Respostas no Fórum
-
AutorPosts
-
edsontoyokawaParticipante
Desculpe a demora para postar.
Montei um server com o Endian 2.4.1 refiz todas as configurações testando uma por uma e sempre batendo os 20Mb do meu link de contingencia.
Quando eu fui colocar no Rack não passava de 10Mb novamente.
Descobri que era o cabo de rede que estava com problemas e estava limitando a rede para 10Mb.
As vezes esquecemos de testar as coisas mais simples para depois começar as mais complexas.
Obrigado pela ajuda!
Wireguard_webadmin
Sistema gratuito (Open Source) para gestão de VPN's WireGuard com uma Web interface intuitiva e fácil de usar.
Principais funcionalidades:
- Sistema de Firewall completo e flexível.
- Encaminhamento de portas
- Suporte a multi usuário com níveis diferentes de acesso
- Múltiplas instâncias do Wireguard
- Crypto key routing para configuração de VPN site-to-site
O projeto é Open Source, fácil de instalar e está disponível em wireguard_webadmin
edsontoyokawaParticipanteMuito obrigado pela dica! Ficou melhor do que eu queria.
Criei uma regra padrão para bloquear tudo que passa pela openvpn e em cima dela criei uma regra onde o meu usuário do openvpn só pode se conectar no ip da minha maquina pelo protocolo TCP/3389 para terminal service.
ORIGEM | DESTINO | SERVIÇO
(primeira regra):edson(usuário OpenVPN) –> IP da minha mauqina –> TCP/3389
(ultima regra):ALL(usuário OpenVPN) –> VERDE + OPENVPN –> <QUALQUER>
Por enquanto está tudo funcionando direitinho.
edsontoyokawaParticipanteParabéns Marcelo, gostei muito do TUTORIAL.
Sou leigo em relação ao OPENVPN e gostaria de fazer uma pergunta. Existe a possibilidade de restringir o acesso do usuário a somente um IP? Ex: O funcionário precisa acessar remotamente o computador dele e eu não gostaria de deixar portas abertas no firewall.
Como eu não sei se o computador de onde o a pessoa está acessando é segura(possui vírus e etc) tenho medo dela poder enviar um vírus pela VPN e acabar infectando algum servidor ou computador(Acredito que isso seja possível).
edsontoyokawaParticipanteSó passando uma dica:
Percebi que quando eu rodava o a configuração de rede ou alterava alguma coisa da rede eu perdia a rota.
Como resolvi isso:
Ao invés de colcoar o código “. /etc/rc.d/init.d/rc.local” no arquivo fcron (dentro de /etc/rc.d/init.d) como eu descrevi acima eu inseri no arquivo uplinksdaemon (dentro de /etc/rc.d/init.d). Toda vez que os links são reiniciados a rota é recriada.
ATT
Edson Toyokawa
edsontoyokawaParticipanteaki0, bom dia.
Não tive êxito com a dica do Eduardo Jonck.
Após quebrar um pouco a cabeça verifiquei que existem outros processos que iniciam automaticamente no endian como o fcron.
Fiz da seguinte forma:
criei o arquivo rc.local na pasta /etc/rc.d/init.d/. Coloquei as regras dentro do arquivo da seguinte forma:
<codigo>
#!/bin/sh
route add -net z.z.z.z/28 dev br0
route add -net x.x.x.x/24 gw y.y.y.y dev br0
</codigo>
obs: onde x.x.x.x era a rede que eu gostaria de destino e o y.y.y.y era o gateway;
depois de criado passei ele para executável (acho que nem precisava mas fiz dessa forma) com o comando:
#chmod +x rc.local
Depois de criado o arquivo com regras só chamei ele dentro do arquivo fcron (dentro de /etc/rc.d/init.d)
<codigo>
#!/bin/sh
#
# chkconfig: 2345 40 60
# description: fcron is a scheduler especially useful for people
# who are not running their system all the time.
# processname: fcron
# pidfile: /var/run/fcron.pid
# config: /var/spool/fcron/*
# $Id: sysVinit-launcher,v 1.10 2006/01/11 00:54:44 thib Exp thib $
export PATH=”/sbin:/usr/sbin:/bin:/usr/bin”
# Source function library.
. /etc/rc.d/init.d/functions
. /etc/rc.d/init.d/rc.local
[ -f /usr/sbin/fcron ] || exit 0
[ -f /etc/fcron.conf ] || exit 0
.
.
.
</codigo>
obs: note que eu coloquei ele abaixo de uma regra que chamava o functions dentro da mesma pasta onde deixei o rc.local;
Não sei porque, mas fazendo esse procedimento no arquivo rc.ipad não estava dando certo e dessa forma funcionou.
ATT
Edson Toyokawa
edsontoyokawaParticipanteMuito Obrigado pela resposta juniorcba! Estou vendo que o Endian 2.5.1 tem um bug na criação de rotas por isso que eu não estava conseguindo.
Montei a rota via linha de comando abaixo e deu certo. Só preciso ver uma forma dessa regra ficar fixa para eu não ter que aplicar manualmente toda vez que o Endian reinicia.
Code:route add -net 10.3.254.0/24 gw 172.31.4.165 dev br0tente esse método abaixo, mas não deu certo… alguém sabe outra maneira de fazer isso?
http://endian.eth0.com.br/topic/comando-personalizado-no-boot
Obrigado!
edsontoyokawaParticipanteDesculpe a demora para responder o topico é que eu realmente não tive como fazer os testes aqui devido a um projeto de telefonia que tomou quase todo o meu tempo.
consegui aplicar a regra da seguinte forma:
route add -net 172.31.4.160/28 dev br0 – e as rotas ficaram ok, poré ainda não consigo utiliza o serviço.
Preciso montar uma regra de SNAT para poder ver uma rede 10.3.254.0/24 mas não sei se estou aplicando a regra corretamente.
-A POSTROUTING -d 10.3.254.0/255.255.255.0 -j SNAT –to-source 172.31.4.165
-A PREROUTING -i eth1 -p tcp -m tcp –dport 23 -j DNAT –to 10.3.254.1:23
Essas são as regras que eu tenho no antigo FW que estou aposentando. Como eu deveria colocar isso?
$iptables -t nat -A POSTROUTING -d 10.3.254.0/255.255.255.0 -j SNAT –to-source 172.31.4.165
$iptables -t nat -A PREROUTING -i ~~eth1 -p tcp -m tcp –dport 23 -j DNAT –to 10.3.254.1:23
Eu estou aplicando dessa forma, mas ainda não consigo nem dar um traceroute na rede 10.3.254.0/24
Quando eu dou um tracert da minha maquina pelo gateway do firewall antigo ele aparece assim:
C:UsersTI>tracert 10.3.254.1
Rastreando a rota para 10.3.254.1 com no máximo 30 saltos
1 <1 ms <1 ms <1 ms 192.168.0.254 (ip do meu fw antigo)
2 2 ms 2 ms 2 ms 192.168.0.114 (ip do roteador cisco 1000)
3 84 ms 84 ms 87 ms 192.168.102.1 (não tenho a menor ideia)
4 * 172.36.1.1 relatórios: Rede de destino inacessível.
Me ajudem por favor
edsontoyokawaParticipanteSegue a URL http://sdrv.ms/T4P5R7
edsontoyokawaParticipantealguém pode me ajudar, por favor?
edsontoyokawaParticipanteAtualização 2: Estive olhando o arquivo rc.local do centOS e ele cria uma rota com o seguinte comando:
route add -net 10.3.254.0 netmask 255.255.255.0 gw 172.31.4.161
mas quando eu aplico isso no endian eu recebo:
#SIOCADDRT: No such process
Já tentei das seguintes maneiras, mas continuo recebendo esse mesmo erro:
#/sbin/route add -net 10.3.254.0/24 gw 172.31.4.161
#route add -net 10.3.254.0/24 gw 172.31.4.161
#route add -net 10.3.254.0/24 172.31.4.161
Grato.
edsontoyokawaParticipanteAtualizando: Eu achava que esse ip 172.31.4.165 era um ip externo, mas mesmo quando o centOS está sem o cabo da internet ele continua pingando esse ele e continua acessando o serviço da SERPRO.
Acho que eu esqueci de mencionar que esse serviço da SERPRO funciona da seguinte forma: Nós temos um X25 da Telefonica e um roteador cisco 1000 para esse serviço. Provavelmente deve ser uma VPN entre a empresa que eu trabalho e a SERPRO e esse roteador fica na rede 10.3.254.0/24.
Grato.
maio 14, 2012 às 11:11 am em resposta a: Deixar um computador sem precisar de configurar o proxy (proxy não transparente) #11420edsontoyokawaParticipanteTestei aqui e deu certo. Vlw pela ajuda!
maio 11, 2012 às 6:25 pm em resposta a: Deixar um computador sem precisar de configurar o proxy (proxy não transparente) #11418edsontoyokawaParticipanteVou testar aqui… muito obrigado!
-
AutorPosts