+ Responder ao Tópico



  1. #1
    Danilo_Montagna
    Visitante

    Padrão VPN.. entre varios pontos..

    pessoal, alguem sabe me dizer se a VPN via IPSec entre mais que dois pontos..

    exemplo:

    Rede A <-----> Rede B <-----> Rede C <-----> Rede D

    minha duvida é em relacao ao ipsec.conf..

    no server VPN da RedeB eu preciso ter configurado as "conn"para as duas redes que se ligam a ele ou nao precisa? caso nao precisar, como a Rede_A chegara na Rede_C?

    outra coisa...

    no caos de fazer uma VPN com um servidor mestre (gateway de todos)

    exemplo:

    (VPN-Matriz)

    Rede_Filial1 - MAtriz ---- Rede_filial2_Matriz -----Rede_Filial3-Matriz

    e deixar o VPN-Matriz com todas as "conn"das redes 1, 2 e 3, nesse caso todos iriam de enchergar ou nao..?

    [ Esta mensagem foi editada por: Danilo_Montagna em 14-03-2003 10:31 ]

  2. #2
    Visitante

    Padrão VPN.. entre varios pontos..

    Ai kra já fiz isso com o vtund naum com o freewans.. se kizer depois manda e-mail q explico... pois eu fiz a matriz e as filiais ligada a ela! ou seja o servidor e os clientes ligadas nela!

    qq duvia: [email protected]



    Rodrigo

  3. #3

    Padrão VPN.. entre varios pontos..

    Danilo,

    Estou montando a mesma estrutura que vc., ou seja, vários pontos todos interligados. Estou terminando de colocar o linux nos pontos e depois vou interligá-los. Poderíamos trocar informações para ajuda mútua.

    []s.

  4. #4
    devlinmaxx
    Visitante

    Padrão VPN.. entre varios pontos..

    Bom, Danilo. Tudo depende do estudo dos casos: Se todos os 4 gateways irão se inxergar, você vai ter 1 conn para cada máquina e assim por diante;
    Pergunta para uma fácil resolução:
    - Quem vai enxergar quem?
    [&acute;s]

  5. #5

    Padrão VPN.. entre varios pontos..

    Acredito que voce tera que ter todas as filias ligadas em uma central, na qual a central tera 1 arquivo do ipsec.conf para cada VPN. entao voce tera que levantar uma instancia vpn para cada uma, supondo que voce tenha 4, voce tera 4 arq. de confs.

    eu nao sei c qdo voce levanta a VPN ela jah cria uma routa para ela, eu imagino que crie, entretanto se ele nao levantar as rotas entre as VPNs qdo voce levantar mais de uma, voce tera que fazer as rotas manualmente entre elas. imagino eu <IMG SRC="images/forum/icons/icon_smile.gif">

  6. #6
    devlinmaxx
    Visitante

    Padrão VPN.. entre varios pontos..

    Calma, calma... Muita calma nesse momento...
    Vamos esperar ele responder se ele quer que todas vejam todas, ou não... Não é assim, não pode nem dá pra ficar criando rotas esporádicas do nada, tem que ter planejamento das coisas.
    1 rede vai ter rota pra 1 ou mais redes, dependendo de quantas CONN você fizer. É complicadinho, mas se todos forem se ver, vamos ter 12 conexões entre as 4 redes (4 sites + 3 CONN cada = 12 CONN&acute;s). Understand?
    Devagarzinho a gente chega lá, mas se correr pode tropeçar...

  7. #7
    Kernel_Panic
    Visitante

    Padrão VPN.. entre varios pontos..

    Resumindo Danilo

    Vc terá que fazer uma conn para todas as filiais que vc quiser se conectar

    exemplo 4 filiais :

    é igual ao sistema binário

    0000
    0001
    0010
    0011
    0100
    0101
    0110
    0111
    1000
    1001
    1010
    1011
    1100
    1101
    1110
    1111

    To Brincando não é tão complicado assim . . .

    conn filial1-filial2
    .......
    .......
    conn filial1-filial3
    .......
    .......
    conn filial1-filial4
    .......
    .......
    conn filial2-filial3
    .......
    .......
    conn filial2-filial4
    .......
    .......
    conn filial3-filial4
    .......
    .......


    Entendeu ! ! ! <IMG SRC="images/forum/icons/icon_wink.gif">

  8. #8
    devlinmaxx
    Visitante

    Padrão VPN.. entre varios pontos..

    <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
    On 2003-04-02 17:13, Kernel_Panic wrote:
    Resumindo Danilo

    Vc terá que fazer uma conn para todas as filiais que vc quiser se conectar

    exemplo 4 filiais :

    é igual ao sistema binário

    0000
    0001
    0010
    0011
    0100
    0101
    0110
    0111
    1000
    1001
    1010
    1011
    1100
    1101
    1110
    1111

    To Brincando não é tão complicado assim . . .

    conn filial1-filial2
    .......
    .......
    conn filial1-filial3
    .......
    .......
    conn filial1-filial4
    .......
    .......
    conn filial2-filial3
    .......
    .......
    conn filial2-filial4
    .......
    .......
    conn filial3-filial4
    .......
    .......


    Entendeu ! ! ! <IMG SRC="images/forum/icons/icon_wink.gif">
    </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE>
    Issae, kernel rulero! Me enganei, serão metade de 12=6! Porque você já criou as outras CONN, não haverá necessidade de criá-las de novo.
    Supimpa, vou aí te dar um soco!

  9. #9
    Danilo_Montagna
    Visitante

    Padrão VPN.. entre varios pontos..

    hummm blz..

    entao quer dizer que o Freswan suporta esse tipo de estrutura,, achei que a VPN no linux com IPSEC era so ponto a ponto.. tipo.. uma rede coaxial..

    mais ela aceita ponto a ponto entre varias conn.. belza..

    so me diz uma coisa agora..

    como ficariam as rotas nas VPNs..?

    exemplo:

    rede1 = 10.0.0.0/24
    rede2 = 10.0.1.0/24
    rede3 = 10.0.2.0/24
    rede4 = 10.0.3.0/24

    pois como vou dizer para meu servidor VPN que quando uma estacao da rede1 enviar um pacote para a rede3 ele tem que enviar isso pela interface ipsec0.. e ele tb tera qeu saber qual o gateway correto.. mais para eu adicionar um gateway.. ele precisa estar na mesma rede correto.. ou seja.. ele precisa ser um gateway conhecido pelas estacoes.. e como a congif do ipsec.conf vai ter varias conn.. ele vai ter o ipsec.conf para saber qual é a VPN certa de destino do pacote?

    ou seja, resumindo,, o ip 10.0.0.1 quer pingar o ip 10.0.2.1, porem para isso dar certo.. esse pacote tera que ser enviado para o gateway 200.xxx.xxx.3 que o gateway da VPN de rede 10.0.2.0..

    como o server VPN vai destinguir isso?


  10. #10
    devlinmaxx
    Visitante

    Padrão VPN.. entre varios pontos..

    <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
    On 2003-04-03 08:57, Danilo_Montagna wrote:
    hummm blz..

    entao quer dizer que o Freswan suporta esse tipo de estrutura,, achei que a VPN no linux com IPSEC era so ponto a ponto.. tipo.. uma rede coaxial..

    mais ela aceita ponto a ponto entre varias conn.. belza..

    so me diz uma coisa agora..

    como ficariam as rotas nas VPNs..?

    exemplo:

    rede1 = 10.0.0.0/24
    rede2 = 10.0.1.0/24
    rede3 = 10.0.2.0/24
    rede4 = 10.0.3.0/24

    pois como vou dizer para meu servidor VPN que quando uma estacao da rede1 enviar um pacote para a rede3 ele tem que enviar isso pela interface ipsec0.. e ele tb tera qeu saber qual o gateway correto.. mais para eu adicionar um gateway.. ele precisa estar na mesma rede correto.. ou seja.. ele precisa ser um gateway conhecido pelas estacoes.. e como a congif do ipsec.conf vai ter varias conn.. ele vai ter o ipsec.conf para saber qual é a VPN certa de destino do pacote?

    ou seja, resumindo,, o ip 10.0.0.1 quer pingar o ip 10.0.2.1, porem para isso dar certo.. esse pacote tera que ser enviado para o gateway 200.xxx.xxx.3 que o gateway da VPN de rede 10.0.2.0..

    como o server VPN vai destinguir isso?


    </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE>

    NO ipsec.conf você vai fazer várias CONN&acute;s, é essa sua dúvida? Se sua dúvida for roteamento, não se preocupe com isso: o FS faz os roteamentos baseados nas CONN&acute;s... Você quer algum exemplo disso?
    [&acute;s]


    . . . Michelle Rodriguez . . . Adm RS Linux Conectiva

    [ Esta mensagem foi editada por: devlinmaxx em 03-04-2003 13:48 ]

  11. #11
    devlinmaxx
    Visitante

    Padrão VPN.. entre varios pontos..

    Ex: Conn 1-2

    config setup
    interfaces=%defaultroute
    klipsdebug=none
    plutodebug=none
    plutoload=%search
    plutostart=%search
    uniqueids=yes
    conn %default
    esp=3des-md5-96
    keyingtries=0
    disablearrivalcheck=no
    authby=rsasig
    leftrsasigkey=%dns
    rightrsasigkey=%dns

    conn 1-2
    type=tunnel
    left=x.x.x.x (local)
    leftnexthop=x.x.x.x (se ouver algo acima)
    leftsubnet=10.10.0.0/24 (Exemplo)
    leftrsasigkey=0sA...
    right=x.x.x.x (remote)
    rightnexthop=x.x.x.x (se houver)
    rightsubnet=10.10.10.0/24 (Exemplo)
    rightrsasigkey=0sA...
    pfs=no
    auto=add

    conn 1-3
    A mesma coisa, só que com IP&acute;s right para a conexão do gw 3

    conn 1-4
    A mesma coisa, só que com IP&acute;s right para a conexão do gw 4

    No gw 2, você faz o mesmo:

    .... (Config setup, etc etc)

    conn 1-2

    conn 2-3

    conn 2-4

    No gw3, você faz:


    ...(Blá, blá, blá)
    conn 1-3

    conn 2-3

    conn 3-4

    No gw4:

    ...(AFFE!)

    conn 1-4

    conn 2-4

    conn 3-4

    Entendido????
    [&acute;s]

  12. #12

    Padrão VPN.. entre varios pontos..

    ahra.. entao eh bem mais facil que eu pensei... basicamente so prescisa listar as conexoes no arquivo de configuracao <IMG SRC="images/forum/icons/icon_smile.gif"> entao isso simplifica as coisas nao?

    entao eh soh listar todas as conexoes la <IMG SRC="images/forum/icons/icon_smile.gif"> filial 1 para o resto das filias... filial 2 para o resto das filias exceto a 1 (jah q jah tem rota) e assim por diante <IMG SRC="images/forum/icons/icon_smile.gif">
    nada mau <IMG SRC="images/forum/icons/icon21.gif">

  13. #13
    devlinmaxx
    Visitante

    Padrão VPN.. entre varios pontos..

    <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
    On 2003-04-03 14:03, mistymst wrote:
    ahra.. entao eh bem mais facil que eu pensei... basicamente so prescisa listar as conexoes no arquivo de configuracao <IMG SRC="images/forum/icons/icon_smile.gif"> entao isso simplifica as coisas nao?

    entao eh soh listar todas as conexoes la <IMG SRC="images/forum/icons/icon_smile.gif"> filial 1 para o resto das filias... filial 2 para o resto das filias exceto a 1 (jah q jah tem rota) e assim por diante <IMG SRC="images/forum/icons/icon_smile.gif">
    nada mau <IMG SRC="images/forum/icons/icon21.gif">
    </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE>

    Então, é do jeitinho que eu coloquei aí em cima:
    gw 1
    conn 1-2
    conn 1-3
    conn 1-4

    gw 2
    conn 1-2 (tem que ser igual no gw 1)
    conn 2-3
    conn 2-4

    gw 3
    conn 1-3 (igual no primeiro)
    conn 2-3 (igual no gw 2)
    conn 3-4

    gw 4
    conn 1-4 (igual no primeiro)
    conn 2-4 (igual no segundo)
    conn 3-4 (igual no terceiro)

    Entendido?
    [s&acute;]

  14. #14
    Danilo_Montagna
    Visitante

    Padrão VPN.. entre varios pontos..

    devlinmaxx

    blz, a questao ads configs de conn é tranquilo.. minha duvida anterior é referente as rotas mesmo..

    me interessa saber se pelo ipsec.conf o pacote tcp vai saber o destino ou nao..

    ou seja, quando o ip da rede1 pingar o ip da rede4 por exemplo, que atitude o linux irá tomar para determinar qual é o roteador padrao que responderá por aquele pacote? entendeu?? acredito que por default.. ele será encaminhado para o defautl gateway apontado no linux.. que sera o roteadro adsl.. e depois.. como o linux sabe qeu esse pacote é detinado ao gw4??

    eu acredito que ele é obrigado a ler o ipsec.conf para ver qual conn atende por aquele pacote de detino.. pois se ele apenas sair pelo default gw do linux.. o pacote ira se perder.. pois ele tem que sair pela interface ipsec0


    [ Esta mensagem foi editada por: Danilo_Montagna em 03-04-2003 15:42 ]

  15. #15
    Visitante

    Padrão VPN.. entre varios pontos..

    Eu sei que minha pergunta não tem muito a ver com a discussão em questão, mas gostaria de saber se eu posso usar ipsec quando estou usando NAT no firewall.
    Muito obrigado

  16. #16
    devlinmaxx
    Visitante

    Padrão VPN.. entre varios pontos..

    Entendo, Danilo.. Veja se respondo a sua questão:

    Você vai ter 2 interfaces de rede, correto? eth0 e eth1. No gw 1, você vai configurar por exemplo:
    gw1-> eth0 = 10.0.0.1
    eth1 = 200.x.x.x.x
    Na subnet do gw 1, você vai setar o gw das estações clients para o IP do gw 1, exemplo:
    gw ip: 10.0.0.1 roteando Ip&acute;s 10.0.0.0/24
    Estação: 10.0.0.10
    Gw padrão da estação: 10.0.0.1

    Você ativando o IPSEC ele já vai rotear, se você setou, os Ip&acute;s 10.0.0.0/24 para a interface padrão, o que passará pelo tunel pra outra interface... Mais ou menos assim:

    subnet (10.0.0.0/24)->gw(200.x.x.x.x)......(200.x.x.x.x)gw->(10.10.0.0/24)subnet.

    Quando você seta o gw padrão das estações para o gw VPN, ele já passa para a outra ponta, justo pela conn entendeu? Devo ter explicado muito e explicado pouco ao mesmo tempo, né????
    COnseguiu entender agora ou nem ainda?
    [&acute;s]

  17. #17
    devlinmaxx
    Visitante

    Padrão VPN.. entre varios pontos..

    Dá, essa é a discussão de outro fórum, perae:

    alguem sabe me confirmar se realmente nao funciona uma VPN com ipsec e freeswan por um linux que esta atras de um router ADSL por NAT?

    sendo que o IP fixo fica na interface do roteador, esse mesmo roteador tem uma interface iterna... que conversa com a placa eth1 do linux... onde esta instalada a VPN..

    ATM-router = 200.xxx.xxx.xxx
    Eth0-Router = 192.168.200.254
    eth1-linux = 192.168.200.1
    eth0-linux = 10.0.0.1

    rede 1 = 10.0.0.0/24

    mesmas configs da rede2 que estou tentando fazer a VPN.. so mudando as classes de rede..

    sim.. isso ae acontece..

    analisando melhor a situacao.... percebi que quando eu pingo um ip da outra ponta ex.: 192.168.0.10 o pacote chega ate um roteador da Brasil Telecom..
    200.215.1.68 e para por ae.. acredito ser alguma coisa em relacao a BT nao suportar esse serviço para o ADSL aqui no SUL.. a comunicação é com uma filial de MT e lá tb é ADSL da BT..

    acredito que as configs dos dosi lados estao certas.. pois o pacote chegar a sair da rede em direçao a VPN do outro lado. porem o pacote se perde nesse roteador da BT que eu falei acima..

    alguem ja conseguiu fazer VPN em linux usando adsl da Brasil Telecom?
    -Você está fazendo NAT no modem certo?
    -Você está fazendo NAT em tudo que chega envia para o servidos ou apenas algumas portas?
    -Há sua conexão com a net é através de ADSL com ip fixo ou dinamico?
    -Qual regiao do pais vc mora?

    Desculpe pelo tanto de perguntas mas são algumas dúvidas que podem influenciar...
    1 - Sim, o NAT esta sendo feito do modem certo...

    2 - Meu defautl server do NAT recebe todas as requisicoes.. e esse cara que eu to fazendo a VPN..

    3 - IP Fixo.. (plano empresarial)

    4 - Sou de Blumenau - SC (Brasil Telecom)

    Etc, etc.. Não sei se dá com o NAT, porque ainda não o fiz.. Mas acho que tem como, entende? Não posso te ajudar por enquanto, mas vou dar uma pesquisada.. <IMG SRC="images/forum/icons/icon_biggrin.gif">

  18. #18
    Danilo_Montagna
    Visitante

    Padrão VPN.. entre varios pontos..

    devlinmaxx

    esse texto ae inclusive é meu hehe... esse é outro problema que tenho tb.. pois estou com um chamado aberto la na BT e eles ainda nao me confirmaram isso.. como eu falei ae acima.. quando eu pingava uma maquina do outro lado.. eu vi que no tcpdump esse pacote estava saindo pela ipsec0 so que nao chegava ate a outra ponta.. para no meio .. no gw da BT.. esse ip 200.215.1.68..

    beleza galera.. a questao das rotas esta entendida sim.. é que no curso que eu fiz da conectiva sobre VPN.. eles ligaram as filias com apenas um conn em cada gateway e o roteamento foi por rotas no linux.. mais eu acho que iss ofuncionou la pq o teste foi na rede interna.. ou seja,.. eram gateways conhecidos.. ae eu sei que funciona mesmo..

    agora vou ficar esperando alguem em confirmar se essa questao de NAT realmente enfluencia ou nao para o uso de ipsec.. no mais .. muito obrigado galera..

  19. #19
    devlinmaxx
    Visitante

    Padrão VPN.. entre varios pontos..

    Beleza, Danilo.. Acho que deu pra explicar, né? <IMG SRC="images/forum/icons/icon_biggrin.gif">
    As rotas são feitas pelo próprio IPSEC, que as repassa pela conn feita no arquivo de configuração... Agora, a questão do NAT a gente vai ter que esperar mesmo... Peguei uns HT aqui, vou dar uma olhada e no máximo amanhã eu volto com a resposta... Espero ter respondido a todos aqui, e ajudado também... <IMG SRC="images/forum/icons/icon_biggrin.gif">
    [&acute;s]