Re: [FUG-BR] Dúvida IPSec: Precisa ser ogateway mesmo?

Rodrigo Castro admin em roullier.com.br
Ter Jan 24 14:36:18 BRST 2006 

Boa tarde, Tiago

Aparentemente a solução de seu problema é bem simples: você só terá de 
colocar a rota para a sua rede do cliente da VPN no seu gateway principal, 
assumindo que todas as suas máquinas da rede interna estão com ele como 
gateway default.

Abraço,

Rodrigo Kayser de Castro
Tecnologia da Informação
Roullier Brasil Ltda.
http://www.roullier.com.br
+55 51 33828752

----- Original Message ----- 
From: Tiago Cruz
To: Lista de discussao do grupo FUG-BR
Sent: Tuesday, January 24, 2006 11:25 AM
Subject: Re: [FUG-BR] Dúvida IPSec: Precisa ser ogateway mesmo?


Olá Tiago, olá pessoal!

Estou retomando esse assunto como prometido, pois ainda não consegui
fazer uma rota que funcionasse de forma correta :-(

O meu problema não é montar VPNs no gateway da rede, mas sim fora dele.
Porque não montar no gateway da rede? Porque tenho outro link de
internet e outra máquina fazendo redundância com o gateway principal, ou
seja, está lá sem fazer quase nada :-) então gostaria de colocar os
servidos de VPN no meu link/ maquina de backup.

Pois bem, deixe me tentar explicar o que fiz:

Host principal, FreeBSD 6.0, 192.168.0.1, gateway da nossa rede:
IPSec, host to host: Funciona 100%
OpenVPN: client to host: Funciona 100%

Host backup, FreeBSD 6.0, 192.168.0.253, backup do gateway:
IPSec, host to host: O cara do outro lado só pinga o gateway, não pinga
as estaçoes de trabalho
OpenVPN: client to host: O cliente só pinga o servidor, não pinga as
estaçoes de trabalho.


Eu acho que para isso funcionar, quando o cara está conectado pelo
OpenVPN, por exemplo, e tentar pingar o host 192.168.0.19 o que deve
acontecer é o seguinte:

cliente vpn -> [pinga] -> 192.168.0.1 -> [pinga] -> 192.168.0.19
192.168.0.19 -> [responde] -> 192.168.0.1 -> [responde] -> cliente vpn

O que está acontecendo é que o cliente tenta pingar o 192.168.0.19
diretamente, e não consegue...

Enfim... se alguém puder me ajudar, eu agradeço antecipadamente!

Obrigado,
Tiago Cruz


On Tue, 2006-01-10 at 01:46 -0200, Tiago N. Sampaio wrote:
> Bom eh o seguinte...
> para fazer isso vc vai precisar entender um pouco do fluxo dos pacotes e
> como jogar eles onde vc quiser...
> pois bem..
> Vamos supor a seguinte situação:
>
>                                            A
> Rede 192.168.1.X ---> Freebsd <-- 200.200.200.200 (Saida de internet)
>                                         |
>                                         rede 172.16.15.X
>                                         |
> Rede 192.168.2.X -->Freebsd <-- 200.200.200.100 (saida de internet)
>                                            B
>
> Alterando um pouco o diagrama acima, existiria uma outra maquina que
> fecharia o tunel, e que teria rota para todas as redes...
> apenas colocando uma rota no seu gateway vc repassaria todos os pacotes
> que teriam como destino 192.168.1.X (por exemplo),
> da rede 192.168.2.X... é bem simples... veja na pratica...
> na rede A : route add 192.168.2.0/24 172.16.15.2 (que eh a outra ponta
> da vpn)
> Na rede b:
>                 Na maquina que estah na ponta da vpn: route add
> 192.168.1.0/24 172.16.15.1
>                 No seu gateway: route add 192.168.1.0/24 192.168.2.15
> (que eh o ip local da maquina que tem a ponta da vpn)
>
> Seila ficou meio confuso de entender tudo esse monte de coisas ai em 
> cima...
> se tiver alguma duvida ainda soh dar um toque.....
>
> Abraços.
> Tiago N. Sampaio
>
> Tiago Cruz wrote:
>
> >Olá pessoal!
> >
> >Montei um servidor novo como gateway/ firewall para minha empresa e
> >pintou uma dúvida cruel: O meu servidor de VPN precisa ser,
> >necessariamente, o gateway da minha empresa?
> >
> >Porque tentei "por cima" montar o IPSec em um servidor que responde pela
> >rede interna no IP 192.168.0.2 e tem um IP externo válido, ou seja, ele
> >não depende do NAT do novo firewall/ gateway para acessar a NET.
> >
> >Bom, a VPN funciona os hosts se pingam entrem si. O host
> >"daqui" (192.168.0.2) pingam normalmente todos os hosts da rede "de lá",
> >mas o gateway "de lá" (192.168.4.1) apenas consegue pingar a outra ponta
> >da VPN, não consegue pingar nenhum host dentro da minha rede.
> >
> >Bom, tomara que tenham entendido minha dificuldade :)
> >Fico no aguardo de instruções,
> >
> >Obrigado
> >
> >
> >
>
>
> _______________________________________________
> Freebsd mailing list
> Freebsd em fug.com.br
> http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br



_______________________________________________
Freebsd mailing list
Freebsd em fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br 


_______________________________________________
Freebsd mailing list
Freebsd em fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br

Mais detalhes sobre a lista de discussão freebsd