[FUG-BR] RES: RES: Nat VPN

Thiago Costa dk.thiago em gmail.com
Quinta Janeiro 3 05:14:37 BRST 2008


On Friday 07 December 2007 11:47:14 Cristiano Maynart Pereira wrote:
> Pode usar o redirecionamento somente dos protocolos necessários, como o o
> Alesssando mandou no outro e-mail.
>
> Copiado do e-mail do Alessandro:
>
> rdr on $ext_if1 proto gre from any to any -> 10.22.22.1
> rdr on $ext_if1 proto {tcp, udp} from any to any port pptp -> 10.22.22.1
>
>
> Cristiano Maynart
>
> > -----Original Message-----
> > From: freebsd-bounces em fug.com.br
> > [mailto:freebsd-bounces em fug.com.br] On Behalf Of Diego
> > Piovesan Boschetto
> > Sent: sexta-feira, 7 de dezembro de 2007 11:38
> > To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> > Subject: [FUG-BR] RES: RES: Nat VPN
> >
> > Certo nesse caso eu conseguiria fazer se tivesse mais de um
> > ip validp, o problema é que tenho apenas um e não posso fazer
> > um RDR de tudo como sugerido.
> >
> >
> > Diego Piovesan Boschetto | Carbonífera Criciúma S/A Santa
> > Catarina - Criciúma | +55 48 3431-3100
> > MSN: diegoboschetto em gmail.com | GTalk: diegoboschetto em gmail.com
> >
> > -----Mensagem original-----
> > De: freebsd-bounces em fug.com.br
> > [mailto:freebsd-bounces em fug.com.br] Em nome de Cristiano
> > Maynart Pereira Enviada em: sexta-feira, 7 de dezembro de 2007 11:10
> > Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> > Assunto: Re: [FUG-BR] RES: Nat VPN
> >
> >
> > Em relacao ao e-mail do Renato, o que nao funciona com
> > forward é o L2TP. Olhando minhas configuracoes lembrei disso,
> > entao corrigindo minha mensagem anterior meu cenario nao eh
> > igual ao seu, pois nao estou utilizando o L2TP justamente
> > devido a isso, mas acredito que voce tenha uma bom nível de
> > seguranca exigindo MS CHAP2 na conexao da VPN.
> >
> > Segue a configuracao com o PF (ips ficticios):
> >
> > # Variaveis
> > ext_vpn = "200.1.1.1"		# ip publico do firewall (no
> > meu caso eh um alias exclusivo para o servidor da vpn)
> > vpn     = "192.168.1.1"		# ip servidor vpn windows 2003
> > int_if  = "bge0"			# interface interna do firewall
> > ext_if  = "bge1"			# interface externa do firewall
> >
> > # Redirecionamento
> > rdr on $ext_if from any to $ext_vpn         -> $vpn
> >
> >
> > # Regras
> > pass in on $ext_if proto tcp from any to $vpn port 1723 keep
> > state pass in on $ext_if proto gre from any to $vpn keep state
> >
> >
> > Obs.: O firewall esta configurando para bloquear somente
> > entrada de pacotes.
> >
> >
> >
> > Cristiano Maynart
> >
> > > -----Original Message-----
> > > From: freebsd-bounces em fug.com.br
> > > [mailto:freebsd-bounces em fug.com.br] On Behalf Of Diego Piovesan
> > > Boschetto
> > > Sent: sexta-feira, 7 de dezembro de 2007 10:10
> > > To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> > > Subject: [FUG-BR] RES: Nat VPN
> > >
> > > Uso o IPFW, mais pode passar as conf do PF pois quem sabe consigo
> > > implementar no IPFW.
> > >
> > >
> > > Diego Piovesan Boschetto | Carbonífera Criciúma S/A Santa
> >
> > Catarina -
> >
> > > Criciúma | +55 48 3431-3100
> > > MSN: diegoboschetto em gmail.com | GTalk:
> > > diegoboschetto em gmail.com -----Mensagem original-----
> > > De: freebsd-bounces em fug.com.br
> > > [mailto:freebsd-bounces em fug.com.br] Em nome de Cristiano Maynart
> > > Pereira Enviada em: sexta-feira, 7 de dezembro de 2007 09:56
> > > Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> > > Assunto: Re: [FUG-BR] Nat VPN
> > >
> > > > -----Original Message-----
> > > > From: freebsd-bounces em fug.com.br
> > > > [mailto:freebsd-bounces em fug.com.br] On Behalf Of Diego Piovesan
> > > > Boschetto
> > > > Sent: sexta-feira, 7 de dezembro de 2007 09:11
> > > > To: freebsd em fug.com.br
> > > > Subject: [FUG-BR] Nat VPN
> > > > Importance: High
> > > >
> > > > Olá pessoal gostaria de expor minha situação e saber se
> > >
> > > alguém poderia
> > >
> > > > me ajudar nela.
> > > >
> > > > Estou com um servidor VPN configurado e funcional na minha rede
> > > > interna uso o Windows 2003 Server a VPN esta configurada para os
> > > > protocolos PPTP e L2TP.
> > > >
> > > > O que gostaria é que da internet (fora de minha rede
> > >
> > > interna) pode-se
> > >
> > > > fazer essa VPN mais para isso preciso configurar uma espécie de
> > > > forwarder em meu FreeBSD 5.4-Stable, pois ele é meu gateway
> > > > (firewall).
> > > > Hoje possuo uma internet ADSL de o modem faz os
> > >
> > > redirecionamentos para
> > >
> > > > a interface externa de meu FreeBSD, e a interface interna
> > >
> > > esta ligado
> > >
> > > > em minha rede local.
> > > >
> > > > Portanto para funcionar a VPN o protocolo PPTP necessita da
> > >
> > > porta TCP
> > >
> > > > 1723 ao qual usei o natd para fazer esse serviço de publicar esta
> > > > porta em meu server VPN interno, mais além disso necessita do
> > > > protocolo IP 47 (GRE) para funcionar.
> > > >
> > > > O protocolo L2TP necessita das portas UDP 500, 4500 al qual fiz o
> > > > redirecionamento com o natd também. Mais também precisa do
> > >
> > > protocolo
> > >
> > > > IP 50.
> > > >
> > > > Portanto a necessidade seria somente como fazer um
> > >
> > > "forwarder" ou NAT
> > >
> > > > nesses protocolos específicos (IP 47, IP
> > > > 50) no FreeBSD para meu server interno da rede.
> > > >
> > > > Agradeço desde já.
> > > > Diego.
> > >
> > > Voce utiliza o IPFW como firewall?
> > >
> > > Eu tenho o mesmo cenário funcionando, mas utilizo o PF
> >
> > (packet filter)
> >
> > > como firewall.
> > >
> > > Caso esteja utilizando o PF ou queira migrar, te passo as
> > > configurações necessárias.
> > >
> > >
> > >
> > > Cristiano Maynart
> > > -------------------------

Você pode implementar VPN PPTP no seu FreeBSD mesmo (que deve estar na borda e 
tem IP vãlido), usando PopTop + pppd. http://www.poptop.org/

Acho que natear tunel não é um boa solução, enfim....

-- 
THIAGO DE SOUZA COSTA

e-mail: dk.thiago em gmail.com
voip: 55-11-4063-5729 ou 1-503-334-0602
jid: dknight em jabber.org


Mais detalhes sobre a lista de discussão freebsd