[FUG-BR] RES: Nat para tunnel IPSEC
Tiago Sampaio
tnsampaio em bsd.com.br
Segunda Junho 15 15:23:10 BRT 2009
Na verdade é net-to-host
eu tenho uma /29 aqui que acessa um /32..
Apenas isso, nada mais...
O que acontece aqui, é que lidar com banco eh uma m%$%#$^...
Ai eles me deram a diretriz que eu preciso fazer nat de todas as outras
maquinas da minha /29 para o ip final 1.
Entendeu o meu drama..
2009/6/15 Renato Frederick <frederick em dahype.org>
> Voce tem certeza que o túnel é site a site?
> Se o túnel for host a host, você não vai conseguir fazer NAT e nada afins,
> afinal isto é uma falha de segurança que o IPSEC não iria deixar.
> Você esta certificando um host a conectar a outro host devidamente
> autenticado e autorizado, o NAT deixaria "n" hosts conversarem com a ponta,
> falha total de segurança. :)
>
>
>
> > -----Mensagem original-----
> > De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] Em
> > nome de Tiago Sampaio
> > Enviada em: segunda-feira, 15 de junho de 2009 12:40
> > Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> > Assunto: Re: [FUG-BR] Nat para tunnel IPSEC
> >
> > Nem é esse o caso..
> > Ele nem cai no tunnel...
> > Me parece que ele continua na pilha de rede sem cair no tunnel, e com
> > isso
> > cai para o gateway padrão...
> >
> > E VPN3000 é um produto da cisco..
> > Vpn concentrator ou algo assim...
> > Nunca vi um pessoalmente...
> >
> > Eu estou estabelecendo o tunnel com ele...
> >
> > 2009/6/15 irado furioso com tudo <irado em bsd.com.br>
> >
> > > Em Mon, 15 Jun 2009 11:35:44 -0300
> > > Tiago Sampaio <tnsampaio em bsd.com.br>, conhecido consumidor de drogas
> > > (BigMac's com Coke) escreveu:
> > >
> > > > Mas quando vc diz não se faz nat, vc quer dizer que é uma boa
> > pratica
> > > > não se fazer nat pra dentro do tunnel ou o Freebsd não suporta
> > fazer
> > > > isso?
> > >
> > > o nat altera o header do pacote, com isso o pacote (do outro lado) é
> > > descartado uma vez que o ipsec considera que foi corrompido. Existe
> > > bastante informação sobre isso no google, mas fiquei com preguiça de
> > > procurar. Aliás, outros produtos para vpn têm a mesma ação.
> > >
> > > O que é um vpn-3000?
> > >
> > > dependendo das caracteristicas, êle é o gw para a outra rede, salvo
> > > tenha alguma configuração exótica como bridge, por ex.
> > >
> > >
> > >
> > >
> > > --
> > > saudações,
> > > irado furioso com tudo
> > > Linux User 179402/FreeBSD BSD50853/FUG-BR 154
> > > Não uso drogas - 100% Miko$hit-free
> > > Os tolos aprendem com a própria experiência.Os inteligentes aprendem
> > > com a experiência alheia. [Otto von Bismarck]
> > > -------------------------
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> >
> >
> >
> > --
> > Tiago N. Sampaio
> > BSD Certified Associate
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
--
Tiago N. Sampaio
BSD Certified Associate
Mais detalhes sobre a lista de discussão freebsd