[FUG-BR] Servidor de VPN
Paulo Henrique - BSDs Brasil
paulo.rddck em bsd.com.br
Quarta Abril 29 06:56:27 BRT 2015
Em 28/04/2015 17:52, Thiago Gomes, escreveu:
> Galera,
>
> tenho um cenário.. um freebsd como gateway, porem a galera da empresa
> deseja colocar um servidor de vpn sem usar o gateway..
>
> Assim.. 10.0.1.x matriz e 10.0.2.x filial 1, 10.0.3.x filial 2
>
> Será ipsec... agora como faz as maquinas se comunicarem ? tenho que
> adicionar as rotas no meu freebsd gateway da matriz ?
>
> O principio é esse ?
>
No caso ou o seu gateway terá que ter as demais rotas da VPN para que as
estações internas possam alcança-las ou todas as estações da rede deverá
ter em sua tabela de roteamento as informações para alcançar as estações
atraz da VPN.
Se for apenas uns poucos servidores que os clientes da VPN irá acessar
basta inserir uma rota apontando que a rede da VPN pode ser alcançada
através do concentrador VPN, contudo para ficar de forma mais elegante a
configuração de rota estatica no seu gateway apontando o servidor VPN é
o recomendado.
Ex.
Rede Local ( Segmento de Intranet / Lan do Gateway-Concentrador VPN) :
192.168.0.0/24
Endereço de Rede do Gateway: 192.168.0.1/24
Endereço de Rede do Concentrador VPN: 192.168.0.2/24
Endereço da Rede VPN: 192.168.1.0/24
Endereço IP da interface VPN: 192.168.1.1/24
Endereço de Rede do Cliente: 192.168.10.10/24
No seu gateway:
route add -net 192.168.1.0/24 192.168.0.2
No Seu netstat -rn haverá uma linha como está:
192.168.1.0/24 192.168.0.2 UGS em0
Agora, se o seu roteador tiver recursos de sobra para sustentar todos os
tuneis VPN sobre ele sem prejudicar os demais serviços que ele executa
recomendo fortemente que execute o IPSec sobre ele principalmente para
evitar problemas chatos com IPsec atrás de NAT.
Caso mudem de ideia quanto a solução VPN e adotem o OpenVPN ( recomendo
devido a sua flexibilidade principalmente em redes que são NAT sobre NAT
) basta o daemon do concentrador estar acessivel que toda a comunicação
é feita sobre L4.
Att. Paulo Henrique.
Mais detalhes sobre a lista de discussão freebsd