+ Responder ao Tópico



  1. #1

    Padrão De novo, problemas com vpn

    Galera, ja postei essa duvida aqui, mas vou colocar de novo pois ainda nao resolvi o problema.
    Tenho o seguinte cenário:

    Firewall A
    ip: 10.0.0.110
    subrede atras do NAT: 192.168.10.0/24

    Firewall B
    ip: 10.0.0.120
    subrede atras do NAT: 192.168.20.0/24


    Regras nos dois firewalls (apenas a nivel de teste)

    Firewall A
    # Variaveis
    IFACE=eth0
    LAN=192.168.10.0/24

    # Ativar modulos
    modprobe iptable_nat
    modprobe ip_conntrack
    modprobe ip_nat_ftp

    # Limpar regras
    iptables -t nat -F
    iptables -t filter -F
    iptables -t mangle -F

    # Alterar policiamento
    iptables -P INPUT DROP
    iptables -P FORWARD ACCEPT

    # Compartilhar a conexao
    iptables -t nat -A POSTROUTING -o $IFACE -j MASQUERADE
    echo 1 > /proc/sys/net/ipv4/ip_forward

    #---------------------
    # Regras de INPUT #
    #---------------------

    # Entrar somente o necessario
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    # SSH
    iptables -A INPUT -p tcp --syn --dport 22 -j ACCEPT

    # Ping
    iptables -A INPUT -p icmp -j ACCEPT

    iptables -A INPUT -i ipsec0 -p tcp -j ACCEPT
    iptables -A INPUT -i ipsec0 -p tcp --dport 500 -j ACCEPT
    iptables -A INPUT -i ipsec0 -p udp --dport 500 -j ACCEPT

    #-----------------------
    # Regras de FORWARD #
    #-----------------------

    # Passar somente o necessario
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

    # DNS
    iptables -A FORWARD -o $IFACE -s $LAN -p tcp --dport 53 -j ACCEPT
    iptables -A FORWARD -o $IFACE -s $LAN -p udp --dport 53 -j ACCEPT

    # Web
    iptables -A FORWARD -o $IFACE -s $LAN -p tcp --dport 80 -j ACCEPT

    # SSH
    iptables -A FORWARD -p tcp --syn --dport 22 -j ACCEPT

    # PING
    iptables -A FORWARD -p icmp -j ACCEPT

    iptables -A FORWARD -o ipsec0 -p tcp -j ACCEPT
    iptables -A FORWARD -o ipsec0 -p tcp --dport 500 -j ACCEPT
    iptables -A FORWARD -o ipsec0 -p udp --dport 500 -j ACCEPT

    * Nao vou postar as regras do Firewall B, pois so muda essa linha:
    LAN=192.168.20.0/24

    O que acontece é que, quando os dois fw estao com as politicas de INPUT e FORWARD como DROP, a rede 192.168.10.0/24 nao enxerga, por exemplo com um ping, a rede 192.168.20.0/24.

    Quando eu mudo no Firewall A a politica do FORWARD para ACCEPT e no Firewall B a INPUT para ACCEPT, consigo pingar.

    O que sera que falta liberar nas regras?

    Agradeço a todos, pois estou preciando demais dessa solução!

  2. #2

    Padrão Re: De novo, problemas com vpn

    Qual aplicativo está usando para fazer a VPN ?




  3. #3

    Padrão Re: De novo, problemas com vpn

    openswan

  4. #4

    Padrão Re: De novo, problemas com vpn

    Galera,

    nem acredito: ENFIM RESOLVIDO O PROBLEMA!!

    Faltaram as linhas:

    #--------------------------------
    # VPN - Regras de INPUT #
    #--------------------------------

    # IKE negociations
    iptables -I INPUT -p udp --sport 500 --dport 500 -j ACCEPT

    # ESP encryption and authentication
    iptables -I INPUT -p 50 -j ACCEPT

    iptables -A INPUT -i ipsec0 -j ACCEPT

    #-------------------------------------
    # VPN - Regras de FORWARD #
    #-------------------------------------

    # IKE negociations
    iptables -I FORWARD -p udp --sport 500 --dport 500 -j ACCEPT

    # ESP encryption and authentication
    iptables -I FORWARD -p 50 -j ACCEPT

    iptables -A FORWARD -o ipsec0 -j ACCEPT
    iptables -A FORWARD -i ipsec0 -j ACCEPT
    Venci a batalha! :-D