Respostas no Fórum
-
Posts
-
Oi DarkSoldier, obrigado por responder.
Amanhã eu vou tentar ver isso (já são quase 18 hs), mas o que eu posso te adiantar:
Sim, estou com o serviço de SSH levantado. Eu consigo acessar o Endian pelo putty a partir de uma máquina dentro da rede interna (eu estou fazendo isso me conectando via TeamViewer numa máquina windows).
Pelo que me recordo, não há muita coisa a se configurar em relação à interfaces de rede de uma máquina virtual. Você só aponta para qual switch virtual vc quer e pronto. Eu tenho 2 switches virtuais… um para a rede internet e outro para o modem externo. Esses mesmos switches eu uso para o Endian antigo (também em uma máquina virtual) e funciona normalmente. Com a maquina virtual que contém o Endian novo, nao funciona.
Tentei habilitar o log do firewall, mas nem consigo ver uma tentativa de conexao a partir de um IP 201.x.x.x… ele só mostra conexões sendo feitas a partir de um 192.168.x.x.
Abraços e obrigado mais uma vez!
Wireguard_webadmin
Sistema gratuito (Open Source) para gestão de VPN's WireGuard com uma Web interface intuitiva e fácil de usar.
Principais funcionalidades:
- Sistema de Firewall completo e flexível.
- Encaminhamento de portas
- Suporte a multi usuário com níveis diferentes de acesso
- Múltiplas instâncias do Wireguard
- Crypto key routing para configuração de VPN site-to-site
O projeto é Open Source, fácil de instalar e está disponível em wireguard_webadmin
Até onde eu sei, você tem que explicitamente proibir a saída para a porta 80 no teu firewall.
Desta forma, as pessoas serão obrigadas a configurar o proxy em seus browsers (pelo menos para o protocolo HTTP)
EDIT: Vale lembrar que você não precisa adicionar uma regra nova no firewall. Basta desabilitar a regra “allow HTTP” (porta 80) que está no seu Firewall -> Outgoing traffic.
Será que o problema (e solução paleativa) desta thread não ajuda ?
http://endian.eth0.com.br/topic/redes-usando-openvpn-nao-se-conversam
Oi Eduardo,
O “pre” tem semelhança com o “code” no sentido de exibir o texto com uma fonte mono-espaçada (um “i” fica com a mesma largura que um “W”)
O “pre”, entretanto, consegue algo a mais… fazer respeitar as quebras de linha sem o uso de “br” a todo instante.
Isso, claro, se não houver uma customização de CSS que bagunce todo o coreto. 🙂
[]s
Hmmm.. acho que não existe segurança perfeita nesse caso.
Um power user poderia facilmente forjar o MAC address de seu notebook de modo que fique igual a uma das máquinas pré-aprovadas, ainda mais se ele estiver usando um linux.
Pelo menos é a primeira coisa que eu faria, se eu fosse um “engraçadinho”… 🙂
Oi Albaney, agora entendi a sua colocação.
Muito bacana esse comando “ip”… achei as minhas rotas agora… 🙂
Grande abraço,
Roger
PS: Não sei quem é o admin do forum, mas poderia sugerir uma coisa ?
Que tal incluírem o “pre” na listagem das marcações permitidas, no rodapé da textarea onde se redigem os posts ?
Esse “pre” já funciona, mas eu fui induzido a achar que não funcionava, ao ver a lista restrita de tags html. Como meu diagrama de rede não ficava legal, apelei para o PRE e por sorte funcionou.
Talvez até fosse bom colocar uma recomendação do uso do PRE ao tentar se digitar texto onde a diagramação seja importante (pode ser que haja pessoas que não manjem muito de html).
Apenas meus 2 modestos centavos… 🙂
Não, não Albaney… você me compreendeu mal…
Mesmo usando a interface do Endian para montar as rotas, como você pode ver nesta imagem:
http://img15.imageshack.us/img15/1827/adminrotas.jpg
Veja como ficou a execução do comando “route”:
root@efw-abc:~ # route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.50.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
189.120.128.0 0.0.0.0 255.255.240.0 U 0 0 0 eth1
189.120.128.0 0.0.0.0 255.255.240.0 U 0 0 0 ipsec0
0.0.0.0 189.120.128.1 0.0.0.0 UG 0 0 0 eth1
As rotas estão funcionando, porque se eu desabilitá-las, eu nao consigo mais acessar as maquinas das outras redes. No entanto, o Endian continua não me mostrando as rotas pelo shell.
Se eu executar os “route add -net …” no shell, as rotas funcionam e elas aparecem durante o “route -n”.
Novidades !!
Usar roteamento diretamente para o device é uma furada quando se coloca mais uma rede como OpenVPN Gw2Gw:
# route add -net 192.168.1.0/24 dev tap0
# route add -net 192.168.2.0/24 dev tap0
No entanto, ao configurar as rotas pelo admin do Endian, desse jeito:
Source Network: <nao preencher>
Destination Network: 192.168.1.0/24
Route via [Static Gateway] : 192.168.50.221
Source Network: <nao preencher>
Destination Network: 192.168.2.0/24
Route via [Static Gateway] : 192.168.50.222
Funciona muito bem… a única coisa intrigante é o fato dessas rotas não aparecerem quando se executa o comando “route” no shell. As máquinas de todas as redes se enxergam…
Semana que vem vou alterar todos os Endians para usarem OpenVPN… aí eu notifico vocês como foi o resultado (vai que alguma bucha aparece na última hora…)
Abraços
Oi Eduardo,
Grato pela recepção e pelas respostas… 🙂
Alguns comentários em relação às suas observações:
* As suspeitas em relação a regras de firewalls nas máquinas PC’s das duas redes não se aplicam, uma vez que consigo pingar e fazer SSH entre elas numa boa quando uso IPSEC entre os 2 Endians.
* Eu havia comentado na minha msg original que ambos os Endians estavan com o Firewall “VPN traffic” desligados. Pela documentação que eu li e pela configuração que eu lembro de ter quando usava Endians 2.2 e 2.3, esse firewall só é utilizado no modo OpenVPN, mas se ele estiver desligado o policy padrão é ACCEPT. Eu já havia inclusive tentado colocar regras do tipo “libera geral” nos 2 Endians, mas não surtiu efeito.
Agora a boa notícia: eu executei esse comando no Endian A:
# route add -net 192.168.1.0/24 192.168.50.221
e tudo passou a funcionar, como se eu estivesse utilizando IPSEC… todas as máquinas passaram a se enxergar. Consegui fazer SSH entre os PC’s das 2 redes, enfim funcionou 100%.
Agora uma pergunta: O Endian não deveria fazer isso automaticamente para mim (a exemplo do que ele faz quando usamos o IPSEC) ?
Perceba que eu usei como gateway o IP 192.168.50.221, mas isso porque o ifconfig rodando no Endian B me mostrou que essa era o IP da interface tap2.
Na minha situação real, vou ter CINCO redes com Endian Gw2Gw2 se conectando no Endian A… não dá para prever qual IP o Endian A vai dar para o Endian da outra ponta [1].
Uma outra forma de configurar a rota (no braço) foi fazer:
# route add -net 192.168.1.0/24 dev tap0
Aí ficou legal… mas o problema é como configurar isso pelo admin do Endian ?
[1] – Dá pra configurar um IP estático para cada conta de usuário do OpenVPN… aí eu poderia fazer:
# route add -net 192.168.1.0/24 IP_ESCOLHIDO_PARA_REDE_X
# route add -net 192.168.2.0/24 IP_ESCOLHIDO_PARA_REDE_Y
# route add -net 192.168.3.0/24 IP_ESCOLHIDO_PARA_REDE_Z
Só que, pelo admin do Endian, eu criei uma rota dessa maneira:
Source Network: <deixei em branco e também testei com 192.168.50.0/24>
Destination Network: 192.168.1.0/24
Route via [Static Gateway] : 192.168.50.221
Só que essa rota não me aparece quando digito “route” no shell do Endian… e só o Endian A passa a enxergar a rede B… as outras maquinas da rede A não conseguem chegar na rede B.
Mas pelo menos já sei que não se trata de regras de firewall.. 🙂
Se você ou mais alguém tiver comentários pra fazer sobre essa situação, sou todo ouvidos. 🙂
