Respostas no Fórum
-
Posts
-
Ananias,
Eu gostaria de lembrar que a comunidade não recebe nenhum tipo de patrocínio do Endian e quem participa dela, faz porquê gosta do produto ou porquê gosta de ajudar e/ou compartilhar conhecimento. Ninguém tem a obrigação de ajudar e ou de resolver o seu problema.
Caso você queira um comprometimento sério, procure um profissional do ramo que possa ajudar nas soluções dos seus problemas.
Digo isso de uma forma meio rígida, pois eu não me agradei da sua atitude final, se o Endian não serve para os seus propósitos, acho que você está no direito de escolher e testar outras soluções até encontrar uma que agrade ou que preencha todas as suas expectativas. Mas vir para o forum com um ar de desaforo dizendo “não consegui resolver o meu problema então eu vou embora”, é um pouco desrespeitoso com o restante da comunidade e principalmente com quem dedicou um pouco do seu tempo para te ajudar.
Agora que eu falei o que ficou entalado na minha garganta, vou comentar sobre o teu problema.
A solução que eu apontei usando uma entrada de DNS interna, é a solução mais indicada para este tipo problema e é a solução que funciona de uma forma transparente. Se o seu aplicativo tem o endereço do servidor de dados “hardcoded”, eu preciso comentar que ele foi muito mal-escrito e que você deve ficar atento para a qualidade do software que você está usando.
A propósito… não é recomendável fazer consultas a base de dados diretamente através da internet, pois estas podem acabar tendo um tamanho considerável e causando uma provavel lentidão na aplicação além dos riscos de segurança envolvidos.
Se o aplicativo não tem uma forma padronizada para acesso remoto, verifique a possibilidade de executar ele remotamente através de um terminal service ou citrix metaframe. Estas soluções evitariam a necessidade de trafegar um grande volume de dados através da internet.
Explicando o problema:
O ideal seria você dedicar um tempinho para estudar e entender melhor sobre como funciona o protocolo tcp/ip, mas vou tentar resumir de uma forma bem simples e didática:
Computador A (cliente com ip 192.168.0.15)
Computador B (banco de dados com o ip 192.168.0.10)
Endian 192.168.0.1
Quando A tenta conectar no ip público, 200.222.222.222, o endian recebe este pacote e redireciona para B.
B recebe o pacote de A e responde para A. Como A está na mesma rede que B, B entrega o pacote diretamente para A. A por sua vez, recebe o pacote assinado com o ip de origem de B. A pensa que B está enviando pacotes incorretos, pois este afirma ter uma conexão com A, como a desconhece tal conexão, ele descarta os pacotes recebidos.
Resumindo, 192.168.0.15 mandou um pacote para 200.222.222.222, mas o pacote de resposta veio com o ip de origem 192.168.0.10. Como 192.168.0.15 não conhece a conexão vinda de 192.168.0.10, ele passa a descartar estes pacotes como algo inválido (este é o problema que o tacioandrade estava falando anteriormente).
Como resolver:
– Da forma correta – usando DNS interno
– Da forma correta 2 – Acessos remotos usando VPN, desta forma os clientes sempre vão conectar no servidor de banco de dados 192.168.0.10 (dentro ou fora da empresa).
– Da forma completamente incorreta (o termo certo seria: gambiarra extrema, não tentem isto em casa) – Você pode criar uma regra de SNAT (Source NAT) dizendo que todo o tráfego com origem 192.168.0.0/24 e destino 192.168.0.10 na porta tcp 5230 deve ter o ip de origem alterado para o mesmo ip da rede verde do endian (ex: 192.168.0.1)
Depois uma nova regra dizendo que todo o tráfego com ip de origem 192.168.0.10 e porta de origem (atenção que é origem mesmo e não destino) 5230 com destino a rede 192.168.0.0/24 deve ter o ip de origem alterado para 200.222.222.222.
Desta forma, A manda um pacote para o endereço 200.222.222.222, que o endian redireciona para B trocando o ip de origem do pacote para 192.168.0.1. B pensa que está falando apenas com 192.168.0.1 e devolve este pacote. O endian (que sabe das coisas), vai encaminhar este pacote para A trocando o ip de origem dele para 200.222.222.222.
Moral da história:
A pensa que está falando com 200.222.222.222
B sempre vai pensar que é o endian que está conectando ao banco de dados, ele nunca vai ver A.
Talvez ainda precise adicionar um forward aqui e um forward ali no resto do seu firewall, mas isso eu deixo para você descobrir “se” e “onde” colocar o forward.
Voiala, problema resolvido.
Devo lembrar que esta é uma forma muito “não profissional” de resolver este problema e não deve ser usada pois é suja demais.
Não vou prestar suporte no forum para esta gambiarra, se você implementar é por sua conta e risco.
De qualquer maneira, eu encorajo você a testar outras soluções, acho que isto só vai acrescentar ao seu crescimento pessoal, mas o problema citado vai existir em qualquer distribuição que você testar.
Boa sorte
🚀 Apresentando o Hotspot Beacon! 🚀
Desbloqueie o potencial do seu Wi-Fi com o Hotspot Beacon. Personalize sua página de acesso para mostrar anúncios, promoções ou informações e engajar seus clientes, impulsionando o seu negócio.
💡 Principais Funcionalidades:
- Interface amigável e intuitiva
- Opções de personalização completas para sua marca
- Gerenciamento de propagandas e promoções
- Integração fácil com sistemas existentes via API
- Limitação de velocidade ou largura de banda por usuário
- Controle de acesso por horário
🔗 Confira o site para saber mais: https://hotspotbeacon.comHernandes,
Tente configurar o seu endian para usar o servidor de ntp: ntp.nasa.gov
aproveite para reconfirmar se o timezone está ajustado corretamente. (experimente configurar um timezone incorreto, salvar/aplicar, e depois configure novamente o timezone correto.
A propósito, o seu relógio está marcando apenas a hora incorreta ou a hora e os minutos também?
Qual a diferença de horário que você está vendo?
Olá Eduardo Jonck,
Primeiramente eu gostaria de agradecer a sua participação no forum, vejo que está sempre por aí ajudando os outros membros quando precisam, as suas contribuições para a comunidade são muito importantes e eu aprecio muito isso 🙂
Eu gostaria de esclarecer que quando eu falei sobre fonte duvidosa, eu não estava falando de você ou questionando as suas intenções, mas sim questionando a origem do executável e sobre quem fez ele.
De acordo com a documentação do endian, o UTM Appliance possui um cliente customizado para o openvpn, e pode até ser esse que estão distribuindo pelo 4shared, mas de qualquer forma eu não acho que o risco compense a não ser que ele venha diretamente do site do endian.com, caso contrário, sempre existe algum risco.
(Além do risco de vírus e backdoor, também podem existir complicações legais de licenças pelo fato do cliente não ser distribuído para a versão comunidade).
Ainda não testei este cliente, primeiro porquê não uso windows a muitos anos e segundo porquê caso alguma máquina precise de um cliente vpn para windows, eu indico sempre o openvpn normal.
Espero que não tenha ficado nenhum mal-entendido ou rancor. Desculpe se soei meio rígido no primeiro post, mas as vezes eu sou assim.
[]’s
Olá Marcello,
Que bom que você conseguiu, apenas mais uma dica, se o nat está fazendo funcionar, provavelmente o problema é relacionado a rotas mesmo. Experimente ver as rotas ativas em cada unidade via ssh ou na web interface em: StatusNetworkRouting Table Entries
Você em cada lado, você deveria ter rotas para a rede green da outra unidade remota apontando para a vpn.
[]’s
Você quer dizer que não pode configurar o endereço de onde está o banco de dados?
Se você pode colocar o seu ip externo como destino para o banco de dados, provavelmente você pode alterar este campo sim, e normalmente este campo suporta nomes de dns ao invés de IP.
Marcello,
Verifique as rotas e o firewall como eu havia falado…
Não é necessário, correto, nem prático estabelecer duas VPNs entre as duas unidades apenas para este fim.
No openvpn você consegue rotear pacotes tanto para o lado do cliente quanto para o lado do servidor, desde que faça as configurações corretamente.
Senhores, até onde me consta não existe um cliente de VPN específico para o Endian (se existir favor postar o link oficial do site do endian). Recomendo que não instalem um aplicativo de uma fonte duvidosa sob o risco de comprometer o seu computador, servidor ou até mesmo a sua rede inteira.
Segurança deve ser levada a sério. O cliente de VPN recomendado para o Endian é o próprio cliente do OpenVPN. que pode ser baixado em: http://openvpn.net/index.php/open-source/downloads.html
O nome do pacote é “Windows Installer”.
Por razões de segurança eu removi os links postados aqui.
Fabiano, qual versão do endian você está utilizando?
Se me permite, eu recomendaria fazer de outra forma…
1- IP servidores – sem filtro
2- whitelist
3- green – bloqueio de executaveis
4 – ip diretoria – sem filtro
5 – blacklist
6- ips do pessoal do marketing – filtro de conteúdos 1
7 – Green – filtro de conteúdos 2
Tanto a whitelist como a blacklist, você pode definir como uma access policy por domínios liberando ou bloqueando o destino.
[]’s
Acabei de responder um problema semelhante ao seu, da uma olhada no post: http://endian.eth0.com.br/topic/externo-ok-interno-nao
@Charles Pires,
O seu problema não tem muito a ver com o assunto do topico atual nem dos outros tópicos que você postou duplicado (e que eu acabei removendo)
Não poste mais de uma vez o mesmo problema no mesmo dia, ainda mais em tópicos que não são relacionados.
Quanto ao seu problema, se as regras do redirecionamento estão idênticas, apenas mudando a porta, acredito que o problema possa estar no seu router que fica a frente do endian e que não tem a porta 8090 redirecionada, ou no seu próprio servidor que não está com a porta 8090 ativa.
Você pode diagnosticar este problema mais facilmente com o tcpdump. De uma lida em: http://eduardosilva.eti.br/sysadmin/canivete-suico-para-redes/
[]’s
Ananias,
A forma correta de resolver o seu problema seria utilizando DNS.
Exemplo: Você cria uma entrada de dns apontando para o seu ip externo: meubancodedados.exemplo.com.br -> 200.200.200.200
Depois você configura uma entrada de DNS no endian para a sua rede interna. Vá em NetworkEdit HostsAdd a host e adicione meubancodedados.exemplo.com.br -> 192.168.0.10
Depois você pode configurar o seu cliente para usar o dominio DNS ao invés de usar diretamente o IP.
[]’s
Marcello,
Você tem rotas entre todas as VPNS?
Experimente fazer um traceroute de uma máquina que fique na matriz para uma máquina em uma das filiais, veja qual o caminho que foi percorrido.
Caso precise adicionar rotas, no servidor da Matriz (onde rota o servidor vpn), configure a opção VPNOpenVPN server advanced “Push these networks” e coloque a rede da matriz ali.
Depois nas contas de cada cliente, configure a opção: “networks behind this client”
Também pode ser necessário que você modifique alguma regra em firewall VPN Traffic.
[]’s
O proxy transparente não é muito recomendável pois os seus utilizadores podem facilmente burlar os bloqueios usando https.
Quanto as regras no firewall, você só precisa ir aonde eu disse e desabilitar as regras em questão.
Paulo,
Depois que as vpns estiverem estabelecidas, você pode ir no endian que está como servidor de vpn, vá em Firewall VPN Traffic e habilite este firewall. Crie uma regra liberando apenas as portas que você precisa.
[]’s
