[FUG-BR] RES: RES: Nat VPN
Thiago Costa
dk.thiago em gmail.com
Sexta Janeiro 4 07:50:49 BRST 2008
On Thursday 03 January 2008 09:55:03 Marcio Antunes wrote:
> Diego,
>
> vc conseguiu fazer essa VPN com Natd ? eu utilizo sem problemas usando
> o OpenVPN. pq vc não usa esta solução ?
>
Teve um vez que estava com um servidor atraz de NAT e queria fazer VPN nele
pra comunicar com outra rede, ai utilizei esse OpenVPN. Aparentemente
funciona muito bem.
Agora se for colocar maquina Windows na parada não sei se vai funcionar pois o
OpenVPN cria interfaces Tun/Tap, acho que o Windows não tem suporte a esse
tipo de interface. Nesse caso acho que PPTP vai funcionar bem
> Em 03/01/08, Thiago Costa<dk.thiago em gmail.com> escreveu:
> > On Friday 07 December 2007 11:47:14 Cristiano Maynart Pereira wrote:
> > > Pode usar o redirecionamento somente dos protocolos necessários, como o
> > > o Alesssando mandou no outro e-mail.
> > >
> > > Copiado do e-mail do Alessandro:
> > >
> > > rdr on $ext_if1 proto gre from any to any -> 10.22.22.1
> > > rdr on $ext_if1 proto {tcp, udp} from any to any port pptp ->
> > > 10.22.22.1
> > >
> > >
> > > Cristiano Maynart
> > >
> > > > -----Original Message-----
> > > > From: freebsd-bounces em fug.com.br
> > > > [mailto:freebsd-bounces em fug.com.br] On Behalf Of Diego
> > > > Piovesan Boschetto
> > > > Sent: sexta-feira, 7 de dezembro de 2007 11:38
> > > > To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> > > > Subject: [FUG-BR] RES: RES: Nat VPN
> > > >
> > > > Certo nesse caso eu conseguiria fazer se tivesse mais de um
> > > > ip validp, o problema é que tenho apenas um e não posso fazer
> > > > um RDR de tudo como sugerido.
> > > >
> > > >
> > > > Diego Piovesan Boschetto | Carbonífera Criciúma S/A Santa
> > > > Catarina - Criciúma | +55 48 3431-3100
> > > > MSN: diegoboschetto em gmail.com | GTalk: diegoboschetto em gmail.com
> > > >
> > > > -----Mensagem original-----
> > > > De: freebsd-bounces em fug.com.br
> > > > [mailto:freebsd-bounces em fug.com.br] Em nome de Cristiano
> > > > Maynart Pereira Enviada em: sexta-feira, 7 de dezembro de 2007 11:10
> > > > Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> > > > Assunto: Re: [FUG-BR] RES: Nat VPN
> > > >
> > > >
> > > > Em relacao ao e-mail do Renato, o que nao funciona com
> > > > forward é o L2TP. Olhando minhas configuracoes lembrei disso,
> > > > entao corrigindo minha mensagem anterior meu cenario nao eh
> > > > igual ao seu, pois nao estou utilizando o L2TP justamente
> > > > devido a isso, mas acredito que voce tenha uma bom nível de
> > > > seguranca exigindo MS CHAP2 na conexao da VPN.
> > > >
> > > > Segue a configuracao com o PF (ips ficticios):
> > > >
> > > > # Variaveis
> > > > ext_vpn = "200.1.1.1" # ip publico do firewall (no
> > > > meu caso eh um alias exclusivo para o servidor da vpn)
> > > > vpn = "192.168.1.1" # ip servidor vpn windows 2003
> > > > int_if = "bge0" # interface interna do firewall
> > > > ext_if = "bge1" # interface externa do firewall
> > > >
> > > > # Redirecionamento
> > > > rdr on $ext_if from any to $ext_vpn -> $vpn
> > > >
> > > >
> > > > # Regras
> > > > pass in on $ext_if proto tcp from any to $vpn port 1723 keep
> > > > state pass in on $ext_if proto gre from any to $vpn keep state
> > > >
> > > >
> > > > Obs.: O firewall esta configurando para bloquear somente
> > > > entrada de pacotes.
> > > >
> > > >
> > > >
> > > > Cristiano Maynart
> > > >
> > > > > -----Original Message-----
> > > > > From: freebsd-bounces em fug.com.br
> > > > > [mailto:freebsd-bounces em fug.com.br] On Behalf Of Diego Piovesan
> > > > > Boschetto
> > > > > Sent: sexta-feira, 7 de dezembro de 2007 10:10
> > > > > To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> > > > > Subject: [FUG-BR] RES: Nat VPN
> > > > >
> > > > > Uso o IPFW, mais pode passar as conf do PF pois quem sabe consigo
> > > > > implementar no IPFW.
> > > > >
> > > > >
> > > > > Diego Piovesan Boschetto | Carbonífera Criciúma S/A Santa
> > > >
> > > > Catarina -
> > > >
> > > > > Criciúma | +55 48 3431-3100
> > > > > MSN: diegoboschetto em gmail.com | GTalk:
> > > > > diegoboschetto em gmail.com -----Mensagem original-----
> > > > > De: freebsd-bounces em fug.com.br
> > > > > [mailto:freebsd-bounces em fug.com.br] Em nome de Cristiano Maynart
> > > > > Pereira Enviada em: sexta-feira, 7 de dezembro de 2007 09:56
> > > > > Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> > > > > Assunto: Re: [FUG-BR] Nat VPN
> > > > >
> > > > > > -----Original Message-----
> > > > > > From: freebsd-bounces em fug.com.br
> > > > > > [mailto:freebsd-bounces em fug.com.br] On Behalf Of Diego Piovesan
> > > > > > Boschetto
> > > > > > Sent: sexta-feira, 7 de dezembro de 2007 09:11
> > > > > > To: freebsd em fug.com.br
> > > > > > Subject: [FUG-BR] Nat VPN
> > > > > > Importance: High
> > > > > >
> > > > > > Olá pessoal gostaria de expor minha situação e saber se
> > > > >
> > > > > alguém poderia
> > > > >
> > > > > > me ajudar nela.
> > > > > >
> > > > > > Estou com um servidor VPN configurado e funcional na minha rede
> > > > > > interna uso o Windows 2003 Server a VPN esta configurada para os
> > > > > > protocolos PPTP e L2TP.
> > > > > >
> > > > > > O que gostaria é que da internet (fora de minha rede
> > > > >
> > > > > interna) pode-se
> > > > >
> > > > > > fazer essa VPN mais para isso preciso configurar uma espécie de
> > > > > > forwarder em meu FreeBSD 5.4-Stable, pois ele é meu gateway
> > > > > > (firewall).
> > > > > > Hoje possuo uma internet ADSL de o modem faz os
> > > > >
> > > > > redirecionamentos para
> > > > >
> > > > > > a interface externa de meu FreeBSD, e a interface interna
> > > > >
> > > > > esta ligado
> > > > >
> > > > > > em minha rede local.
> > > > > >
> > > > > > Portanto para funcionar a VPN o protocolo PPTP necessita da
> > > > >
> > > > > porta TCP
> > > > >
> > > > > > 1723 ao qual usei o natd para fazer esse serviço de publicar esta
> > > > > > porta em meu server VPN interno, mais além disso necessita do
> > > > > > protocolo IP 47 (GRE) para funcionar.
> > > > > >
> > > > > > O protocolo L2TP necessita das portas UDP 500, 4500 al qual fiz o
> > > > > > redirecionamento com o natd também. Mais também precisa do
> > > > >
> > > > > protocolo
> > > > >
> > > > > > IP 50.
> > > > > >
> > > > > > Portanto a necessidade seria somente como fazer um
> > > > >
> > > > > "forwarder" ou NAT
> > > > >
> > > > > > nesses protocolos específicos (IP 47, IP
> > > > > > 50) no FreeBSD para meu server interno da rede.
> > > > > >
> > > > > > Agradeço desde já.
> > > > > > Diego.
> > > > >
> > > > > Voce utiliza o IPFW como firewall?
> > > > >
> > > > > Eu tenho o mesmo cenário funcionando, mas utilizo o PF
> > > >
> > > > (packet filter)
> > > >
> > > > > como firewall.
> > > > >
> > > > > Caso esteja utilizando o PF ou queira migrar, te passo as
> > > > > configurações necessárias.
> > > > >
> > > > >
> > > > >
> > > > > Cristiano Maynart
> > > > > -------------------------
> >
> > Você pode implementar VPN PPTP no seu FreeBSD mesmo (que deve estar na
> > borda e tem IP vãlido), usando PopTop + pppd. http://www.poptop.org/
> >
> > Acho que natear tunel não é um boa solução, enfim....
> >
> > --
> > THIAGO DE SOUZA COSTA
> >
> > e-mail: dk.thiago em gmail.com
> > voip: 55-11-4063-5729 ou 1-503-334-0602
> > jid: dknight em jabber.org
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
THIAGO DE SOUZA COSTA
e-mail: dk.thiago em gmail.com
voip: 55-11-4063-5729 ou 1-503-334-0602
jid: dknight em jabber.org
Mais detalhes sobre a lista de discussão freebsd