VPN atrás de Firewall

[Hacinn]

Alguem sabe se é possível criar uma vpn entre duas maquinas que estão dentro de uma rede local protegidas por um firewall?
Seria assim:

microA com vpn: 192.168.2.0 e 192.168.1.2
microA Firewall: 192.168.1.1 e 200.200.200.1
microB Firewall: 192.168.3.1 e 200.200.200.2
microB com vpn: 192.168.4.0 e 192.168.3.2

Gostaria de criar uma vpn entre as máquinas 192.168.1.2 e 192.168.3.2, será que é possível? Não sei se consegui explicar direito....

Desde já agradeço a ajuda

[espiao]

pode.
mas, tipicamente as maquinas que fazem VPN ficam invisiveis as redes.

[Hacinn]

Tudo bem delas ficarem invisiveis para a rede, a função delas será exclusivamente de vpn mesmo.
A minha dificuldade está em rotear os dados de 192.168.1.2 para o servidor 192.168.3.2 através da internet e vice-versa.

Pensei em criar uma regra de prerouting nos dois firewalls, mas não sei se funciona..

Obrigado pela dica

[demiurgo]

funciona sim, desde q vc crie os filtrosnecessarios na sua firewall

vc tah pensando em usar qual protocolo d tunelamento?

t+

[Hacinn]

Pretendo usar Conectiva 8 com freeswan 1.95...

Obrigado

[devlinmaxx]

Ae.
Você tem que liberar os protocolos e portas que vão passar pelo IPTABLES, criando regras para as rotas de criptografia e etc..
BRUTALMENTE falando, fica assim no IPTABLES:

Protocolo UDP na porta 500 para uso de negociação IKE...
Protocolo 50 se for usar encriptação e autenticação ESP (isso mesmo, protocolo 50)
Protocolo 51 se for usar AH packet level authentication...

Ou, você pode liberar as rotas no firewall para as subredes, tipo tudo que vier do RANGE de ip do server B você deixa entrar, e tudo que sair do RANGE de ip do server A e for pra rede B saia tranquilo... (O último tem de ser estudado certtinho e com estudo de caso...)

, espero que resolva....

Obrigado pela ajuda, seria possivel fazer através de roteamento também?
Digo isso porque estou tentando criar uma rota no firewall A para que todos os pacotes que sejam destinados a maquina/rede 192.168.3.2, sejam encaminhados para o firewall B com ip 200.200.200.2.
Quando crio a regra acima o Linux me a mensagem que a rede não esta alcansável. Estou tentando usar a seguinte regra:
route add -net 192.168.3.0 netmask 255.255.255.0 gw 200.200.200.2

Isso é possível?

Obrigado mais uma vez....

[demiurgo]

oi

o firewall Bb deve fazer parte da rede 192.168.3.0, no caso q vc citou ele nao o faz, tente adicionar ao seu firewall B um alias da rede 192.168.3.0 como por exemplo 192.168.3.254 e crie a rota

route add -net 192.168.3.0 netmask 255.255.255.0 gw 192.168.3.254

deve dar certo

t+ <IMG SRC="images/forum/icons/icon21.gif"> <IMG SRC="images/forum/icons/icon21.gif"> <IMG SRC="images/forum/icons/icon21.gif">

[devlinmaxx]

Como o dimiurgo disse, assino embaixo... Mas aquela coisa de rotear pelo FIREWALL (e não pelo sistema) acho que fica mais "seguro", não sei... Bom, fica a seu critério escolher a melhor maneira de rotear esses pacotes, bro..