Rotas de VPN no endian 3

Home Comunidade Brasileira Endian Firewall Endian Firewall Endian Firewall – Suporte Rotas de VPN no endian 3

Marcado: , , ,

Visualizando 13 respostas da discussão
  • Autor
    Posts
    • agosto 16, 2016 às 9:28 am #21281
      Mayko Meier
      Participante

      Olá a todos,

      estou com um problema na definição de rotas do Endian.

      Posso até definir as rotas desejadas no Endian, mas elas não se aplicam, somente via linha de comando.

      Tenho uma VPN fechada pelo Endian via OpenVPN, quero que as duas redes tenham acesso entre si, mas somente com a criação de rotas manualmente pela linha de comando.

      Alguém passou por algo parecido e encontrou uma solução?

      Pensei em utilizar um script na inicialização, mas nem colocando em todos os rcX.d ele não executa…

      🚀 Apresentando o Hotspot Beacon! 🚀

      Desbloqueie o potencial do seu Wi-Fi com o Hotspot Beacon. Personalize sua página de acesso para mostrar anúncios, promoções ou informações e engajar seus clientes, impulsionando o seu negócio.

      💡 Principais Funcionalidades:

      - Interface amigável e intuitiva
      - Opções de personalização completas para sua marca
      - Gerenciamento de propagandas e promoções
      - Integração fácil com sistemas existentes via API
      - Limitação de velocidade ou largura de banda por usuário
      - Controle de acesso por horário

      🔗 Confira o site para saber mais: https://hotspotbeacon.com

    • agosto 16, 2016 às 10:12 am #21282
      JFilho
      Participante

      Bom dia ! informe como vc esta fechando o tipo de ligação da vpn com openvpn no lado do cliente, se e via bridgie ou routed e o tipo de device modo tun ou tap, pergunto pois eu tenho uma infra funcionando com openvpn, na qual eu consigo criar uma rota no console web do Fw filial para que o destino de um ip saia pelo tunel da vpn, assim a conexao sai pela internet na matriz, acho q isso que vc quer 😉

    • agosto 16, 2016 às 10:27 am #21283
      Mayko Meier
      Participante

      isso, hoje esta assim:

      Server:
      Tipo de Dispositivo: TAP
      Em Bridge
      Protocolo UDP
      Rede 172.16.10.0

      Client: (Gw2gw)
      Tipo de Dispositivo: TAP
      Em Bridge
      Protocolo UDP
      Fazer Bridge para VERDE
      Rede 172.16.20.0

      Script para Rotas:

      Server: route add -net 172.16.20.0/24 gw 172.16.10.1
      Cliente: route add -net 172.16.10.0/24 gw (IP da VPN)

      Criando essas rotas manuais ele vai. Sem as rotas nada feito.

      Se puder passar como fez as configurações da sua VPN eu lhe agradeço. 🙂

      • agosto 16, 2016 às 10:57 am #21285
        JFilho
        Participante

        Mayko,

        Analisando a sua configuração fiquei com a seguinte duvida, vc esta tentando implementar a VPN,
        roteando para o mesmo endereço LAN da interface verde do concentrador OpenVPN Matriz ?

        Minha VPN esta da seguinte forma:

        Endian Matriz IP 10.1.1.1 Lan Verde
        Minha Filial01 ip 10.2.2.1 Lan Verde
        Openvpn Ip 192.168.10.1 Concentrador VPN
        Modo Bridge
        Protocolo UDP
        Ips entrenga clientes VPN 192.168.10.0/24
        Cadastrado do cliente01 ip fixo 192.168.10.2

        No lado do cliente o mesmo conecta com concentrador da Matriz, vai receber o ip 192.168.10.2

        No Endian da Matriz e da Filial no item Firewall/Trafego da VPN,
        vc ativa o trafego e deixa marcado conforme abaixo:

        Origem Destino Serviço Política
        <QUALQUER> <QUALQUER> <QUALQUER>

        No item Rede/ Routing do Endian Filial vc cria uma rota da seguinte forma:

        Source Network Destination Network Via Gateway
        deixa em branco Sua rede da Matriz IP Openvpn Matriz

        No meu caso esta assim:

        Source Network Destination Network Via Gateway
        10.1.1.0/24 192.168.10.1

        No item Rede/Routing do Endian Matriz vc cria uma rota da seguinte forma:

        Source Network Destination Network Via Gateway
        deixa em branco ede LAN da sua filal IP do cliente Openvpvn filial

        No meu caso esta assim:

        Source Network Destination Network Via Gateway
        10.2.2.2/24 192.168.10.2

        Parece meio confuso, mas depois de entender vc consegue configurar varios tuneis roteaveis
        todos passando pelo concentrador da sua Matriz, aqui no meu caso eu tenho 10 tuneis com o Openvpn
        e todos eles tem acesso a suas filiais passando pelo concentrador da Matriz.

        Abc,

    • agosto 16, 2016 às 11:15 am #21286
      Mayko Meier
      Participante

      Sim, e funciona desta forma, com as rotas acima criadas.

      onde define esse ip da OpenVPN?

      na minha página de configuração de openVPN não encontrei essa opção.

      no range coloco o ip da rede interna (do servidor) se tento colocar outro IP faixa diferente não vai…

      • Esta resposta foi modificada 9 anos, 10 meses atrás por Mayko Meier.
      • agosto 16, 2016 às 12:08 pm #21290
        JFilho
        Participante

        Mayko,

        Se vc conseguiu fechar a vpn com esse procedimento esta correto,
        porem o unico detalhe para vc deixar o tunel da vpn roteavel,
        vc não deve deixar a rede do openvpn no mesmo endereço da sua
        rede LAN verde, isso server para os ips que o Servidor Openvpn
        vai entregar para os clientes, dessa forma vc consegue criar
        a rota fixa dentro do painel web do Endian.

        Na minha configuração eu tenho ips diferentes para
        o servidor openvpn entregar aos clientes, repare:

        Ip Lan 10.1.1.1 Servidor Matriz

        IP Openvpn 192.168.10.1
        Mascara Openvpn 255.255.255.0

        IP Lan 10.2.2.1 Filial Servidor Filial

        Ip FIXO de entrega Openvpn 192.168.10.2

        Neste cenario vc consegue ver que os ips da vpn sao diferentes das redes,
        ai vc consegue adicionar as rotas pela interface web e deixar ela fixa,
        pois o proprio Endian qdo tiver com tunel fechado ele sabe como chegar
        ate a filial, porem e importante vc deixar no item Firewall/trafego de vpn ativado
        e liberado para qualquer origem e destino

        Abc,

    • agosto 16, 2016 às 11:27 am #21289
      Mayko Meier
      Participante

      O Processo que usei para criar o server openvpn:

      Se servir OpenVPN

      1) Vá em VPN->OpenVPN Server

      2) Habilite a VPN

      3) Diga os IPs (dentro da sua rede interna) que os clientes VPN receberão

      4) Em Accounts crie uma conta de usuário para VPN (marque apenas “Direct all client traffic through the VPN server”)

      5) Em Advanced:

      Marque “Block DHCP responses coming from tunnel”

      Habilite “Push these networks” e coloque a sua rede interna Ex.: 192.168.1.0/24

      Habilite “Push these nameservers” e coloque os seus DNS internos Ex.: 192.168.1.1

      Habilite “Push domain” e coloque o seu domínio interno Ex.: dominiointerno.msft

      Marque “PSK (username/password)”

      6) Save and Restart

      7) Baixe o certificado

      8) Configure o se cliente openVPN

    • agosto 22, 2016 às 12:05 pm #21315
      andrefreire
      Participante

      Boa tarde.

      Veja se te ajuda.

      Att,

    • agosto 22, 2016 às 2:22 pm #21316
      Mayko Meier
      Participante

      Muito obrigado a todos, estou efetuando a conexão via IPSEC, e está funcionando 100%!

      Se desejarem, posso postar como estou efetuando a conexão.

      • agosto 22, 2016 às 2:44 pm #21317
        JFilho
        Participante

        Esta ai um ponto interessante que vc mencionou, com IPSEC é possivel criar roteamento entre varios tuneis, tipo a Matriz concentrando no IPSEC, todas filias autenticadas na Matriz conseguem ter um roteamento entre elas passando pelo IPSEC da Matriz ?

        Tenho essa duvida, pois esse roteamento entre VPNS consegui implementar somente no Openvpn.

        Abc,

    • agosto 22, 2016 às 4:01 pm #21318
      Mayko Meier
      Participante

      Na prática, só consegui criando várias conexões,

      Exemplo,

      – Site A

      – Site B

      – Site C

      Interligação Site A <=> Site B
      Interligação Site B <=> Site C
      Interligação Site C <=> Site A

      Fiz todas as VPN’s site-to-site, desta foram estão todas interligadas.
      Tentei Host-to-Nets, mas sem sucesso.

      • agosto 22, 2016 às 4:06 pm #21320
        JFilho
        Participante

        Exato, foi somente dessa forma que consegui pelo IPSEC, se pelo menos o Endian tivesse rodando OSPF
        para roteamento dinamico entre os tuneis VPN, seria uma mao na roda.

        Para essa solução de ter as filias comunicando entre elas passando pelo concentrador da Matriz, foi somente com Openvpn que tive sucesso.

    • agosto 22, 2016 às 4:03 pm #21319
      andrefreire
      Participante

      Qual versão do Endian você está utilizando? Tentei o IPSEC com o 3.0 mas o serviço não subiu.

    • agosto 22, 2016 às 4:11 pm #21321
      Mayko Meier
      Participante

      Utilizo a versão 3.0.9 disponibilizada pelo Eduardo Jonck.

      • Esta resposta foi modificada 9 anos, 10 meses atrás por Mayko Meier.
    • setembro 6, 2016 às 3:32 pm #21373
      EduardoMansano
      Participante

      Olá Mayko,

      Estou tentando a um bom tempo a interligação de filiais com o Endian Firewall, testei todas as versões a partir do 2.52, todas sem sucesso, a conexão entre as filiais é bem sucedida, porém as redes não conversam.
      Depois de tanto apanhar, eu acabei optando por instalar OpenVpn em todas as estações, porém não ficou muito prático, e também não consigo acessar roteadores das redes, pois os mesmos não estão conectados na VPN.

      Pelo que você me falou, você obteve exito com a VPN Ipsec utilizando o Endian 3.09, as redes estão conversando nas duas pontas? poderia detalhar melhor como você fez?

      Obrigado

    • setembro 6, 2016 às 3:41 pm #21374
      Mayko Meier
      Participante

      Olá Eduardo,

      Isso mesmo, as redes conversam entre si.

      segui esse tutorial aqui:

      https://www.youtube.com/watch?v=CqIL58JosvU

      Esse procedimento se chama VPN site-to-site.

      Qualquer duvida, posta aí.

      Abs!

    • setembro 7, 2016 às 7:23 pm #21376
      EduardoMansano
      Participante

      Mayko,
      Segui o video, mais comigo nem chegou a conectar, estou usando o endian 3.09 nas duas pontas, veja o erro que está apresentando.

      Sistema 2016-09-07 19:17:41 ipsec_starter (8059) # deprecated keyword “leftnexthop” in conn “ZonaNorte”
      Sistema 2016-09-07 19:17:41 ipsec_starter (8059) ### 1 parsing error (0 fatal) ###
      Sistema 2016-09-07 19:17:41 ipsec: 14[CFG] received stroke add connection “ZonaNorte”
      Sistema 2016-09-07 19:17:41 ipsec 14[CFG] added configuration “ZonaNorte”
      Sistema 2016-09-07 19:17:41 ipsec: 13[CFG] received stroke initiate “ZonaNorte”
      Sistema 2016-09-07 19:17:41 ZonaNorte (15) 13[IKE] initiating IKE_SA ZonaNorte[15] to ###.###.###.###
      Sistema 2016-09-07 19:17:41 ipsec 07[CFG] rereading secrets
      Sistema 2016-09-07 19:17:41 ipsec 07[CFG] loading secrets from “/etc/ipsec/ipsec.secrets”
      Sistema 2016-09-07 19:17:41 ipsec 07[CFG] loaded RSA private key from “/etc/ipsec/ipsec.d/certs/192.168.25.2key.pem”
      Sistema 2016-09-07 19:17:41 ipsec 07[CFG] loaded IKE secret for 192.168.25.2 ###.###.###.###
      Sistema 2016-09-07 19:17:41 ipsec 07[CFG] rereading ca certificates from “/etc/ipsec/ipsec.d/cacerts”
      Sistema 2016-09-07 19:17:41 ipsec 07[CFG] loaded ca certificate “C=IT, O=efw, CN=efw CA” from “/etc/ipsec/ipsec.d/cacerts/cacert.pem”
      Sistema 2016-09-07 19:17:41 ipsec: 07[LIB] mapping “/etc/ipsec/ipsec.d/cacerts/empty” failed Invalid argument
      Sistema 2016-09-07 19:17:41 ipsec 07[LIB] building CRED_CERTIFICATE – X509 failed, tried 3 builders
      Sistema 2016-09-07 19:17:41 ipsec 07[CFG] loading ca certificate from “/etc/ipsec/ipsec.d/cacerts/empty” failed
      Sistema 2016-09-07 19:17:41 ipsec 07[CFG] rereading ocsp signer certificates from “/etc/ipsec/ipsec.d/ocspcerts”
      Sistema 2016-09-07 19:17:41 ipsec 07[CFG] rereading aa certificates from “/etc/ipsec/ipsec.d/aacerts”
      Sistema 2016-09-07 19:17:41 ipsec 07[CFG] rereading attribute certificates from “/etc/ipsec/ipsec.d/acerts”
      Sistema 2016-09-07 19:17:41 ipsec 07[CFG] rereading crls from “/etc/ipsec/ipsec.d/crls”
      Sistema 2016-09-07 19:17:41 ipsec 07[LIB] crl from Sep 05 20:22:22 2016 is not newer – existing crl from Sep 05 20:22:22 2016 retained
      Sistema 2016-09-07 19:17:41 ipsec 07[CFG] loaded crl from “/etc/ipsec/ipsec.d/crls/ca.crl”
      Sistema 2016-09-07 19:17:41 ipsec: 07[LIB] mapping “/etc/ipsec/ipsec.d/crls/empty” failed Invalid argument
      Sistema 2016-09-07 19:17:41 ipsec 07[LIB] building CRED_CERTIFICATE – X509_CRL failed, tried 3 builders
      Sistema 2016-09-07 19:17:41 ipsec 07[CFG] loading crl from “/etc/ipsec/ipsec.d/crls/empty” failed
      Sistema 2016-09-07 19:17:41 ipsec 13[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]
      Sistema 2016-09-07 19:17:41 ipsec: 13[NET] sending packet from 192.168.25.2[500] to ###.###.###.###[500] (896 bytes)
      Sistema 2016-09-07 19:17:41 ipsec: 16[NET] received packet from ###.###.###.###[500] to 192.168.25.2[500] (36 bytes)
      Sistema 2016-09-07 19:17:41 ipsec 16[ENC] parsed IKE_SA_INIT response 0 [ N(NO_PROP) ]
      Sistema 2016-09-07 19:17:41 ipsec 16[IKE] received NO_PROPOSAL_CHOSEN notify error

    • novembro 11, 2016 às 5:16 pm #21549
      Mayko Meier
      Participante

      Sim, muito importante! Para que o IPSEC funcione, é necessário ter pelo menos uma DMZ para os dois Endian’s.

  • Autor
    Posts
Visualizando 13 respostas da discussão
  • O tópico ‘Rotas de VPN no endian 3’ está fechado para novas respostas.