Rotas de VPN no endian 3

Visualizando 13 respostas da discussão
  • Autor
    Posts
    • #21281
      Mayko Meier
      Participante

      Olá a todos,

      estou com um problema na definição de rotas do Endian.

      Posso até definir as rotas desejadas no Endian, mas elas não se aplicam, somente via linha de comando.

      Tenho uma VPN fechada pelo Endian via OpenVPN, quero que as duas redes tenham acesso entre si, mas somente com a criação de rotas manualmente pela linha de comando.

      Alguém passou por algo parecido e encontrou uma solução?

      Pensei em utilizar um script na inicialização, mas nem colocando em todos os rcX.d ele não executa…


      Wireguard_webadmin

      Sistema gratuito (Open Source) para gestão de VPN's WireGuard com uma Web interface intuitiva e fácil de usar.

      Principais funcionalidades:

      - Sistema de Firewall completo e flexível.
      - Encaminhamento de portas
      - Suporte a multi usuário com níveis diferentes de acesso
      - Múltiplas instâncias do Wireguard
      - Crypto key routing para configuração de VPN site-to-site

      O projeto é Open Source, fácil de instalar e está disponível em wireguard_webadmin

    • #21282
      JFilho
      Participante

      Bom dia ! informe como vc esta fechando o tipo de ligação da vpn com openvpn no lado do cliente, se e via bridgie ou routed e o tipo de device modo tun ou tap, pergunto pois eu tenho uma infra funcionando com openvpn, na qual eu consigo criar uma rota no console web do Fw filial para que o destino de um ip saia pelo tunel da vpn, assim a conexao sai pela internet na matriz, acho q isso que vc quer 😉

    • #21283
      Mayko Meier
      Participante

      isso, hoje esta assim:

      Server:
      Tipo de Dispositivo: TAP
      Em Bridge
      Protocolo UDP
      Rede 172.16.10.0

      Client: (Gw2gw)
      Tipo de Dispositivo: TAP
      Em Bridge
      Protocolo UDP
      Fazer Bridge para VERDE
      Rede 172.16.20.0

      Script para Rotas:

      Server: route add -net 172.16.20.0/24 gw 172.16.10.1
      Cliente: route add -net 172.16.10.0/24 gw (IP da VPN)

      Criando essas rotas manuais ele vai. Sem as rotas nada feito.

      Se puder passar como fez as configurações da sua VPN eu lhe agradeço. 🙂

      • #21285
        JFilho
        Participante

        Mayko,

        Analisando a sua configuração fiquei com a seguinte duvida, vc esta tentando implementar a VPN,
        roteando para o mesmo endereço LAN da interface verde do concentrador OpenVPN Matriz ?

        Minha VPN esta da seguinte forma:

        Endian Matriz IP 10.1.1.1 Lan Verde
        Minha Filial01 ip 10.2.2.1 Lan Verde
        Openvpn Ip 192.168.10.1 Concentrador VPN
        Modo Bridge
        Protocolo UDP
        Ips entrenga clientes VPN 192.168.10.0/24
        Cadastrado do cliente01 ip fixo 192.168.10.2

        No lado do cliente o mesmo conecta com concentrador da Matriz, vai receber o ip 192.168.10.2

        No Endian da Matriz e da Filial no item Firewall/Trafego da VPN,
        vc ativa o trafego e deixa marcado conforme abaixo:

        Origem Destino Serviço Política
        <QUALQUER> <QUALQUER> <QUALQUER>

        No item Rede/ Routing do Endian Filial vc cria uma rota da seguinte forma:

        Source Network Destination Network Via Gateway
        deixa em branco Sua rede da Matriz IP Openvpn Matriz

        No meu caso esta assim:

        Source Network Destination Network Via Gateway
        10.1.1.0/24 192.168.10.1

        No item Rede/Routing do Endian Matriz vc cria uma rota da seguinte forma:

        Source Network Destination Network Via Gateway
        deixa em branco ede LAN da sua filal IP do cliente Openvpvn filial

        No meu caso esta assim:

        Source Network Destination Network Via Gateway
        10.2.2.2/24 192.168.10.2

        Parece meio confuso, mas depois de entender vc consegue configurar varios tuneis roteaveis
        todos passando pelo concentrador da sua Matriz, aqui no meu caso eu tenho 10 tuneis com o Openvpn
        e todos eles tem acesso a suas filiais passando pelo concentrador da Matriz.

        Abc,

    • #21286
      Mayko Meier
      Participante

      Sim, e funciona desta forma, com as rotas acima criadas.

      onde define esse ip da OpenVPN?

      na minha página de configuração de openVPN não encontrei essa opção.

      no range coloco o ip da rede interna (do servidor) se tento colocar outro IP faixa diferente não vai…

      • Esta resposta foi modificada 7 anos, 7 meses atrás por Mayko Meier.
      • #21290
        JFilho
        Participante

        Mayko,

        Se vc conseguiu fechar a vpn com esse procedimento esta correto,
        porem o unico detalhe para vc deixar o tunel da vpn roteavel,
        vc não deve deixar a rede do openvpn no mesmo endereço da sua
        rede LAN verde, isso server para os ips que o Servidor Openvpn
        vai entregar para os clientes, dessa forma vc consegue criar
        a rota fixa dentro do painel web do Endian.

        Na minha configuração eu tenho ips diferentes para
        o servidor openvpn entregar aos clientes, repare:

        Ip Lan 10.1.1.1 Servidor Matriz

        IP Openvpn 192.168.10.1
        Mascara Openvpn 255.255.255.0

        IP Lan 10.2.2.1 Filial Servidor Filial

        Ip FIXO de entrega Openvpn 192.168.10.2

        Neste cenario vc consegue ver que os ips da vpn sao diferentes das redes,
        ai vc consegue adicionar as rotas pela interface web e deixar ela fixa,
        pois o proprio Endian qdo tiver com tunel fechado ele sabe como chegar
        ate a filial, porem e importante vc deixar no item Firewall/trafego de vpn ativado
        e liberado para qualquer origem e destino

        Abc,

    • #21289
      Mayko Meier
      Participante

      O Processo que usei para criar o server openvpn:

      Se servir OpenVPN

      1) Vá em VPN->OpenVPN Server

      2) Habilite a VPN

      3) Diga os IPs (dentro da sua rede interna) que os clientes VPN receberão

      4) Em Accounts crie uma conta de usuário para VPN (marque apenas “Direct all client traffic through the VPN server”)

      5) Em Advanced:

      Marque “Block DHCP responses coming from tunnel”

      Habilite “Push these networks” e coloque a sua rede interna Ex.: 192.168.1.0/24

      Habilite “Push these nameservers” e coloque os seus DNS internos Ex.: 192.168.1.1

      Habilite “Push domain” e coloque o seu domínio interno Ex.: dominiointerno.msft

      Marque “PSK (username/password)”

      6) Save and Restart

      7) Baixe o certificado

      8) Configure o se cliente openVPN

    • #21315
      andrefreire
      Participante

      Boa tarde.

      Veja se te ajuda.

      Att,

    • #21316
      Mayko Meier
      Participante

      Muito obrigado a todos, estou efetuando a conexão via IPSEC, e está funcionando 100%!

      Se desejarem, posso postar como estou efetuando a conexão.

      • #21317
        JFilho
        Participante

        Esta ai um ponto interessante que vc mencionou, com IPSEC é possivel criar roteamento entre varios tuneis, tipo a Matriz concentrando no IPSEC, todas filias autenticadas na Matriz conseguem ter um roteamento entre elas passando pelo IPSEC da Matriz ?

        Tenho essa duvida, pois esse roteamento entre VPNS consegui implementar somente no Openvpn.

        Abc,

    • #21318
      Mayko Meier
      Participante

      Na prática, só consegui criando várias conexões,

      Exemplo,

      – Site A

      – Site B

      – Site C

      Interligação Site A <=> Site B
      Interligação Site B <=> Site C
      Interligação Site C <=> Site A

      Fiz todas as VPN’s site-to-site, desta foram estão todas interligadas.
      Tentei Host-to-Nets, mas sem sucesso.

      • #21320
        JFilho
        Participante

        Exato, foi somente dessa forma que consegui pelo IPSEC, se pelo menos o Endian tivesse rodando OSPF
        para roteamento dinamico entre os tuneis VPN, seria uma mao na roda.

        Para essa solução de ter as filias comunicando entre elas passando pelo concentrador da Matriz, foi somente com Openvpn que tive sucesso.

    • #21319
      andrefreire
      Participante

      Qual versão do Endian você está utilizando? Tentei o IPSEC com o 3.0 mas o serviço não subiu.

    • #21321
      Mayko Meier
      Participante

      Utilizo a versão 3.0.9 disponibilizada pelo Eduardo Jonck.

      • Esta resposta foi modificada 7 anos, 7 meses atrás por Mayko Meier.
    • #21373
      EduardoMansano
      Participante

      Olá Mayko,

      Estou tentando a um bom tempo a interligação de filiais com o Endian Firewall, testei todas as versões a partir do 2.52, todas sem sucesso, a conexão entre as filiais é bem sucedida, porém as redes não conversam.
      Depois de tanto apanhar, eu acabei optando por instalar OpenVpn em todas as estações, porém não ficou muito prático, e também não consigo acessar roteadores das redes, pois os mesmos não estão conectados na VPN.

      Pelo que você me falou, você obteve exito com a VPN Ipsec utilizando o Endian 3.09, as redes estão conversando nas duas pontas? poderia detalhar melhor como você fez?

      Obrigado

    • #21374
      Mayko Meier
      Participante

      Olá Eduardo,

      Isso mesmo, as redes conversam entre si.

      segui esse tutorial aqui:

      https://www.youtube.com/watch?v=CqIL58JosvU

      Esse procedimento se chama VPN site-to-site.

      Qualquer duvida, posta aí.

      Abs!

    • #21376
      EduardoMansano
      Participante

      Mayko,
      Segui o video, mais comigo nem chegou a conectar, estou usando o endian 3.09 nas duas pontas, veja o erro que está apresentando.

      Sistema 2016-09-07 19:17:41 ipsec_starter (8059) # deprecated keyword “leftnexthop” in conn “ZonaNorte”
      Sistema 2016-09-07 19:17:41 ipsec_starter (8059) ### 1 parsing error (0 fatal) ###
      Sistema 2016-09-07 19:17:41 ipsec: 14[CFG] received stroke add connection “ZonaNorte”
      Sistema 2016-09-07 19:17:41 ipsec 14[CFG] added configuration “ZonaNorte”
      Sistema 2016-09-07 19:17:41 ipsec: 13[CFG] received stroke initiate “ZonaNorte”
      Sistema 2016-09-07 19:17:41 ZonaNorte (15) 13[IKE] initiating IKE_SA ZonaNorte[15] to ###.###.###.###
      Sistema 2016-09-07 19:17:41 ipsec 07[CFG] rereading secrets
      Sistema 2016-09-07 19:17:41 ipsec 07[CFG] loading secrets from “/etc/ipsec/ipsec.secrets”
      Sistema 2016-09-07 19:17:41 ipsec 07[CFG] loaded RSA private key from “/etc/ipsec/ipsec.d/certs/192.168.25.2key.pem”
      Sistema 2016-09-07 19:17:41 ipsec 07[CFG] loaded IKE secret for 192.168.25.2 ###.###.###.###
      Sistema 2016-09-07 19:17:41 ipsec 07[CFG] rereading ca certificates from “/etc/ipsec/ipsec.d/cacerts”
      Sistema 2016-09-07 19:17:41 ipsec 07[CFG] loaded ca certificate “C=IT, O=efw, CN=efw CA” from “/etc/ipsec/ipsec.d/cacerts/cacert.pem”
      Sistema 2016-09-07 19:17:41 ipsec: 07[LIB] mapping “/etc/ipsec/ipsec.d/cacerts/empty” failed Invalid argument
      Sistema 2016-09-07 19:17:41 ipsec 07[LIB] building CRED_CERTIFICATE – X509 failed, tried 3 builders
      Sistema 2016-09-07 19:17:41 ipsec 07[CFG] loading ca certificate from “/etc/ipsec/ipsec.d/cacerts/empty” failed
      Sistema 2016-09-07 19:17:41 ipsec 07[CFG] rereading ocsp signer certificates from “/etc/ipsec/ipsec.d/ocspcerts”
      Sistema 2016-09-07 19:17:41 ipsec 07[CFG] rereading aa certificates from “/etc/ipsec/ipsec.d/aacerts”
      Sistema 2016-09-07 19:17:41 ipsec 07[CFG] rereading attribute certificates from “/etc/ipsec/ipsec.d/acerts”
      Sistema 2016-09-07 19:17:41 ipsec 07[CFG] rereading crls from “/etc/ipsec/ipsec.d/crls”
      Sistema 2016-09-07 19:17:41 ipsec 07[LIB] crl from Sep 05 20:22:22 2016 is not newer – existing crl from Sep 05 20:22:22 2016 retained
      Sistema 2016-09-07 19:17:41 ipsec 07[CFG] loaded crl from “/etc/ipsec/ipsec.d/crls/ca.crl”
      Sistema 2016-09-07 19:17:41 ipsec: 07[LIB] mapping “/etc/ipsec/ipsec.d/crls/empty” failed Invalid argument
      Sistema 2016-09-07 19:17:41 ipsec 07[LIB] building CRED_CERTIFICATE – X509_CRL failed, tried 3 builders
      Sistema 2016-09-07 19:17:41 ipsec 07[CFG] loading crl from “/etc/ipsec/ipsec.d/crls/empty” failed
      Sistema 2016-09-07 19:17:41 ipsec 13[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]
      Sistema 2016-09-07 19:17:41 ipsec: 13[NET] sending packet from 192.168.25.2[500] to ###.###.###.###[500] (896 bytes)
      Sistema 2016-09-07 19:17:41 ipsec: 16[NET] received packet from ###.###.###.###[500] to 192.168.25.2[500] (36 bytes)
      Sistema 2016-09-07 19:17:41 ipsec 16[ENC] parsed IKE_SA_INIT response 0 [ N(NO_PROP) ]
      Sistema 2016-09-07 19:17:41 ipsec 16[IKE] received NO_PROPOSAL_CHOSEN notify error

    • #21549
      Mayko Meier
      Participante

      Sim, muito importante! Para que o IPSEC funcione, é necessário ter pelo menos uma DMZ para os dois Endian’s.

Visualizando 13 respostas da discussão
  • O tópico ‘Rotas de VPN no endian 3’ está fechado para novas respostas.