De novo, problemas com vpn

[roggy]

Galera, ja postei essa duvida aqui, mas vou colocar de novo pois ainda nao resolvi o problema.
Tenho o seguinte cenário:

Firewall A
ip: 10.0.0.110
subrede atras do NAT: 192.168.10.0/24

Firewall B
ip: 10.0.0.120
subrede atras do NAT: 192.168.20.0/24


Regras nos dois firewalls (apenas a nivel de teste)

Firewall A
# Variaveis
IFACE=eth0
LAN=192.168.10.0/24

# Ativar modulos
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_nat_ftp

# Limpar regras
iptables -t nat -F
iptables -t filter -F
iptables -t mangle -F

# Alterar policiamento
iptables -P INPUT DROP
iptables -P FORWARD ACCEPT

# Compartilhar a conexao
iptables -t nat -A POSTROUTING -o $IFACE -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

#---------------------
# Regras de INPUT #
#---------------------

# Entrar somente o necessario
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# SSH
iptables -A INPUT -p tcp --syn --dport 22 -j ACCEPT

# Ping
iptables -A INPUT -p icmp -j ACCEPT

iptables -A INPUT -i ipsec0 -p tcp -j ACCEPT
iptables -A INPUT -i ipsec0 -p tcp --dport 500 -j ACCEPT
iptables -A INPUT -i ipsec0 -p udp --dport 500 -j ACCEPT

#-----------------------
# Regras de FORWARD #
#-----------------------

# Passar somente o necessario
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# DNS
iptables -A FORWARD -o $IFACE -s $LAN -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -o $IFACE -s $LAN -p udp --dport 53 -j ACCEPT

# Web
iptables -A FORWARD -o $IFACE -s $LAN -p tcp --dport 80 -j ACCEPT

# SSH
iptables -A FORWARD -p tcp --syn --dport 22 -j ACCEPT

# PING
iptables -A FORWARD -p icmp -j ACCEPT

iptables -A FORWARD -o ipsec0 -p tcp -j ACCEPT
iptables -A FORWARD -o ipsec0 -p tcp --dport 500 -j ACCEPT
iptables -A FORWARD -o ipsec0 -p udp --dport 500 -j ACCEPT

* Nao vou postar as regras do Firewall B, pois so muda essa linha:
LAN=192.168.20.0/24

O que acontece é que, quando os dois fw estao com as politicas de INPUT e FORWARD como DROP, a rede 192.168.10.0/24 nao enxerga, por exemplo com um ping, a rede 192.168.20.0/24.

Quando eu mudo no Firewall A a politica do FORWARD para ACCEPT e no Firewall B a INPUT para ACCEPT, consigo pingar.

O que sera que falta liberar nas regras?

Agradeço a todos, pois estou preciando demais dessa solução!

[Duca]

Qual aplicativo está usando para fazer a VPN ?

[roggy]

openswan

[roggy]

Galera,

nem acredito: ENFIM RESOLVIDO O PROBLEMA!!

Faltaram as linhas:

#--------------------------------
# VPN - Regras de INPUT #
#--------------------------------

# IKE negociations
iptables -I INPUT -p udp --sport 500 --dport 500 -j ACCEPT

# ESP encryption and authentication
iptables -I INPUT -p 50 -j ACCEPT

iptables -A INPUT -i ipsec0 -j ACCEPT

#-------------------------------------
# VPN - Regras de FORWARD #
#-------------------------------------

# IKE negociations
iptables -I FORWARD -p udp --sport 500 --dport 500 -j ACCEPT

# ESP encryption and authentication
iptables -I FORWARD -p 50 -j ACCEPT

iptables -A FORWARD -o ipsec0 -j ACCEPT
iptables -A FORWARD -i ipsec0 -j ACCEPT

Venci a batalha! :-D