[FUG-BR] Dúvida IPSec: Precisa ser o gateway mesmo?
Tiago Cruz
tiagocruz em forumgdh.net
Ter Jan 24 11:25:00 BRST 2006
Olá Tiago, olá pessoal!
Estou retomando esse assunto como prometido, pois ainda não consegui
fazer uma rota que funcionasse de forma correta :-(
O meu problema não é montar VPNs no gateway da rede, mas sim fora dele.
Porque não montar no gateway da rede? Porque tenho outro link de
internet e outra máquina fazendo redundância com o gateway principal, ou
seja, está lá sem fazer quase nada :-) então gostaria de colocar os
servidos de VPN no meu link/ maquina de backup.
Pois bem, deixe me tentar explicar o que fiz:
Host principal, FreeBSD 6.0, 192.168.0.1, gateway da nossa rede:
IPSec, host to host: Funciona 100%
OpenVPN: client to host: Funciona 100%
Host backup, FreeBSD 6.0, 192.168.0.253, backup do gateway:
IPSec, host to host: O cara do outro lado só pinga o gateway, não pinga
as estaçoes de trabalho
OpenVPN: client to host: O cliente só pinga o servidor, não pinga as
estaçoes de trabalho.
Eu acho que para isso funcionar, quando o cara está conectado pelo
OpenVPN, por exemplo, e tentar pingar o host 192.168.0.19 o que deve
acontecer é o seguinte:
cliente vpn -> [pinga] -> 192.168.0.1 -> [pinga] -> 192.168.0.19
192.168.0.19 -> [responde] -> 192.168.0.1 -> [responde] -> cliente vpn
O que está acontecendo é que o cliente tenta pingar o 192.168.0.19
diretamente, e não consegue...
Enfim... se alguém puder me ajudar, eu agradeço antecipadamente!
Obrigado,
Tiago Cruz
On Tue, 2006-01-10 at 01:46 -0200, Tiago N. Sampaio wrote:
> Bom eh o seguinte...
> para fazer isso vc vai precisar entender um pouco do fluxo dos pacotes e
> como jogar eles onde vc quiser...
> pois bem..
> Vamos supor a seguinte situação:
>
> A
> Rede 192.168.1.X ---> Freebsd <-- 200.200.200.200 (Saida de internet)
> |
> rede 172.16.15.X
> |
> Rede 192.168.2.X -->Freebsd <-- 200.200.200.100 (saida de internet)
> B
>
> Alterando um pouco o diagrama acima, existiria uma outra maquina que
> fecharia o tunel, e que teria rota para todas as redes...
> apenas colocando uma rota no seu gateway vc repassaria todos os pacotes
> que teriam como destino 192.168.1.X (por exemplo),
> da rede 192.168.2.X... é bem simples... veja na pratica...
> na rede A : route add 192.168.2.0/24 172.16.15.2 (que eh a outra ponta
> da vpn)
> Na rede b:
> Na maquina que estah na ponta da vpn: route add
> 192.168.1.0/24 172.16.15.1
> No seu gateway: route add 192.168.1.0/24 192.168.2.15
> (que eh o ip local da maquina que tem a ponta da vpn)
>
> Seila ficou meio confuso de entender tudo esse monte de coisas ai em cima...
> se tiver alguma duvida ainda soh dar um toque.....
>
> Abraços.
> Tiago N. Sampaio
>
> Tiago Cruz wrote:
>
> >Olá pessoal!
> >
> >Montei um servidor novo como gateway/ firewall para minha empresa e
> >pintou uma dúvida cruel: O meu servidor de VPN precisa ser,
> >necessariamente, o gateway da minha empresa?
> >
> >Porque tentei "por cima" montar o IPSec em um servidor que responde pela
> >rede interna no IP 192.168.0.2 e tem um IP externo válido, ou seja, ele
> >não depende do NAT do novo firewall/ gateway para acessar a NET.
> >
> >Bom, a VPN funciona os hosts se pingam entrem si. O host
> >"daqui" (192.168.0.2) pingam normalmente todos os hosts da rede "de lá",
> >mas o gateway "de lá" (192.168.4.1) apenas consegue pingar a outra ponta
> >da VPN, não consegue pingar nenhum host dentro da minha rede.
> >
> >Bom, tomara que tenham entendido minha dificuldade :)
> >Fico no aguardo de instruções,
> >
> >Obrigado
> >
> >
> >
>
>
> _______________________________________________
> Freebsd mailing list
> Freebsd em fug.com.br
> http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
_______________________________________________
Freebsd mailing list
Freebsd em fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Mais detalhes sobre a lista de discussão freebsd