[FUG-BR] RES: RES: Nat VPN

Marcelo de Souza Sant'Anna marcelo.santanna em gmail.com
Sábado Janeiro 5 11:36:20 BRST 2008


Se você quiser manter seu servidor Windows que faz a VPN hoje fazendo
autenticação no A.D., a melhor solução é fazer redirecionamento como já
foi citado. O OpenVPN não faz autenticação no A.D.

Com relação a usar o OpenVPN como bridge, este foi o meu primeiro teste
com ele e confesso que particularmente não gostei. Apesar de não
envolver roteamento o desempenho dele foi inferior do que quando o
utilizei como gateway VPN, mesmo otimizando-o. Não estou dizendo que
ficou uma porcaria, mas notei uma certa diferença. Sem falar no fato de
que existem limitações de regras que não podem ser aplicadas quando está
no modo bridge.


On Sat, 2008-01-05 at 02:19 -0200, Thiago Costa wrote:

> Certo, vou baixar aqui pra testar :-)
> 
> On Saturday 05 January 2008 01:12:20 Marcio Antunes wrote:
> > tem sim amigo..
> >
> > Em 04/01/08, Junior Pires<jrpiresfs em gmail.com> escreveu:
> > > Mas tem um client for windows pro openvpn... =)
> > >
> > > Em 04/01/08, Thiago Costa <dk.thiago em gmail.com> escreveu:
> > > > On Thursday 03 January 2008 09:55:03 Marcio Antunes wrote:
> > > > > Diego,
> > > > >
> > > > > vc conseguiu fazer essa VPN com Natd ? eu utilizo sem problemas
> > > > > usando o OpenVPN. pq vc não usa esta solução ?
> > > >
> > > > Teve um vez que estava com um servidor atraz de NAT e queria fazer VPN
> > > > nele
> > > > pra comunicar com outra rede, ai utilizei esse OpenVPN. Aparentemente
> > > > funciona muito bem.
> > > >
> > > > Agora se for colocar maquina Windows na parada não sei se vai funcionar
> > > > pois o
> > > > OpenVPN cria interfaces Tun/Tap, acho que o Windows não tem suporte a
> > > > esse tipo de interface. Nesse caso acho que PPTP vai funcionar bem
> > > >
> > > > > Em 03/01/08, Thiago Costa<dk.thiago em gmail.com> escreveu:
> > > > > > On Friday 07 December 2007 11:47:14 Cristiano Maynart Pereira wrote:
> > > > > > > Pode usar o redirecionamento somente dos protocolos necessários,
> > > >
> > > > como o
> > > >
> > > > > > > o Alesssando mandou no outro e-mail.
> > > > > > >
> > > > > > > Copiado do e-mail do Alessandro:
> > > > > > >
> > > > > > > rdr on $ext_if1 proto gre from any to any -> 10.22.22.1
> > > > > > > rdr on $ext_if1 proto {tcp, udp} from any to any port pptp ->
> > > > > > > 10.22.22.1
> > > > > > >
> > > > > > >
> > > > > > > Cristiano Maynart
> > > > > > >
> > > > > > > > -----Original Message-----
> > > > > > > > From: freebsd-bounces em fug.com.br
> > > > > > > > [mailto:freebsd-bounces em fug.com.br] On Behalf Of Diego
> > > > > > > > Piovesan Boschetto
> > > > > > > > Sent: sexta-feira, 7 de dezembro de 2007 11:38
> > > > > > > > To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> > > > > > > > Subject: [FUG-BR] RES: RES: Nat VPN
> > > > > > > >
> > > > > > > > Certo nesse caso eu conseguiria fazer se tivesse mais de um
> > > > > > > > ip validp, o problema é que tenho apenas um e não posso fazer
> > > > > > > > um RDR de tudo como sugerido.
> > > > > > > >
> > > > > > > >
> > > > > > > > Diego Piovesan Boschetto | Carbonífera Criciúma S/A Santa
> > > > > > > > Catarina - Criciúma | +55 48 3431-3100
> > > > > > > > MSN: diegoboschetto em gmail.com | GTalk: diegoboschetto em gmail.com
> > > > > > > >
> > > > > > > > -----Mensagem original-----
> > > > > > > > De: freebsd-bounces em fug.com.br
> > > > > > > > [mailto:freebsd-bounces em fug.com.br] Em nome de Cristiano
> > > > > > > > Maynart Pereira Enviada em: sexta-feira, 7 de dezembro de 2007
> > > >
> > > > 11:10
> > > >
> > > > > > > > Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> > > > > > > > Assunto: Re: [FUG-BR] RES: Nat VPN
> > > > > > > >
> > > > > > > >
> > > > > > > > Em relacao ao e-mail do Renato, o que nao funciona com
> > > > > > > > forward é o L2TP. Olhando minhas configuracoes lembrei disso,
> > > > > > > > entao corrigindo minha mensagem anterior meu cenario nao eh
> > > > > > > > igual ao seu, pois nao estou utilizando o L2TP justamente
> > > > > > > > devido a isso, mas acredito que voce tenha uma bom nível de
> > > > > > > > seguranca exigindo MS CHAP2 na conexao da VPN.
> > > > > > > >
> > > > > > > > Segue a configuracao com o PF (ips ficticios):
> > > > > > > >
> > > > > > > > # Variaveis
> > > > > > > > ext_vpn = "200.1.1.1"               # ip publico do firewall
> > > > > > > > (no meu caso eh um alias exclusivo para o servidor da vpn) vpn 
> > > > > > > >    = "192.168.1.1"             # ip servidor vpn windows 2003
> > > > > > > > int_if  = "bge0"                    # interface interna do
> > > >
> > > > firewall
> > > >
> > > > > > > > ext_if  = "bge1"                    # interface externa do
> > > >
> > > > firewall
> > > >
> > > > > > > > # Redirecionamento
> > > > > > > > rdr on $ext_if from any to $ext_vpn         -> $vpn
> > > > > > > >
> > > > > > > >
> > > > > > > > # Regras
> > > > > > > > pass in on $ext_if proto tcp from any to $vpn port 1723 keep
> > > > > > > > state pass in on $ext_if proto gre from any to $vpn keep state
> > > > > > > >
> > > > > > > >
> > > > > > > > Obs.: O firewall esta configurando para bloquear somente
> > > > > > > > entrada de pacotes.
> > > > > > > >
> > > > > > > >
> > > > > > > >
> > > > > > > > Cristiano Maynart
> > > > > > > >
> > > > > > > > > -----Original Message-----
> > > > > > > > > From: freebsd-bounces em fug.com.br
> > > > > > > > > [mailto:freebsd-bounces em fug.com.br] On Behalf Of Diego
> > > > > > > > > Piovesan Boschetto
> > > > > > > > > Sent: sexta-feira, 7 de dezembro de 2007 10:10
> > > > > > > > > To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> > > > > > > > > Subject: [FUG-BR] RES: Nat VPN
> > > > > > > > >
> > > > > > > > > Uso o IPFW, mais pode passar as conf do PF pois quem sabe
> > > >
> > > > consigo
> > > >
> > > > > > > > > implementar no IPFW.
> > > > > > > > >
> > > > > > > > >
> > > > > > > > > Diego Piovesan Boschetto | Carbonífera Criciúma S/A Santa
> > > > > > > >
> > > > > > > > Catarina -
> > > > > > > >
> > > > > > > > > Criciúma | +55 48 3431-3100
> > > > > > > > > MSN: diegoboschetto em gmail.com | GTalk:
> > > > > > > > > diegoboschetto em gmail.com -----Mensagem original-----
> > > > > > > > > De: freebsd-bounces em fug.com.br
> > > > > > > > > [mailto:freebsd-bounces em fug.com.br] Em nome de Cristiano
> > > > > > > > > Maynart Pereira Enviada em: sexta-feira, 7 de dezembro de
> > > > > > > > > 2007 09:56 Para: Lista Brasileira de Discussão sobre FreeBSD
> > > > > > > > > (FUG-BR) Assunto: Re: [FUG-BR] Nat VPN
> > > > > > > > >
> > > > > > > > > > -----Original Message-----
> > > > > > > > > > From: freebsd-bounces em fug.com.br
> > > > > > > > > > [mailto:freebsd-bounces em fug.com.br] On Behalf Of Diego
> > > >
> > > > Piovesan
> > > >
> > > > > > > > > > Boschetto
> > > > > > > > > > Sent: sexta-feira, 7 de dezembro de 2007 09:11
> > > > > > > > > > To: freebsd em fug.com.br
> > > > > > > > > > Subject: [FUG-BR] Nat VPN
> > > > > > > > > > Importance: High
> > > > > > > > > >
> > > > > > > > > > Olá pessoal gostaria de expor minha situação e saber se
> > > > > > > > >
> > > > > > > > > alguém poderia
> > > > > > > > >
> > > > > > > > > > me ajudar nela.
> > > > > > > > > >
> > > > > > > > > > Estou com um servidor VPN configurado e funcional na minha
> > > >
> > > > rede
> > > >
> > > > > > > > > > interna uso o Windows 2003 Server a VPN esta configurada
> > > > > > > > > > para
> > > >
> > > > os
> > > >
> > > > > > > > > > protocolos PPTP e L2TP.
> > > > > > > > > >
> > > > > > > > > > O que gostaria é que da internet (fora de minha rede
> > > > > > > > >
> > > > > > > > > interna) pode-se
> > > > > > > > >
> > > > > > > > > > fazer essa VPN mais para isso preciso configurar uma
> > > > > > > > > > espécie
> > > >
> > > > de
> > > >
> > > > > > > > > > forwarder em meu FreeBSD 5.4-Stable, pois ele é meu gateway
> > > > > > > > > > (firewall).
> > > > > > > > > > Hoje possuo uma internet ADSL de o modem faz os
> > > > > > > > >
> > > > > > > > > redirecionamentos para
> > > > > > > > >
> > > > > > > > > > a interface externa de meu FreeBSD, e a interface interna
> > > > > > > > >
> > > > > > > > > esta ligado
> > > > > > > > >
> > > > > > > > > > em minha rede local.
> > > > > > > > > >
> > > > > > > > > > Portanto para funcionar a VPN o protocolo PPTP necessita da
> > > > > > > > >
> > > > > > > > > porta TCP
> > > > > > > > >
> > > > > > > > > > 1723 ao qual usei o natd para fazer esse serviço de
> > > > > > > > > > publicar
> > > >
> > > > esta
> > > >
> > > > > > > > > > porta em meu server VPN interno, mais além disso necessita
> > > > > > > > > > do protocolo IP 47 (GRE) para funcionar.
> > > > > > > > > >
> > > > > > > > > > O protocolo L2TP necessita das portas UDP 500, 4500 al qual
> > > >
> > > > fiz o
> > > >
> > > > > > > > > > redirecionamento com o natd também. Mais também precisa do
> > > > > > > > >
> > > > > > > > > protocolo
> > > > > > > > >
> > > > > > > > > > IP 50.
> > > > > > > > > >
> > > > > > > > > > Portanto a necessidade seria somente como fazer um
> > > > > > > > >
> > > > > > > > > "forwarder" ou NAT
> > > > > > > > >
> > > > > > > > > > nesses protocolos específicos (IP 47, IP
> > > > > > > > > > 50) no FreeBSD para meu server interno da rede.
> > > > > > > > > >
> > > > > > > > > > Agradeço desde já.
> > > > > > > > > > Diego.
> > > > > > > > >
> > > > > > > > > Voce utiliza o IPFW como firewall?
> > > > > > > > >
> > > > > > > > > Eu tenho o mesmo cenário funcionando, mas utilizo o PF
> > > > > > > >
> > > > > > > > (packet filter)
> > > > > > > >
> > > > > > > > > como firewall.
> > > > > > > > >
> > > > > > > > > Caso esteja utilizando o PF ou queira migrar, te passo as
> > > > > > > > > configurações necessárias.
> > > > > > > > >
> > > > > > > > >
> > > > > > > > >
> > > > > > > > > Cristiano Maynart
> > > > > > > > > -------------------------
> > > > > >
> > > > > > Você pode implementar VPN PPTP no seu FreeBSD mesmo (que deve estar
> > > > > > na borda e tem IP vãlido), usando PopTop + pppd.
> > > > > > http://www.poptop.org/
> > > > > >
> > > > > > Acho que natear tunel não é um boa solução, enfim....
> > > > > >
> > > > > > --
> > > > > > THIAGO DE SOUZA COSTA
> > > > > >
> > > > > > e-mail: dk.thiago em gmail.com
> > > > > > voip: 55-11-4063-5729 ou 1-503-334-0602
> > > > > > jid: dknight em jabber.org
> > > > > > -------------------------
> > > > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > >
> > > > --
> > > > THIAGO DE SOUZA COSTA
> > > >
> > > > e-mail: dk.thiago em gmail.com
> > > > voip: 55-11-4063-5729 ou 1-503-334-0602
> > > > jid: dknight em jabber.org
> > > > -------------------------
> > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> > > -------------------------
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> 
> 
> 
-------------- Próxima Parte ----------
Um anexo não texto foi limpo...
Nome  : não disponível
Tipo  : application/pgp-signature
Tam   : 189 bytes
Descr.: This is a digitally signed message part
Url   : http://www.fug.com.br/historico/html/freebsd/attachments/20080105/7dd63040/attachment.bin 


Mais detalhes sobre a lista de discussão freebsd