Home › Comunidade Brasileira Endian Firewall › Endian Firewall › Endian Firewall – Suporte › Rotas de VPN no endian 3
Marcado: ipsec, openvpn, Roteamento., vpn rotas
- Este tópico contém 17 respostas, 4 vozes e foi atualizado pela última vez 7 anos, 5 meses atrás por Mayko Meier.
-
AutorPosts
-
-
agosto 16, 2016 às 9:28 am #21281Mayko MeierParticipante
Olá a todos,
estou com um problema na definição de rotas do Endian.
Posso até definir as rotas desejadas no Endian, mas elas não se aplicam, somente via linha de comando.
Tenho uma VPN fechada pelo Endian via OpenVPN, quero que as duas redes tenham acesso entre si, mas somente com a criação de rotas manualmente pela linha de comando.
Alguém passou por algo parecido e encontrou uma solução?
Pensei em utilizar um script na inicialização, mas nem colocando em todos os rcX.d ele não executa…
Wireguard_webadmin
Sistema gratuito (Open Source) para gestão de VPN's WireGuard com uma Web interface intuitiva e fácil de usar.
Principais funcionalidades:
- Sistema de Firewall completo e flexível.
- Encaminhamento de portas
- Suporte a multi usuário com níveis diferentes de acesso
- Múltiplas instâncias do Wireguard
- Crypto key routing para configuração de VPN site-to-site
O projeto é Open Source, fácil de instalar e está disponível em wireguard_webadmin
-
agosto 16, 2016 às 10:12 am #21282JFilhoParticipante
Bom dia ! informe como vc esta fechando o tipo de ligação da vpn com openvpn no lado do cliente, se e via bridgie ou routed e o tipo de device modo tun ou tap, pergunto pois eu tenho uma infra funcionando com openvpn, na qual eu consigo criar uma rota no console web do Fw filial para que o destino de um ip saia pelo tunel da vpn, assim a conexao sai pela internet na matriz, acho q isso que vc quer 😉
-
agosto 16, 2016 às 10:27 am #21283Mayko MeierParticipante
isso, hoje esta assim:
Server:
Tipo de Dispositivo: TAP
Em Bridge
Protocolo UDP
Rede 172.16.10.0Client: (Gw2gw)
Tipo de Dispositivo: TAP
Em Bridge
Protocolo UDP
Fazer Bridge para VERDE
Rede 172.16.20.0Script para Rotas:
Server: route add -net 172.16.20.0/24 gw 172.16.10.1
Cliente: route add -net 172.16.10.0/24 gw (IP da VPN)Criando essas rotas manuais ele vai. Sem as rotas nada feito.
Se puder passar como fez as configurações da sua VPN eu lhe agradeço. 🙂
-
agosto 16, 2016 às 10:57 am #21285JFilhoParticipante
Mayko,
Analisando a sua configuração fiquei com a seguinte duvida, vc esta tentando implementar a VPN,
roteando para o mesmo endereço LAN da interface verde do concentrador OpenVPN Matriz ?Minha VPN esta da seguinte forma:
Endian Matriz IP 10.1.1.1 Lan Verde
Minha Filial01 ip 10.2.2.1 Lan Verde
Openvpn Ip 192.168.10.1 Concentrador VPN
Modo Bridge
Protocolo UDP
Ips entrenga clientes VPN 192.168.10.0/24
Cadastrado do cliente01 ip fixo 192.168.10.2No lado do cliente o mesmo conecta com concentrador da Matriz, vai receber o ip 192.168.10.2
No Endian da Matriz e da Filial no item Firewall/Trafego da VPN,
vc ativa o trafego e deixa marcado conforme abaixo:Origem Destino Serviço Política
<QUALQUER> <QUALQUER> <QUALQUER>No item Rede/ Routing do Endian Filial vc cria uma rota da seguinte forma:
Source Network Destination Network Via Gateway
deixa em branco Sua rede da Matriz IP Openvpn MatrizNo meu caso esta assim:
Source Network Destination Network Via Gateway
10.1.1.0/24 192.168.10.1No item Rede/Routing do Endian Matriz vc cria uma rota da seguinte forma:
Source Network Destination Network Via Gateway
deixa em branco ede LAN da sua filal IP do cliente Openvpvn filialNo meu caso esta assim:
Source Network Destination Network Via Gateway
10.2.2.2/24 192.168.10.2Parece meio confuso, mas depois de entender vc consegue configurar varios tuneis roteaveis
todos passando pelo concentrador da sua Matriz, aqui no meu caso eu tenho 10 tuneis com o Openvpn
e todos eles tem acesso a suas filiais passando pelo concentrador da Matriz.Abc,
-
-
agosto 16, 2016 às 11:15 am #21286Mayko MeierParticipante
Sim, e funciona desta forma, com as rotas acima criadas.
onde define esse ip da OpenVPN?
na minha página de configuração de openVPN não encontrei essa opção.
no range coloco o ip da rede interna (do servidor) se tento colocar outro IP faixa diferente não vai…
- Esta resposta foi modificada 7 anos, 8 meses atrás por Mayko Meier.
-
agosto 16, 2016 às 12:08 pm #21290JFilhoParticipante
Mayko,
Se vc conseguiu fechar a vpn com esse procedimento esta correto,
porem o unico detalhe para vc deixar o tunel da vpn roteavel,
vc não deve deixar a rede do openvpn no mesmo endereço da sua
rede LAN verde, isso server para os ips que o Servidor Openvpn
vai entregar para os clientes, dessa forma vc consegue criar
a rota fixa dentro do painel web do Endian.Na minha configuração eu tenho ips diferentes para
o servidor openvpn entregar aos clientes, repare:Ip Lan 10.1.1.1 Servidor Matriz
IP Openvpn 192.168.10.1
Mascara Openvpn 255.255.255.0IP Lan 10.2.2.1 Filial Servidor Filial
Ip FIXO de entrega Openvpn 192.168.10.2
Neste cenario vc consegue ver que os ips da vpn sao diferentes das redes,
ai vc consegue adicionar as rotas pela interface web e deixar ela fixa,
pois o proprio Endian qdo tiver com tunel fechado ele sabe como chegar
ate a filial, porem e importante vc deixar no item Firewall/trafego de vpn ativado
e liberado para qualquer origem e destinoAbc,
-
agosto 16, 2016 às 11:27 am #21289Mayko MeierParticipante
O Processo que usei para criar o server openvpn:
Se servir OpenVPN
1) Vá em VPN->OpenVPN Server
2) Habilite a VPN
3) Diga os IPs (dentro da sua rede interna) que os clientes VPN receberão
4) Em Accounts crie uma conta de usuário para VPN (marque apenas “Direct all client traffic through the VPN server”)
5) Em Advanced:
Marque “Block DHCP responses coming from tunnel”
Habilite “Push these networks” e coloque a sua rede interna Ex.: 192.168.1.0/24
Habilite “Push these nameservers” e coloque os seus DNS internos Ex.: 192.168.1.1
Habilite “Push domain” e coloque o seu domínio interno Ex.: dominiointerno.msft
Marque “PSK (username/password)”
6) Save and Restart
7) Baixe o certificado
8) Configure o se cliente openVPN
-
agosto 22, 2016 às 12:05 pm #21315andrefreireParticipante
Boa tarde.
Veja se te ajuda.
Att,
-
agosto 22, 2016 às 2:22 pm #21316Mayko MeierParticipante
Muito obrigado a todos, estou efetuando a conexão via IPSEC, e está funcionando 100%!
Se desejarem, posso postar como estou efetuando a conexão.
-
agosto 22, 2016 às 2:44 pm #21317JFilhoParticipante
Esta ai um ponto interessante que vc mencionou, com IPSEC é possivel criar roteamento entre varios tuneis, tipo a Matriz concentrando no IPSEC, todas filias autenticadas na Matriz conseguem ter um roteamento entre elas passando pelo IPSEC da Matriz ?
Tenho essa duvida, pois esse roteamento entre VPNS consegui implementar somente no Openvpn.
Abc,
-
-
agosto 22, 2016 às 4:01 pm #21318Mayko MeierParticipante
Na prática, só consegui criando várias conexões,
Exemplo,
– Site A
– Site B
– Site C
Interligação Site A <=> Site B
Interligação Site B <=> Site C
Interligação Site C <=> Site AFiz todas as VPN’s site-to-site, desta foram estão todas interligadas.
Tentei Host-to-Nets, mas sem sucesso.-
agosto 22, 2016 às 4:06 pm #21320JFilhoParticipante
Exato, foi somente dessa forma que consegui pelo IPSEC, se pelo menos o Endian tivesse rodando OSPF
para roteamento dinamico entre os tuneis VPN, seria uma mao na roda.Para essa solução de ter as filias comunicando entre elas passando pelo concentrador da Matriz, foi somente com Openvpn que tive sucesso.
-
-
agosto 22, 2016 às 4:03 pm #21319andrefreireParticipante
Qual versão do Endian você está utilizando? Tentei o IPSEC com o 3.0 mas o serviço não subiu.
-
agosto 22, 2016 às 4:11 pm #21321Mayko MeierParticipante
Utilizo a versão 3.0.9 disponibilizada pelo Eduardo Jonck.
- Esta resposta foi modificada 7 anos, 8 meses atrás por Mayko Meier.
-
setembro 6, 2016 às 3:32 pm #21373EduardoMansanoParticipante
Olá Mayko,
Estou tentando a um bom tempo a interligação de filiais com o Endian Firewall, testei todas as versões a partir do 2.52, todas sem sucesso, a conexão entre as filiais é bem sucedida, porém as redes não conversam.
Depois de tanto apanhar, eu acabei optando por instalar OpenVpn em todas as estações, porém não ficou muito prático, e também não consigo acessar roteadores das redes, pois os mesmos não estão conectados na VPN.Pelo que você me falou, você obteve exito com a VPN Ipsec utilizando o Endian 3.09, as redes estão conversando nas duas pontas? poderia detalhar melhor como você fez?
Obrigado
-
setembro 6, 2016 às 3:41 pm #21374Mayko MeierParticipante
Olá Eduardo,
Isso mesmo, as redes conversam entre si.
segui esse tutorial aqui:
Esse procedimento se chama VPN site-to-site.
Qualquer duvida, posta aí.
Abs!
-
setembro 7, 2016 às 7:23 pm #21376EduardoMansanoParticipante
Mayko,
Segui o video, mais comigo nem chegou a conectar, estou usando o endian 3.09 nas duas pontas, veja o erro que está apresentando.Sistema 2016-09-07 19:17:41 ipsec_starter (8059) # deprecated keyword “leftnexthop” in conn “ZonaNorte”
Sistema 2016-09-07 19:17:41 ipsec_starter (8059) ### 1 parsing error (0 fatal) ###
Sistema 2016-09-07 19:17:41 ipsec: 14[CFG] received stroke add connection “ZonaNorte”
Sistema 2016-09-07 19:17:41 ipsec 14[CFG] added configuration “ZonaNorte”
Sistema 2016-09-07 19:17:41 ipsec: 13[CFG] received stroke initiate “ZonaNorte”
Sistema 2016-09-07 19:17:41 ZonaNorte (15) 13[IKE] initiating IKE_SA ZonaNorte[15] to ###.###.###.###
Sistema 2016-09-07 19:17:41 ipsec 07[CFG] rereading secrets
Sistema 2016-09-07 19:17:41 ipsec 07[CFG] loading secrets from “/etc/ipsec/ipsec.secrets”
Sistema 2016-09-07 19:17:41 ipsec 07[CFG] loaded RSA private key from “/etc/ipsec/ipsec.d/certs/192.168.25.2key.pem”
Sistema 2016-09-07 19:17:41 ipsec 07[CFG] loaded IKE secret for 192.168.25.2 ###.###.###.###
Sistema 2016-09-07 19:17:41 ipsec 07[CFG] rereading ca certificates from “/etc/ipsec/ipsec.d/cacerts”
Sistema 2016-09-07 19:17:41 ipsec 07[CFG] loaded ca certificate “C=IT, O=efw, CN=efw CA” from “/etc/ipsec/ipsec.d/cacerts/cacert.pem”
Sistema 2016-09-07 19:17:41 ipsec: 07[LIB] mapping “/etc/ipsec/ipsec.d/cacerts/empty” failed Invalid argument
Sistema 2016-09-07 19:17:41 ipsec 07[LIB] building CRED_CERTIFICATE – X509 failed, tried 3 builders
Sistema 2016-09-07 19:17:41 ipsec 07[CFG] loading ca certificate from “/etc/ipsec/ipsec.d/cacerts/empty” failed
Sistema 2016-09-07 19:17:41 ipsec 07[CFG] rereading ocsp signer certificates from “/etc/ipsec/ipsec.d/ocspcerts”
Sistema 2016-09-07 19:17:41 ipsec 07[CFG] rereading aa certificates from “/etc/ipsec/ipsec.d/aacerts”
Sistema 2016-09-07 19:17:41 ipsec 07[CFG] rereading attribute certificates from “/etc/ipsec/ipsec.d/acerts”
Sistema 2016-09-07 19:17:41 ipsec 07[CFG] rereading crls from “/etc/ipsec/ipsec.d/crls”
Sistema 2016-09-07 19:17:41 ipsec 07[LIB] crl from Sep 05 20:22:22 2016 is not newer – existing crl from Sep 05 20:22:22 2016 retained
Sistema 2016-09-07 19:17:41 ipsec 07[CFG] loaded crl from “/etc/ipsec/ipsec.d/crls/ca.crl”
Sistema 2016-09-07 19:17:41 ipsec: 07[LIB] mapping “/etc/ipsec/ipsec.d/crls/empty” failed Invalid argument
Sistema 2016-09-07 19:17:41 ipsec 07[LIB] building CRED_CERTIFICATE – X509_CRL failed, tried 3 builders
Sistema 2016-09-07 19:17:41 ipsec 07[CFG] loading crl from “/etc/ipsec/ipsec.d/crls/empty” failed
Sistema 2016-09-07 19:17:41 ipsec 13[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]
Sistema 2016-09-07 19:17:41 ipsec: 13[NET] sending packet from 192.168.25.2[500] to ###.###.###.###[500] (896 bytes)
Sistema 2016-09-07 19:17:41 ipsec: 16[NET] received packet from ###.###.###.###[500] to 192.168.25.2[500] (36 bytes)
Sistema 2016-09-07 19:17:41 ipsec 16[ENC] parsed IKE_SA_INIT response 0 [ N(NO_PROP) ]
Sistema 2016-09-07 19:17:41 ipsec 16[IKE] received NO_PROPOSAL_CHOSEN notify error -
novembro 11, 2016 às 5:16 pm #21549Mayko MeierParticipante
Sim, muito importante! Para que o IPSEC funcione, é necessário ter pelo menos uma DMZ para os dois Endian’s.
-
-
AutorPosts
- O tópico ‘Rotas de VPN no endian 3’ está fechado para novas respostas.