Home › Comunidade Brasileira Endian Firewall › Endian Firewall › Endian Firewall – Suporte › VPN entre MATRIZ e FILIAIS (URGENTE)
- Este tópico contém 9 respostas, 3 vozes e foi atualizado pela última vez 12 anos, 3 meses atrás por marcellod9.
- AutorPosts
- janeiro 9, 2012 às 5:19 pm #1562marcellod9Participante
Olá a Todos,
Galera estou precisando de uma ajuda urgente, tenho um Indian. 2.4 instalado, preciso conectar quatro filiais a esse indian. Através da VPN, meu cenário e o seguinte:
MATRIZ – 172.20.1.0/24
FILIAL1 – 172.20.2.0/24
FILIAL2 – 172.20.3.0/24
FILIAL3 – 172.20.4.0/24
FILIAL4 – 172.20.5.0/24
Estou usando a VPN (GW2GW), quando reinicio o endian da Filial1 a conexão e estabelecida, acessando o endian da filial1 via ssh eu consigo a comunicação com toda a rede da MATRIZ mais as máquinas da filial1 não se comunicam com as máquinas da MATRIZ.
Já tentei vários tutoriais aqui da comunidade mais nenhum funcionou, se que alguém que já tem esse cenário configurado pode me mandar uma passo a passo???
Por favor, e Urgente!
Wireguard_webadmin
Sistema gratuito (Open Source) para gestão de VPN's WireGuard com uma Web interface intuitiva e fácil de usar.
Principais funcionalidades:
- Sistema de Firewall completo e flexível.
- Encaminhamento de portas
- Suporte a multi usuário com níveis diferentes de acesso
- Múltiplas instâncias do Wireguard
- Crypto key routing para configuração de VPN site-to-siteO projeto é Open Source, fácil de instalar e está disponível em wireguard_webadmin
- janeiro 10, 2012 às 6:53 am #10093Eduardo SilvaParticipante
Marcello,
Você tem rotas entre todas as VPNS?
Experimente fazer um traceroute de uma máquina que fique na matriz para uma máquina em uma das filiais, veja qual o caminho que foi percorrido.
Caso precise adicionar rotas, no servidor da Matriz (onde rota o servidor vpn), configure a opção VPNOpenVPN server advanced “Push these networks” e coloque a rede da matriz ali.
Depois nas contas de cada cliente, configure a opção: “networks behind this client”
Também pode ser necessário que você modifique alguma regra em firewall VPN Traffic.
[]’s
- janeiro 10, 2012 às 6:48 pm #10094marcellod9Participante
Olá Eduardo obrigado pela dica.
O que acontece e o seguinte:
Estou testando a primeira conexão que tem o seguinte cenário.
Matriz – 172.20.1.0/24
Filial – 172.20.2.0/24
A conexão esta sendo estabelecida normalmente, tanto que da Matriz eu consigo acessar todas as máquinas da filial, o problema e que da Filial eu não consigo acessar nada na Matriz.
Alguma dica?
Obrigado!
- janeiro 10, 2012 às 9:09 pm #10095thiagomespbParticipante
Já tentou desabilitar o IDS ? outra coisa.. vc tem que fazer duas conexões.. de Matriz para Filial e outra Filial para matriz.
- janeiro 11, 2012 às 9:07 am #10096Eduardo SilvaParticipante
Marcello,
Verifique as rotas e o firewall como eu havia falado…
Não é necessário, correto, nem prático estabelecer duas VPNs entre as duas unidades apenas para este fim.
No openvpn você consegue rotear pacotes tanto para o lado do cliente quanto para o lado do servidor, desde que faça as configurações corretamente.
- janeiro 11, 2012 às 10:41 am #10097marcellod9Participante
Eduardo,
Dei um tracert da matriz em direção a um IP da filial e o resultado foi o seguinte,
IpMatriz – 172.20.1.122
IpFilial – 172.20.2.49
#############################################################################
# 1 260ms 217ms <1ms Nome.dominio.com.br [172.20.1.122] #
# 2 47ms 46ms 47ms vpn.usuariovpn.dominio.com.br [172.20.1.220] #
# 3 45ms 46ms 47ms 172.20.2.49 #
#############################################################################
Como eu disse, da matriz eu consigo enxergar as maquinas da filial.
No Firewall da MATRIZ “VPNtrafic” criei em rota assim:
origem destino serviço
QUALQUER QUALQUER QUALQUER
No firewall da FILIAL “VPNtrafic” ficou assim:
origem destino serviço
QUALQUER Verde+Openvpn QUALQUER
Alguma dica??
- janeiro 11, 2012 às 12:17 pm #10098marcellod9Participante
Olá Eduardo, tenho novidades!
Desabilitei o tráfego VPN nas duas pontas e continuo tenho acesso da matriz para a filial, agora estou conseguindo pingar da filial até a placa LAN do endian da matriz, mais ainda continuo sem acesso nas maquinas da rede da matriz.
Dei um tracert da filial para a matriz até a placa LAN do meu Endian:
#############################################################################
# 1 1ms 1ms <1ms Nome.dominio.com.br [172.20.2.250] #
# 2 47ms 46ms 47ms 172.20.1.122 #
#############################################################################
Percebi nesse tráfego que ele deu 2 saltos, 1 a menos que o da matriz para a filial, e que ele não deu o salto pelo usuário da VPN como no primeiro teste.
- janeiro 11, 2012 às 12:54 pm #10099marcellod9Participante
Olá Eduardo,
Amigo obrigado pelas dicas, consegui resolver o problema, o que eu fiz foi criar uma regra no NAT do Endian direto do utilizador da VPN (Usuário) para a minha rede verde (LAN), assim funcionou perfeitamente.
Obrigado mais uma vez
Abraços
- janeiro 12, 2012 às 6:57 am #10100Eduardo SilvaParticipante
Olá Marcello,
Que bom que você conseguiu, apenas mais uma dica, se o nat está fazendo funcionar, provavelmente o problema é relacionado a rotas mesmo. Experimente ver as rotas ativas em cada unidade via ssh ou na web interface em: StatusNetworkRouting Table Entries
Você em cada lado, você deveria ter rotas para a rede green da outra unidade remota apontando para a vpn.
[]’s
- janeiro 12, 2012 às 4:08 pm #10101marcellod9Participante
Obrigado Eduardo suas dicas forão de uma ajuda enorme, só mais uma coisa segue aqui a minha tabela tabela de roteamento, desculpe a minha ignorancia mais ainda não sei ler tabelas de roteamento.
MATRIZ
Kernel tabela de roteamento IP
Destino Flags gateway Mascara Genérica Métrica Ref Uso Iface
0.0.0.0 0.0.0.0 255.255.255.248 U 0 0 0 eth2
187.xxx.xx.xxx 0.0.0.0 255.255.255.248 U 0 0 0 eth1
201.xx.x.xxx 0.0.0.0 255.255.255.248 U 0 0 0 eth2
172.20.5.0 255.255.255.0 UG 172.20.1.211 0 0 0 br0
172.20.2.0 255.255.255.0 UG 172.20.1.220 0 0 0 br0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br1
172.20.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
0.0.0.0 187.xxx.xx.xxx 0.0.0.0 UG 0 0 0 eth1
FILIAL
Kernel tabela de roteamento IP
Destino Flags gateway Mascara Genérica Métrica Ref Uso Iface
172.20.5.0 255.255.255.0 UG 172.20.1.250 0 0 0 tap2
172.20.4.0 255.255.255.0 UG 172.20.1.250 0 0 0 tap2
172.20.3.0 255.255.255.0 UG 172.20.1.250 0 0 0 tap2
172.20.2.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
172.20.1.0 0.0.0.0 255.255.255.0 U 0 0 0 tap2
0.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 eth1
10.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 eth1
0.0.0.0 10.1.1.1 0.0.0.0 UG 0 0 0 eth1
Você acha que é melhor fazer o roteamento correto ou pelo NAT me atende?
- AutorPosts
- O tópico ‘VPN entre MATRIZ e FILIAIS (URGENTE)’ está fechado para novas respostas.