[FUG-BR] VPN VTUND + NAT + IPFW + ROTEAMENTO

willien.fernandes em lidertel.com.br willien.fernandes em lidertel.com.br
Sexta Dezembro 7 14:35:54 BRST 2007 


 Boa Tarde  

 Tenho a seguinte situação, com uma vpn fechada com o
VTUND, rodando em cima de dois links do AJATO (TVA).   

 MATRIZ (10.30.1.0/24) (10.30.1.24) VTUN MATRIZ gw A (130.2.12.254)
(130.2.12.253) VTUN FILIAL gw B (130.2.2.2)   FILIAL (130.2.2.0/23)  

 Preciso na rede da minha filial acessar uma faixa de ip
192.168.100.0/24, e na rede da matriz, a rota para essa rede sai por
10.30.1.231.  

 Tracei a rota na minha matriz e verifiquei os ips que passam ate
chegar na rede 192.168.100.0/24:  

  1  10.30.1.232 (10.30.1.232)  4.664 ms  2.981 ms  2.216 ms
  2  10.35.1.2 (10.35.1.2)  136.194 ms  19.398 ms  19.435 ms
  3  10.23.100.231 (10.23.100.231)  19.120 ms  68.916 ms  69.326 ms
  4  192.168.1.240 (192.168.1.240)  49.725 ms  20.646 ms  24.318 ms
  5  192.168.101.5 (192.168.101.5)  37.419 ms  134.319 ms
      192.168.102.5 (192.168.102.5)  74.736 ms
  6  192.168.100.11 (192.168.100.11)  146.310 ms  133.013 ms  79.232
m  

 ## Firewall MATRIZ ##  

 /sbin/natd
-s -m -n bge0 -p 8668 (natd internet)
 /sbin/natd -l -s -m -a 10.30.1.24 -p 8671 9 (nat rede interna)
 /sbin/natd -l -s -m -n tun0 -p 8672 (nat tunnel)  

 ${fw_cmd} add 100 divert 8671 log all from any to {
192.168.100.0/24, 10.30.1.0/24, 10.35.1.0/24, 10.23.100.0/24 }
 ${fw_cmd} add 110 divert 8671 log all from { 192.168.100.0/24,
10.30.1.0/24, 10.35.1.0/24, 10.23.100.0/24 } to any  

 ${fw_cmd} add 140 divert natd all from ${rede_local} to any via bge0
 ${fw_cmd} add 150 divert natd all from any to ${ip_externo} in via
bge0  

 ${fw_cmd} add allow all from any to any  

 ## Firewall Filial ##  

 /sbin/natd -s -m -n sis0 (nat internet)
 /sbin/natd -s -m -n tun0 -p 8669 (nat tunnel)  

 ${fw_cmd} add divert natd all from ${rede_local} to any via sis0
 ${fw_cmd} add divert natd all from any to ${ip_externo} in via sis0 


 ipfw add allow from any to any  

 ## vtund.conf MATRIZ ##  

 options {
 port 5000;  

 ifconfig /sbin/ifconfig;
 route /sbin/route;
 }  

 default {
 type tun;

proto tcp;
 keepalive yes;
 stat yes;
 multi killold;
 }  

 filial {
 passwd senha;
 proto tcp;
 type tun;
 compress yes;
 up {  

 # configura interface ponto-a-ponto
 ifconfig "%% 130.2.12.254 130.2.12.253";  

 # adiciona rota para a rede da filial
 route "add -net 130.2.12.0/24 130.2.12.253";
 route "add -net 130.2.2.0/23 130.2.12.253";
 };  

 down {
 ifconfig "%% delete down";
 route "delete 130.2.12.0/24";
 route "delete 130.2.2.0/23";
 ## vtund.conf FILIAL ##  

 options {
 port 5000;
 timeout 20;
 syslog daemon;  

 ifconfig /sbin/ifconfig;
 route /sbin/route;
 }  

 filial {
  passwd senha;
  persist yes;
  compress yes;
  type tun;  

 up {
 ifconfig "%% 130.2.12.253 130.2.12.254";  

 route "add -net 130.2.12.0/24 130.2.12.254";
 route "add -net 10.30.1.0/24 130.2.12.254";
 route "add -net 192.168.100.0/24 130.2.12.254";  

 };  

 down {
 ifconfig "%% delete down";
 route "delete 130.2.12.0/24";
 route "delete 10.30.1.0/24";
 route "delete 192.168.100.0/24";  

 Consigo
da FILIAL acessar a rede 10.30.1.0/24. mas não
consigo acessar a rede 192.168.100.11, e da matriz não cosigoa
acessar nehuma maquina da rede 130.2.2.0/23  

 Algum sugestão, onde eu posso estar errando ?
 Abs,  

  Willien C. Fernandes

Mais detalhes sobre a lista de discussão freebsd