[FUG-BR] RES: RES: RES: Nat VPN

Marcio Antunes mantunes.listas em gmail.com
Sexta Janeiro 11 10:18:41 BRST 2008


Galera,

não entendi o lance do redirecionamento. pode explicar melhor, até pq
tambem tenho interresse em ter autenticação no AD, hoje faço com o
OpenVPN.

Em 11/01/08, Diego Piovesan Boschetto<diego at carbocri.com.br> escreveu:
> É verdade. O problema é o redirecionamento, nat de protocolos que não seja o tcp e udp como o protocolo ip 47 necessário para fazer a vpn com o uso do pptp. Ai é que mata a questão, esse redirecionamento não consigo fazer até hoje.
>
>
> Diego Piovesan Boschetto | Carbonífera Criciúma S/A
> Santa Catarina - Criciúma | +55 48 3431-3100
> MSN: diegoboschetto at gmail.com | GTalk: diegoboschetto at gmail.com
> -----Mensagem original-----
> De: freebsd-bounces at fug.com.br [mailto:freebsd-bounces at fug.com.br] Em nome de Marcelo de Souza Sant'Anna
> Enviada em: sábado, 5 de janeiro de 2008 11:36
> Para: Lista Brasileira de Discussão "sobre FreeBSD (FUG-BR)
> Assunto: Re: [FUG-BR] RES: RES: Nat VPN
>
> Se você quiser manter seu servidor Windows que faz a VPN hoje fazendo
> autenticação no A.D., a melhor solução é fazer redirecionamento como já
> foi citado. O OpenVPN não faz autenticação no A.D.
>
> Com relação a usar o OpenVPN como bridge, este foi o meu primeiro teste
> com ele e confesso que particularmente não gostei. Apesar de não
> envolver roteamento o desempenho dele foi inferior do que quando o
> utilizei como gateway VPN, mesmo otimizando-o. Não estou dizendo que
> ficou uma porcaria, mas notei uma certa diferença. Sem falar no fato de
> que existem limitações de regras que não podem ser aplicadas quando está
> no modo bridge.
>
>
> On Sat, 2008-01-05 at 02:19 -0200, Thiago Costa wrote:
>
> > Certo, vou baixar aqui pra testar :-)
> >
> > On Saturday 05 January 2008 01:12:20 Marcio Antunes wrote:
> > > tem sim amigo..
> > >
> > > Em 04/01/08, Junior Pires<jrpiresfs at gmail.com> escreveu:
> > > > Mas tem um client for windows pro openvpn... =)
> > > >
> > > > Em 04/01/08, Thiago Costa <dk.thiago at gmail.com> escreveu:
> > > > > On Thursday 03 January 2008 09:55:03 Marcio Antunes wrote:
> > > > > > Diego,
> > > > > >
> > > > > > vc conseguiu fazer essa VPN com Natd ? eu utilizo sem problemas
> > > > > > usando o OpenVPN. pq vc não usa esta solução ?
> > > > >
> > > > > Teve um vez que estava com um servidor atraz de NAT e queria fazer VPN
> > > > > nele
> > > > > pra comunicar com outra rede, ai utilizei esse OpenVPN. Aparentemente
> > > > > funciona muito bem.
> > > > >
> > > > > Agora se for colocar maquina Windows na parada não sei se vai funcionar
> > > > > pois o
> > > > > OpenVPN cria interfaces Tun/Tap, acho que o Windows não tem suporte a
> > > > > esse tipo de interface. Nesse caso acho que PPTP vai funcionar bem
> > > > >
> > > > > > Em 03/01/08, Thiago Costa<dk.thiago at gmail.com> escreveu:
> > > > > > > On Friday 07 December 2007 11:47:14 Cristiano Maynart Pereira wrote:
> > > > > > > > Pode usar o redirecionamento somente dos protocolos necessários,
> > > > >
> > > > > como o
> > > > >
> > > > > > > > o Alesssando mandou no outro e-mail.
> > > > > > > >
> > > > > > > > Copiado do e-mail do Alessandro:
> > > > > > > >
> > > > > > > > rdr on $ext_if1 proto gre from any to any -> 10.22.22.1
> > > > > > > > rdr on $ext_if1 proto {tcp, udp} from any to any port pptp ->
> > > > > > > > 10.22.22.1
> > > > > > > >
> > > > > > > >
> > > > > > > > Cristiano Maynart
> > > > > > > >
> > > > > > > > > -----Original Message-----
> > > > > > > > > From: freebsd-bounces at fug.com.br
> > > > > > > > > [mailto:freebsd-bounces at fug.com.br] On Behalf Of Diego
> > > > > > > > > Piovesan Boschetto
> > > > > > > > > Sent: sexta-feira, 7 de dezembro de 2007 11:38
> > > > > > > > > To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> > > > > > > > > Subject: [FUG-BR] RES: RES: Nat VPN
> > > > > > > > >
> > > > > > > > > Certo nesse caso eu conseguiria fazer se tivesse mais de um
> > > > > > > > > ip validp, o problema é que tenho apenas um e não posso fazer
> > > > > > > > > um RDR de tudo como sugerido.
> > > > > > > > >
> > > > > > > > >
> > > > > > > > > Diego Piovesan Boschetto | Carbonífera Criciúma S/A Santa
> > > > > > > > > Catarina - Criciúma | +55 48 3431-3100
> > > > > > > > > MSN: diegoboschetto at gmail.com | GTalk: diegoboschetto at gmail.com
> > > > > > > > >
> > > > > > > > > -----Mensagem original-----
> > > > > > > > > De: freebsd-bounces at fug.com.br
> > > > > > > > > [mailto:freebsd-bounces at fug.com.br] Em nome de Cristiano
> > > > > > > > > Maynart Pereira Enviada em: sexta-feira, 7 de dezembro de 2007
> > > > >
> > > > > 11:10
> > > > >
> > > > > > > > > Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> > > > > > > > > Assunto: Re: [FUG-BR] RES: Nat VPN
> > > > > > > > >
> > > > > > > > >
> > > > > > > > > Em relacao ao e-mail do Renato, o que nao funciona com
> > > > > > > > > forward é o L2TP. Olhando minhas configuracoes lembrei disso,
> > > > > > > > > entao corrigindo minha mensagem anterior meu cenario nao eh
> > > > > > > > > igual ao seu, pois nao estou utilizando o L2TP justamente
> > > > > > > > > devido a isso, mas acredito que voce tenha uma bom nível de
> > > > > > > > > seguranca exigindo MS CHAP2 na conexao da VPN.
> > > > > > > > >
> > > > > > > > > Segue a configuracao com o PF (ips ficticios):
> > > > > > > > >
> > > > > > > > > # Variaveis
> > > > > > > > > ext_vpn = "200.1.1.1"               # ip publico do firewall
> > > > > > > > > (no meu caso eh um alias exclusivo para o servidor da vpn) vpn
> > > > > > > > >    = "192.168.1.1"             # ip servidor vpn windows 2003
> > > > > > > > > int_if  = "bge0"                    # interface interna do
> > > > >
> > > > > firewall
> > > > >
> > > > > > > > > ext_if  = "bge1"                    # interface externa do
> > > > >
> > > > > firewall
> > > > >
> > > > > > > > > # Redirecionamento
> > > > > > > > > rdr on $ext_if from any to $ext_vpn         -> $vpn
> > > > > > > > >
> > > > > > > > >
> > > > > > > > > # Regras
> > > > > > > > > pass in on $ext_if proto tcp from any to $vpn port 1723 keep
> > > > > > > > > state pass in on $ext_if proto gre from any to $vpn keep state
> > > > > > > > >
> > > > > > > > >
> > > > > > > > > Obs.: O firewall esta configurando para bloquear somente
> > > > > > > > > entrada de pacotes.
> > > > > > > > >
> > > > > > > > >
> > > > > > > > >
> > > > > > > > > Cristiano Maynart
> > > > > > > > >
> > > > > > > > > > -----Original Message-----
> > > > > > > > > > From: freebsd-bounces at fug.com.br
> > > > > > > > > > [mailto:freebsd-bounces at fug.com.br] On Behalf Of Diego
> > > > > > > > > > Piovesan Boschetto
> > > > > > > > > > Sent: sexta-feira, 7 de dezembro de 2007 10:10
> > > > > > > > > > To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> > > > > > > > > > Subject: [FUG-BR] RES: Nat VPN
> > > > > > > > > >
> > > > > > > > > > Uso o IPFW, mais pode passar as conf do PF pois quem sabe
> > > > >
> > > > > consigo
> > > > >
> > > > > > > > > > implementar no IPFW.
> > > > > > > > > >
> > > > > > > > > >
> > > > > > > > > > Diego Piovesan Boschetto | Carbonífera Criciúma S/A Santa
> > > > > > > > >
> > > > > > > > > Catarina -
> > > > > > > > >
> > > > > > > > > > Criciúma | +55 48 3431-3100
> > > > > > > > > > MSN: diegoboschetto at gmail.com | GTalk:
> > > > > > > > > > diegoboschetto at gmail.com -----Mensagem original-----
> > > > > > > > > > De: freebsd-bounces at fug.com.br
> > > > > > > > > > [mailto:freebsd-bounces at fug.com.br] Em nome de Cristiano
> > > > > > > > > > Maynart Pereira Enviada em: sexta-feira, 7 de dezembro de
> > > > > > > > > > 2007 09:56 Para: Lista Brasileira de Discussão sobre FreeBSD
> > > > > > > > > > (FUG-BR) Assunto: Re: [FUG-BR] Nat VPN
> > > > > > > > > >
> > > > > > > > > > > -----Original Message-----
> > > > > > > > > > > From: freebsd-bounces at fug.com.br
> > > > > > > > > > > [mailto:freebsd-bounces at fug.com.br] On Behalf Of Diego
> > > > >
> > > > > Piovesan
> > > > >
> > > > > > > > > > > Boschetto
> > > > > > > > > > > Sent: sexta-feira, 7 de dezembro de 2007 09:11
> > > > > > > > > > > To: freebsd at fug.com.br
> > > > > > > > > > > Subject: [FUG-BR] Nat VPN
> > > > > > > > > > > Importance: High
> > > > > > > > > > >
> > > > > > > > > > > Olá pessoal gostaria de expor minha situação e saber se
> > > > > > > > > >
> > > > > > > > > > alguém poderia
> > > > > > > > > >
> > > > > > > > > > > me ajudar nela.
> > > > > > > > > > >
> > > > > > > > > > > Estou com um servidor VPN configurado e funcional na minha
> > > > >
> > > > > rede
> > > > >
> > > > > > > > > > > interna uso o Windows 2003 Server a VPN esta configurada
> > > > > > > > > > > para
> > > > >
> > > > > os
> > > > >
> > > > > > > > > > > protocolos PPTP e L2TP.
> > > > > > > > > > >
> > > > > > > > > > > O que gostaria é que da internet (fora de minha rede
> > > > > > > > > >
> > > > > > > > > > interna) pode-se
> > > > > > > > > >
> > > > > > > > > > > fazer essa VPN mais para isso preciso configurar uma
> > > > > > > > > > > espécie
> > > > >
> > > > > de
> > > > >
> > > > > > > > > > > forwarder em meu FreeBSD 5.4-Stable, pois ele é meu gateway
> > > > > > > > > > > (firewall).
> > > > > > > > > > > Hoje possuo uma internet ADSL de o modem faz os
> > > > > > > > > >
> > > > > > > > > > redirecionamentos para
> > > > > > > > > >
> > > > > > > > > > > a interface externa de meu FreeBSD, e a interface interna
> > > > > > > > > >
> > > > > > > > > > esta ligado
> > > > > > > > > >
> > > > > > > > > > > em minha rede local.
> > > > > > > > > > >
> > > > > > > > > > > Portanto para funcionar a VPN o protocolo PPTP necessita da
> > > > > > > > > >
> > > > > > > > > > porta TCP
> > > > > > > > > >
> > > > > > > > > > > 1723 ao qual usei o natd para fazer esse serviço de
> > > > > > > > > > > publicar
> > > > >
> > > > > esta
> > > > >
> > > > > > > > > > > porta em meu server VPN interno, mais além disso necessita
> > > > > > > > > > > do protocolo IP 47 (GRE) para funcionar.
> > > > > > > > > > >
> > > > > > > > > > > O protocolo L2TP necessita das portas UDP 500, 4500 al qual
> > > > >
> > > > > fiz o
> > > > >
> > > > > > > > > > > redirecionamento com o natd também. Mais também precisa do
> > > > > > > > > >
> > > > > > > > > > protocolo
> > > > > > > > > >
> > > > > > > > > > > IP 50.
> > > > > > > > > > >
> > > > > > > > > > > Portanto a necessidade seria somente como fazer um
> > > > > > > > > >
> > > > > > > > > > "forwarder" ou NAT
> > > > > > > > > >
> > > > > > > > > > > nesses protocolos específicos (IP 47, IP
> > > > > > > > > > > 50) no FreeBSD para meu server interno da rede.
> > > > > > > > > > >
> > > > > > > > > > > Agradeço desde já.
> > > > > > > > > > > Diego.
> > > > > > > > > >
> > > > > > > > > > Voce utiliza o IPFW como firewall?
> > > > > > > > > >
> > > > > > > > > > Eu tenho o mesmo cenário funcionando, mas utilizo o PF
> > > > > > > > >
> > > > > > > > > (packet filter)
> > > > > > > > >
> > > > > > > > > > como firewall.
> > > > > > > > > >
> > > > > > > > > > Caso esteja utilizando o PF ou queira migrar, te passo as
> > > > > > > > > > configurações necessárias.
> > > > > > > > > >
> > > > > > > > > >
> > > > > > > > > >
> > > > > > > > > > Cristiano Maynart
> > > > > > > > > > -------------------------
> > > > > > >
> > > > > > > Você pode implementar VPN PPTP no seu FreeBSD mesmo (que deve estar
> > > > > > > na borda e tem IP vãlido), usando PopTop + pppd.
> > > > > > > http://www.poptop.org/
> > > > > > >
> > > > > > > Acho que natear tunel não é um boa solução, enfim....
> > > > > > >
> > > > > > > --
> > > > > > > THIAGO DE SOUZA COSTA
> > > > > > >
> > > > > > > e-mail: dk.thiago at gmail.com
> > > > > > > voip: 55-11-4063-5729 ou 1-503-334-0602
> > > > > > > jid: dknight at jabber.org
> > > > > > > -------------------------
> > > > > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > > >
> > > > > --
> > > > > THIAGO DE SOUZA COSTA
> > > > >
> > > > > e-mail: dk.thiago at gmail.com
> > > > > voip: 55-11-4063-5729 ou 1-503-334-0602
> > > > > jid: dknight at jabber.org
> > > > > -------------------------
> > > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > >
> > > > -------------------------
> > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> >
> >
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>


-- 
Marcio Gomes
= = = = = = = = = = = = = = = =
Powered by ....

                                         (__)
                                      \\\'',)
                                        \/  \ ^
                                        .\._/_)
==================================
Linux is for people who hate Windows,
BSD is for people who love UNIX"

* Windows: "Where do you want to go tomorrow?"
* Linux: "Where do you want to go today?"
* FreeBSD: "Are you, guys, comming or what?"


Mais detalhes sobre a lista de discussão freebsd