino por onde começar.
Creio q naum seje bloqueado, o q a InterLan faz é só interligar os pontos, permitindo que de matriz eu acesse a filial e vice-versa, porém pra isso acontecer as maquinas da filial tem de ter como gateway o roteador da filial e as maquinas da matriz tem que ter como gateway o roteador da matriz.

karfax · 03-06-2005, 01:35

É simples, defina o ip VPN remoto como default gateway da tua rede.

Sds,

**EduLucas** · 03-06-2005, 08:33

Postado originalmente por karfax

É simples, defina o ip VPN remoto como default gateway da tua rede.

Sds,

O problema é que para a matriz "enxergar" a filial o gateway padrão da matriz tem que ser o IP do roteador da matriz, e para a filial "enxergar" a matriz o gateway padrão da filial tem de ser o ip do roteador da filial.

CRASH2k · 03-06-2005, 09:49

Isso ai é rolo com roteamento heim... vc precisaria fazer alguns acertos nas tabelas de roteamento de cada Interlan. Na matriz não defina como default gw o roteador Interlan da filial. Simplesmente adicione as rotas estáticas - rotas de rede (isto já será suficiente). O default gateway no roteador Interlan da matriz precisaria ser o seu servidor Linux. No Linux vc faz os acertos de NAT conforme julgar necessário. Outra alternativa seria criar um esquema de tunelamente diretamente entre um gateway linux na matriz e outro na filial. Qdo o tunel for estabelecido basta que a filial use a interface de tunel como default gw.

Existem várias situações que podem ser pensadas. Vc tem MSN?

netricardo · 03-06-2005, 10:03

Nao faz pelo msn nao. Posta ai pra gente saber como foi resolvido.

netricardo · 03-06-2005, 10:14

Pessoal. Seguinte...
Tenho uma empresa com 2 filiais interligadas via roteador.
No Servidor principal tenho a internet compartilhada e as regras de roteamento:
route add -net 192.168.2.0 gw 192.168.1.1 netmask 255.255.255.0 dev eth1
route add -net 192.168.3.0 gw 192.168.1.1 netmask 255.255.255.0 dev eth1

Onde 192.168.2.1 roteador filial 1 e 192.168.3.1 roteador filial 2
192.168.1.1 roteador matriz.
Com esses comandos eles já acessam a internet via Squid.
Nao precisei acrescentar mais nada.

**EduLucas** · 03-06-2005, 11:58

Com a estrurura q eu tenho hj eu acesso o servidor da matriz pela filial. porém há a necessidade tmb de acessar a internet.

Na matriz eu tenho:

Usuário
IP: 10.3.46.10
Gateway: 10.3.46.4

Servidor:
eth0: 10.3.46.4
eth1: 200.xxx.xxx.xxx
eth2: 10.3.45.6
#----------------------------------------------------------------------------
# InterLan
ifconfig eth2 10.3.45.6 netmask 255.255.255.0 broadcast 10.3.45.255 up
ip route add default via 10.3.45.5 table itlan
ip rule add to 10.3.45.0/24 pref 20 table 2
ip rule add to 10.3.47.0/24 pref 20 table 2
ip rule add to 192.168.0.0/24 pref 20 table 2
#----------------------------------------------------------------------------
# IpTurbo
ifconfig eth1 200.xxx.xxx.xxx netmask 255.255.255.248 up
ip route add default via 200.xxx.xxx.xxx table net
ip rule add to all pref 30 table 3
#----------------------------------------------------------------------------

Roteador
LAN: 10.3.45.5
WAN: 192.168.0.1

Na Filial tenho:

Usuário:
IP: 10.3.47.10
Gateway: 10.3.47.5

Roteador:
LAN: 10.3.47.5
WAN: 192.168.0.2

Com essa configuração da matriz eu faço:
1 - pingo o roteador da filial
2 - pingo as todas maquinas da filial
3 - Acesso todas as maquinas da filial

Com essa configuração da filial eu faço:
1 - pingo o roteador da matriz
2 - pingo somente a eth2 do servidor da matriz
3 - acesso outras maquinas somente c/ regras de Iptables (NAT), redirecionando as portas.

O que eu preciso agora é navegar na filial usando a internet q esta compartilhada no servidor da matriz na eth1. Pensei em usar NAT fazendo redirecionamentos, mais não sei c eh possivel.
Pensei tmb em colocar como gateway do roteador da matriz o ip do servidor, mais tmb não sei c da certo. O Roteador é um Cisco 1700 (1721)

Desde ja agradeço a atenção de todos...

P.s.: Meu msn ta nesse icone abaixo (MSNM) e c conseuir resolver esse desafio certamente colocarei a disposição do forum, ja q uma mão lava a outra sempre...

CRASH2k · 03-06-2005, 15:23

A primeira coisa que vc precisa fazer é validar o roteamento de pacotes originados por 10.3.45.5 (seu gw da matriz) e destinado as estações da rede 10.3.46. Ou o seu roteador Interlan não tem rota para esta rede ou o seu gateway/fw Linux esta negando o forward neste sentido.

Faz assim:
telnet 10.3.45.5
"digite a senha de acesso simples"
ena
"digite a senha definida para enable"
ping
"<ENTER> em Protocol [IP]"
"10.3.46.10"
"<ENTER> para o resto"

De preferência qdo vc fizer isto deixe um terminal aberto com o tcpdump sniffando este tráfego. Assim vc já consegue saber de imediato se o pacote esta sendo repassado ao Linux. Algo como:
tcpdump -i any icmp and dst host 10.3.46.10 -n

Aparentemente, basta conferir se o roteador da matriz tem uma rota similar a (use o comando sh run (após o ena)) :
ip route 10.3.46.0 255.255.255.0 10.3.45.6

CRASH2k · 03-06-2005, 15:51

Aliás, o que comentei seria para que a filial tivesse "livre" acesso a matriz. Para fornecer internet a coisa muda um pouco mais.

Para disponibilizar a navegação (HTTP) basta disponibilizar o Squid a filial (coisa que já esta ok). Mas se você também quiser fazer roteamento de pacotes para Internet, ai a coisa complica um pouco mais.

No roteamento para Internet, vc precisaria de algo similiar a:
Em 10.3.45.5
ip route 0.0.0.0 0.0.0.0 10.3.45.6
ip route 10.3.47.0 255.255.255.0 IP_WAN_EM_10_3_47_5

"Sem falar nas permissões de roteamento no Linux"

Talvez o ideal fosse vc fazer o seguinte:

Instale um servidor de VPN no gateway Linux da Matriz (openswan ou o OpenVPN) - o openvpn é muito bom e simples. Instale um "cliente" OpenVPN na filial (um gateway Linux na filial tb). Use a interface de VPN da filial como o default gateway no roteador Linux da filial. Fazendo isto, vc consegue disponibilizar a Internet sem mudar grandes coisas nos roteadores da BrT.

Bom, tem várias formas... no final da tarde entro no MSN, se vc estiver online e quiser trocar umas idéias!

13-06-2005, 17:17

Muito obrigado a todos pela ajuda, resolvi o problema colocando como gateway do roteador da matriz o IP 10.3.46.5.

Acessar a Internet da matriz, via VPN, na Filial...

Ferramentas de Tópicos