VPN IPSec + rotas [RESOLVIDO]

nataliavaz
(usa Debian)

Enviado em 06/05/2011 - 14:38h

Boa tarde pessoal.
Trabalho em uma empresa de desenvolvimento de software e recentemente configuramos uma VPN (lan-to-lan) com L2TP da matriz para a filial.
Fechamos o túnel através de dois mikrotiks, conseguimos acessar da matriz para a filial e vice-versa, porém só conseguimos isso se adicionarmos rotas em cada host que precisa ser acessado.

Nas duas pontas de VPN temos servidores proxy como gateway, as rotas de uma rede para outra foram adicionadas neles mas mesmo assim as máquinas não conseguem acesso.

Existe uma maneira de configurar o gateway para redirecionar as requisições e propagar isso nas redes, sem que seja necessário configurar cada host?

ordnaxela
(usa openSUSE)

Enviado em 06/05/2011 - 15:07h

Boa tarde.

Não entendi muito bem seu problema, essa rota que vc precisa colocar é rota de retorno ?
o tunel que vc criou esta em seguimento de rede separado ?

renato_pacheco
(usa Debian)

Enviado em 06/05/2011 - 15:08h

Deixe eu entender... é dessa forma q tá ligado?

VPN1 <---> gateway proxy <---> mikrotik <---> Internet <---> mikrotik <---> gateway proxy <---> VPN2

nataliavaz
(usa Debian)

Enviado em 06/05/2011 - 15:19h

Renato, é isso mesmo.

ordnaxela

As redes são diferentes sim
na matriz tenho: 192.168.0.0/255.255.252.0
na filial: 192.168.60/255.255.255.0
uma das pontas do tunel é 172.60.60.1 e a outra 172.60.60.2

no matriz temos que adicionar as rotas
/sbin/route add -net 172.60.60.0 netmask 255.255.255.0 gw 192.168.0.222
/sbin/route add -net 192.168.60.0 netmask 255.255.255.0 gw 192.168.0.222

e na filial as rotas
/sbin/route add -net 192.168.0.0 netmask 255.255.252.0 gw 192.168.60.254
/sbin/route add -net 176.60.60.0 netmask 255.255.255.0 gw 192.168.60.254


em todos os hosts que vão acessar ou ser acessados. O que queria era configurar isso só no gateway (nas duas redes os gateways padrões são os proxies), para que o acesso ficasse transparente para os clientes. No caso os proxies receberiam a requisição e encainhariam para os mikrotiks.

renato_pacheco
(usa Debian)

Enviado em 06/05/2011 - 15:32h

Então vamos pensar... a matriz (como vc chamou) deve conhecer apenas a rede gateway, certo? O gateway deve conhecer a rede da mikrotik, pro mikrotik mandar pra Internet e vice-versa. Portanto, o q vc deve verificar é se os gateways conhecem a rede da mikrotik. Veja isso.

nataliavaz
(usa Debian)

Enviado em 06/05/2011 - 15:53h

Isso mesmo Renato. Aí é que está o problema, nos gateways essas rotas já foram executadas.... mas por algum motivo o acesso dos clientes não funciona :S
Se tento, por exemplo, na filial das um tracert pra alguma máquina na matriz o requisição nem chega ao gateway.

renato_pacheco
(usa Debian)

Enviado em 06/05/2011 - 16:08h

A matriz/filial é windows ou linux?

nataliavaz
(usa Debian)

Enviado em 06/05/2011 - 16:11h

gateway: Linux CentOS
VPN: L2TP (mikrotik)
clientes: windows

ricardoolonca
(usa Debian)

Enviado em 06/05/2011 - 16:22h

Queo entender isso.

1-Mande um print com a configuração de rede de uma estação e a sua tabela de rotemantoe.
2-Mande um print das confiugações de rede do gateway e a sua tabela de roteamento.

ricardoolonca
(usa Debian)

Enviado em 10/05/2011 - 17:27h

Colo o texto, não precisa ser como imagem.

nataliavaz
(usa Debian)

Enviado em 05/10/2011 - 15:34h

Galera consegui resolver o problema da rota....

Na verdade faltou acrescentar um MASQUERADE no mikrotik para nas requisições das redes remotas e direcionar a saída para a interface da rede local....

Agora tá funcionando redondinho :)