+ Responder ao Tópico



  1. #1
    Visitante

    Padrão Projeto para VPN

    Colegas administradores estou precisando desenvolver um projeto para uma VPN entre matriz e filial de um cliente super importante.

    A situação é a seguinte:

    1- Na matriz possuímos um link PPP de 256k com nosso provedor o qual estamos utilizando para serviço de proxy (squid), NAT e correio (qmail). Nosso ip é fixo claro, com redirecionamento de MX de nosso provedor ou seja não possuímos DNS.

    2- Nossa filial possui um link cable de 512k com ip dinâmico e faz apenas serviço de proxy com squid e NAT.

    Preciso interligar matriz e filial através de VPN e gostaria de saber qual solução poderia utilizar?

    Estou estudando o FreeSWAN mas estou em dúvida sobre o quesito NAT. O FreeSWAN não aceita NAT?

    Outra coisa, os documentos que li até o momento só apresentam soluções com ip fixo em ambas as redes, no meu caso onde um dos servidores possui ip dinâmico o FreeSWAN atenderia?

    Existe uma outra solução de VPN para linux que não seja o FreeSWAN e que não possua restrinção para NAT?

    Agradeço a todos desde já.


  2. #2

    Padrão Projeto para VPN

    o ciped eh uma boa, eu trabalho com ele e é possivel montar tuneis usando ate mesmo duas maquinas sem ip fixo

    o q vc quer dizer com restricoes d NAT?

  3. #3
    Visitante

    Padrão Projeto para VPN

    Caros administradores está é que uma solução a ser descutida kd vc´s? Vpn´s é um mercado que está em grande crescimento, segundo dados de TI está solução deverá triplicar neste ano e com certeza Linux está sendo apontado como top de linha. Por tanto vamos discutir soluções que realmente valem a pena, espero retornos.

    Agradeço desde já sua dica mas gostaria de saber onde consigo documentação sobre o ciped e se o mesmo implementa segurança como o ipsec? Em relação ao NAT querro dizer que ao se implementar o ipsec com FreeSWAN se o mesmo impossibilita seu uso.

    Espero retorno.

  4. #4
    Mr_Mind
    Visitante

    Padrão Projeto para VPN

    Freeswan sem duvidas e´ o melhor e mais completo. Aconselho vivamente a leitura da FAQ, apesar de extensa, porque se apresenta um documento muito completo.
    Em relação ao NAT tens de te lembrar que a filial passa a fazer parte da rede Principal nao havendo nesta caso um gateway para a internet a nao ser que uses o da rede principal, pois ficas dentro de uma rede virtual. o gateway deve rotear apenas os pacotes pela internet sobre o tunnel.

    o meu conhecimento em VPN´s e´ ainda muito restrito mas gostaria de ver aqui discutidas as melhores soluções, problemas e duvidas.

    abraços

  5. #5
    cyrix
    Visitante

    Padrão Projeto para VPN

    Uma tese de TCC muito interessante que aborda esse assunto (VPN+FreeSWAN+IPSEC) pode ser encontrada no endereco abaixo. Muito mais interessante e pratica que a leitura completa de um FAQ ou GUIDE. (Na minha opiniao).

    http://www.modulo.com.br/pdf/alan-rafael.pdf

  6. #6
    dark_exs
    Visitante

    Padrão Projeto para VPN

    Caro Anônimo,

    Já fiz algumas vpn´s, tanto com FreeSWAN (ipsec), tb com o pptp.

    O FreeSWAN, aceita conexao de ip´s que nao precisam ser fixos.
    O pb do FreeSWAN, que os servidores nao consegue conversar com maquinas da outra rede que esta conectando: servidor vpn "A" não consegue acessar maquinas da rede "B". pelo menos até os ultimos estudos que tinha feito sobre o FreeSWAN era assim.

    O pptp, não é tão seguro como o FreeSWAN, mas vc consegue fazer roteamento do servidor para a outra rede sem pb, e o servidor "A" consegue conversar com as maquinas da rede "B".
    A implementação do pptp é facil, porém para fazer com a versão da Conectiva 8 tive pb de "kernel panic", tentei com o Red Hat 8 e funcionou sem pb.

    O ideal para definir qual será a melhor opção é analisar o que vc quer e o que tem para disponibilizar, se vc quer somente ligar matriz e filiais as duas opções trabalharam bem, se quizer utilizar a internet por meio da matriz precisará de um estudo maior do caso...

    Dark_exs
    [email protected]

  7. #7
    Visitante

    Padrão Projeto para VPN

    Pessoal como mencionei acima meu caso é bem tipico e vou ser mais prático para um melhor entendimento.

    Configuração da matriz

    - Servidores Windows 2000 com Active Directory e Banco de Dados em SQL.

    - Estações Windows 9x, 2000, XP.

    - Servidor RedHat Linux 7.3 com Squid, NAT e correio link PPP de 256kbps

    Configuração da filial

    - Servidores Windows 2000 com Active Directory e Banco de Dados em SQL.

    - Estações Windows 9x, 2000, XP.

    - Servidor RedHat Linux 7.3 com Squid, NAT link cable de 512kbps.

    Solução.

    Preciso interligar as duas empresas e fazer com que ambas as redes sejam apresentadas no ambiente de rede, a matriz e filial continuarão com seus servidores proxy independentes ou sejam continuarão fazendo mascaramento para as portas que o squid não atender.

    Dúvidas:

    - Com o FreeSwan será possível a visualização das redes no ambiente de rede?

    - Com o FreeSwan será possível o mascaramento das portas já que li que ele não suporta NAT?

    - É possível interligar matriz e filial com pptp entre os linux pois já vi uma solução com Linux e Windows 2000 mas linux nas duas pontas não.

    - Qual o problema de se usar PPTP já que ele tb usa tunel criptografado.

    Pessoal vamos discutir isto que é interessante para todos nós.

    Para um estudo melhor será interessante dicas de documentos como fez o cyrix.

    Obrigado e vamos estudar.

  8. #8
    dark_exs
    Visitante

    Padrão Projeto para VPN

    Anônimo, vc consegue "SIM" fazer ligação pptp entre duas máquinas linux. isso eu te falo porque eu já fiz isso...

    Para que voce quer fazer NAT entre as duas redes? Vc não precisa mascarar a conexão entre as duas redes, matriz e filial, só será necessário mascarar as conexões que vão para a internet (http, https, ftp, pop, smtp, etc...).
    Assim ao acessar uma máquina da outra rede irá aparecer, o ip real da maquina, e não ip mascarado do servidor.

    O pptp e FreeSWAN usam esquema de tunel, só que a criptografia do pptp é mais fraca que a do FreeSWAN.

    Dark_exs
    [email protected]

  9. #9
    Maiko
    Visitante

    Padrão Projeto para VPN

    - Com o FreeSwan será possível a visualização das redes no ambiente de rede?
    Esquece esse negocio de ambiente de rede isso é coisa de RWindows. Mas SIM se por exemplo vc der um \\ip_da_maquina_do_outro_lado, vai mostrar todos os compartilhamentos da maquina e vc pode mapear a maquina, entede. É totalmente transparente.


    - Com o FreeSwan será possível o mascaramento das portas já que li que ele não suporta NAT?
    Sim da para fazer nat mas e mais complicado, eu nunca fiz.
    Eu nao me lembro se primeiro vc criptografa e depois faz nat, ou primeiro faz nat depois criptografa. eu nao tenho certeza, posso estar falando besteira, me corrijam se estiver errado por favor.

    - É possível interligar matriz e filial com pptp entre os linux pois já vi uma solução com Linux e Windows 2000 mas linux nas duas pontas não.
    Nunca vi rodando mas já li que dá.

    - Qual o problema de se usar PPTP já que ele tb usa tunel criptografado.
    como o nosso amigo dark_exs já disse "O pptp e FreeSWAN usam esquema de tunel, só que a criptografia do pptp é mais fraca que a do FreeSWAN. "


    <IMG SRC="images/forum/icons/icon21.gif"> <IMG SRC="images/forum/icons/icon21.gif">

  10. #10
    Visitante

    Padrão Projeto para VPN

    Pessoal primeiramente recomendo a todos uma boa leitura na tese http://www.modulo.com.br/pdf/alan-rafael.pdf indicada pelo nosso amigo cyrix a qual esclareceu muitas dúvidas minhas, obrigado cyrix.

    Caro dark_exs sem querrer abusar de sua ajuda vc poderia expor fonte de estudo para interligar servidores linux com pptp obrigado.

    Chego a conclusão que minha solução será utilizar o FreeSwan pelo alto nível de confiabilidade, pelo que li na tese indicada pelo cyrix algumas deficiências do mesmo já estão sendo resolvidas tipo o NAT e a melhora de desempenho mas pelo que vc&acute;s estão expondo não terei problemas em fazer NAT para acessar a internet no caso teria problema em fazer NAT para as redes privadas o que não é meu caso, estou certo?

    Em relação ao desempenho gostaria da opnião dos administradores que dispõem desta solução.

    Outro ponto que interessa a todos nós, aos profissionais que já implementaram está solução qual é o custo para a configuração destes dois servidores VPN?

    Obrigado a todos.

  11. #11
    Visitante

    Padrão Projeto para VPN

    Anônimo,
    para ficar mais fácil nossa comunicação, se cadastra no forum da underlinux não paga nada.

    E estranho ficar falando com uma pessoa "ANÔNIMA"

    Falow...
    Daqui uns dias colocarei alguma coisa sobre o pptp... <IMG SRC="images/forum/icons/icon21.gif">

  12. #12
    dark_exs
    Visitante

    Padrão Projeto para VPN

    Foi mal, a última mensagem quem mandou fui eu...
    Falow galera....

  13. #13
    Maiko
    Visitante

    Padrão Projeto para VPN

    Ae brother, quanto ao desempenho isso vai do tamanho de banda contratada se vc vai utilizar modem adsl, router, rádio.
    Quanto ao custo de implementacao, vai ser 0 se vc for fazer isso. Há não ser que vc esteja pensando em contratar alguem.

    <IMG SRC="images/forum/icons/icon_biggrin.gif">