-
Entendi...depois olhando com mais calma percebi isso!!!
Seria bem isso mesmo, na verdade o direitor só quer que saia pelo link ponto-a-ponto se esse cair então entra a vpn que usa a internet.
A VPN, e o link P2P, já se falam, mas não estou conseguindo rotear as redes para usar o P2P. Vou postar abaixo minhas configurações se puder dar umas dicas ou se eu tiver que criar um novo tópico me avise.
Eu agradeço.
Abs.
P2P entre matriz e filial, tenho seguinte cenário.
São dois servidores com três placa de rede cada.
O servidor da matriz está asssim:
Eth0: 192.168.0.3 - Rede local
Eth2: Ip público fixo
Eth3: 172.16.1.253 - Link ponto a ponto com a filial.
Tun0: 10.1.1.1 - Tunel VPN que sai pela internet para filial
O servidor da filial esta'assim:
Eth0: Ip publico fixo
Eth2: 192.168.1.1 - Rede local
Eth3: 172.16.2.253 - Link ponto a ponto com a matriz.
Tun0: 10.1.1.2 - Tunel VPN que sai pela internet para matriz
- O túnel e as redes via VPN se enxergam se problemas.
- Agora é necessário fazer com que as redes 192.168.0.0 e 192.168.1.0 se enxergem via P2P.
- Do IP 172.16.1.253 eu pingo o 172.16.2.253 e vice versa.
- Da rede 192.168.0.0 quando pingo a rede 192.168.1.0, para no 172.168.1.254 que o Gateway, logo algo nas regras está errado e ainda não consegui entender.
Quais regras devo configurar para que funcione esse roteamento? A idéia também é manter o a VPN (10.0.0.0) ativa e criar um backup, se cair o ponto a ponto a VPN assume.
Abaixo as configurações da MATRIZ
###Route -n (servidor Matriz)###
Tabela de Roteamento IP do Kernel
Destino Roteador MáscaraGen. Opções Métrica Ref Uso Iface
10.1.1.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
200.15.124.100 0.0.0.0 255.255.255.240 U 0 0 0 eth2
172.16.2.0 172.16.1.254 255.255.255.0 UG 0 0 0 eth3
192.168.1.0 10.1.1.1 255.255.255.0 UG 0 0 0 tun0
192.168.0.0 192.168.0.3 255.255.255.0 UG 0 0 0 eth0
172.16.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth3
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 200.15.124.101 0.0.0.0 UG 0 0 0 eth2
###IPTABLES MATRIZ###
#! /bin/bash
#Inicializa modulos
echo 1 > /proc/sys/net/ipv4/ip_forward
modprobe iptable_nat
#Flush all
iptables -F
iptables -X
#drop all
iptables -A INPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT
iptables -A INPUT -p tcp --syn -j DROP
iptables -A INPUT -p icmp -i eth2 -j DROP
#Libera acesso a VPN somente para os ips abaixo
iptables -A FORWARD -s 192.168.0.3 -d 192.168.1.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.0.1 -d 192.168.1.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.0.133 -d 192.168.1.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.0.83 -d 192.168.1.0/24 -j ACCEPT
#Bloqueia acesso a VPN para o restante da rede
iptables -A FORWARD -s 192.168.0.0/24 -d 192.168.1.0/24 -j DROP
#Nesse processo estou apontando uma rota para gateway filial
route del -net 192.168.1.0 netmask 255.255.255.0
route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.1.1.1
route del -net 192.168.0.0 netmask 255.255.255.0
route add -net 192.168.0.0 netmask 255.255.255.0 gw 192.168.0.3
#Aqui estou liberando a máscara
iptables -t nat -A POSTROUTING -o tun+ -j MASQUERADE
#Ativa squid
iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
#E aqui estou permitindo a passagem de pacotes entre as redes
iptables -A FORWARD -i tun0 -s 192.168.1.0/24 -d 192.168.0.0/24 -j ACCEPT
#iptables -A FORWARD -i eth0 -j ACCEPT
#iptables -A FORWARD -i eth2 -j ACCEPT
#iptables -A FORWARD -i eth3 -j ACCEPT
#Libera acesso INTRANET
iptables -t nat -A PREROUTING -i eth2 -p tcp -m tcp --dport 24801 -j DNAT --to-destination 192.168.0.1:80
#Libera DNS
iptables -I INPUT -s 200.15.124.133 -j ACCEPT
iptables -I INPUT -s 200.15.124.134 -j ACCEPT
###IPTABLES -L (MATRIZ)###
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT 0 -- 189.10.59.25.dsl.telesp.net.br anywhere
ACCEPT 0 -- web1.embratel.com.br anywhere
ACCEPT 0 -- mail.embratel.com.br anywhere
ACCEPT tcp -- 192.168.0.0/24 anywhere tcp flags:FIN,SYN,RST,ACK/SYN
DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN
DROP icmp -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT 0 -- proxy.digivoice 192.168.1.0/24
ACCEPT 0 -- 192.168.0.1 192.168.1.0/24
ACCEPT 0 -- 192.168.0.133 192.168.1.0/24
ACCEPT 0 -- 192.168.0.83 192.168.1.0/24
DROP 0 -- 192.168.0.0/24 192.168.1.0/24
ACCEPT 0 -- 192.168.1.0/24 192.168.0.0/24
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
###Route -N (servidor Filial)###
Tabela de Roteamento IP do Kernel
Destino Roteador MáscaraGen. Opções Métrica Ref Uso Iface
10.1.1.1 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
172.16.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth3
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
200.203.154.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.0.0 10.1.1.2 255.255.255.0 UG 0 0 0 tun0
172.16.1.0 172.16.2.254 255.255.255.0 UG 0 0 0 eth3
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 200.203.154.1 0.0.0.0 UG 0 0 0 eth0
###IPTABLES - FILIAL###
#! /bin/bash
echo 1 > /proc/sys/net/ipv4/ip_forward
#Nesse processo estou apontando uma rota para gateway filial
route del -net 192.168.0.0 netmask 255.255.255.0
route add -net 192.168.0.0 netmask 255.255.255.0 gw 10.1.1.2
#Flush all
iptables -F
iptables -X
#Drop all
iptables -P INPUT DROP
#Libera rede vinda da VPN
iptables -A INPUT -s 10.1.1.1 -p tcp -j ACCEPT
iptables -A INPUT -s 10.1.1.1 -p udp -j ACCEPT
iptables -A INPUT -s 10.1.1.1 -p icmp -j ACCEPT
#Libera rede com ip da DigiVoice
iptables -A INPUT -s 200.203.154.2 -p tcp -j ACCEPT
iptables -A INPUT -s 200.203.154.2 -p udp -j ACCEPT
iptables -A INPUT -s 200.203.154.2 -p icmp -j ACCEPT
#Libera SP acessar servidor local
iptables -I INPUT -s 192.168.1.0/24 -j ACCEPT
#Aqui estou liberando a máscara
iptables -t nat -A POSTROUTING -o tun+ -j MASQUERADE
#E aqui estou permitindo a passagem de pacotes entre as redes
iptables -A FORWARD -i tun0 -s 192.168.0.0/24 -d 192.168.1.0/24 -j ACCEPT
# Sinalizacao SIP
iptables -A INPUT -p udp --dport 5060 -j ACCEPT
# RTP
iptables -A INPUT -p udp --dport 10000:20000 -j ACCEPT
# IAX2
iptables -A INPUT -p udp --dport 4569 -j ACCEPT
#localhost
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#NAT
iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE
iptables --append FORWARD --in-interface eth0 -j ACCEPT
IPTABLES -L (FILIAL)
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT 0 -- 192.168.1.0/24 anywhere
ACCEPT tcp -- 10.1.1.1 anywhere
ACCEPT udp -- 10.1.1.1 anywhere
ACCEPT icmp -- 10.1.1.1 anywhere
ACCEPT tcp -- 200.203.154.2-dns-br.embratel.net.br anywhere
ACCEPT udp -- 200.203.154.2-dns-br.embratel.net.br anywhere
ACCEPT icmp -- 200.203.154.2-dns-br.embratel.net.br anywhere
ACCEPT udp -- anywhere anywhere udp dpt:sip
ACCEPT udp -- anywhere anywhere udp dpts:ndmp:dnp
ACCEPT udp -- anywhere anywhere udp dpt:iax
ACCEPT 0 -- anywhere anywhere
ACCEPT 0 -- anywhere anywhere state RELATED,ESTABLISHED
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT 0 -- 192.168.0.0/24 192.168.1.0/24
ACCEPT 0 -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
-
Ôpa Pedro...
Me tira uma dúvida... ou melhor... qual seria sua opinião hehe...
Tava testando o iproute2...
Testei mandando tudo de um IP para tal gateway...
A questão é o seguinte... temos uma rede interna... com servidor web, mail, dns, dhcp... blablabla...
Aí se quero acessar meu site como estou mandando tudo para tal gateway, minha conexão é realizada por fora... e não internamente...
invés de:
PC -> ACESSO HTTP REDE INTERNA
fica sendo:
PC -> VÁÁÁÁÁRIOS SALTOS -> ACESSO HTTP REDE EXTERNA
Teria como pelo iproute2 alterar isso?
Só veio a cabeça invés de mandar todo o tráfego da VLAN pelo gateway, utilizar o iptables para marcar pacotes com destino diferente da DMZ e esses irem pro gateway...
Espero que tenha dado pra entender hehe...
Valeu!!
-
Rapaz.. Pra ser sincero não entendi...
Faz um pequeno diagrama da sua rede com o Dia e põe aqui que fica mais claro a situação. Se puder, faz da topologia lógica e física. Mas lhe adianto que o IPRoute2 faz miséria! Ele é muito completo.
-
É o seguinte...
Algumas VLANs vão por tal gateway... e outras por outro...
Temos uma DMZ... com www e etc... DNS interno e tal...
Aí quando queremos acessar o site local acessamos internamente...
Meu dns diz que eh 10.algo por exemplo...
Só que quando coloco pra ir por tal gateway tudo vai por ele...
Aí se quero acessar meu WWW interno... eu "saio" por uma conexão pra acessar pela conexão externa de outro provedor...
Aí queria que tudo que fosse interno... "não saisse"...
Se eu quiser acessar www.eu.com, acesse internamente... e não ir pelo gateway pra depois acessar como se fosse de fora....
Está algo tipo "ip rule add from 10.0.0.120 table 20"...
E essa tabela 20 manda tudo por um gateway pra fora...
E eu preciso que eu querendo acessar o www.eu.com acesse internamente...
Não que seja PC -> REDE_DE_FORA -> MEU_WWW_EXTERNO ... E sim PC -> MEU WWW_INTERNO
Consegui ou enrolei? hehe
Victor Hugo
-
Você já configurou seu DNS?
Quando você requisita Site.com.br, o DNS vai traduzir esse nome em um endereço. Se sua rede está indo pelo endereço externo, é por que o DNS o está enviando. Você já tentou usar o endereço IP para acessar o serviço? Se o problema pesistir, ai sim pode ser um problema de roteamento. Ai você volta por aqui. Mas coloque suas configurações. Endereços de rede, regras de roteamento, diagramas, etc.
