A parte mais difícil já foi feita que é a configuração do kernel, para
mascarar uma conexão VPN utiliza-se o seguinte comando:
# iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 1723 -j DNAT --to 192.168.1.1
# iptables -t nat -A PREROUTING -i eth1 -p gre -j DNAT --to 192.168.1.1
A porta do VPN é a 1723 TCP e adicionalmente redirecionamos todos os
pacotes GRE para o servidor VPN também, como este pacote não permite que
se escolha qual a porta que vai se redirecionar então redirecionamos todas
as portas.
No meu caso a eth1 é minha interface de rede conectada à internet e
192.168.1.1 é o meu servidor VPN que se localiza internamente na minha
rede.
Se você estiver utilizando um firewall não se esqueça de permitir a
entrada destes pacotes via eth1:
# iptables -A INPUT -i eth1 -p tcp -d 200.222.220.100 --dport 1723 -j ACCEPT
# iptables -A INPUT -i eth1 -p gre -j ACCEPT
[1] Comentário enviado por fabio em 19/07/2003 - 04:24h
Fala primo,
Estávamos sentindo falta dos seus artigos no Viva o Linux :)
Bom, só para dar 1 byte de contribuição, quando você fala em compilar o kernel no Debian. Existe um artigo muito bom aqui no site que fala sobre isso mais detalhadamente, vale à pena ficar como leitura recomendada ao pessoal:
[2] Comentário enviado por talesntc em 19/01/2004 - 00:29h
Tenho um problema e gostaria de saber se isso pode resolver.
Forneco um ip inválido 192.169.0.1 para uma estação que deve se comunicar através de vpn com um endereço válido fora da rede local com um endereço 200.xxx.xxx.xxx
[3] Comentário enviado por wberbert em 19/01/2004 - 10:45h
Pode sim, você pode ter uma máquina interna a rede com ip falso se comunidando com uma máquina externa e também uma máquina externa se comunicando com uma máquina interna, tudo isso utilizando mascaramente de IP e redirecionamento de pacotes.
[4] Comentário enviado por wberbert em 19/01/2004 - 10:45h
Pode sim, você pode ter uma máquina interna a rede com ip falso se comunidando com uma máquina externa e também uma máquina externa se comunicando com uma máquina interna, tudo isso utilizando mascaramente de IP e redirecionamento de pacotes.
[5] Comentário enviado por ag_andrade em 27/07/2004 - 09:21h
Ola....li seu artigo sobre VPN e Mascaramento, mas tenho uma dúvida.
Se caso eu queira fazer uma vpn em mais de uma estação atrás de um mesmo firewall linux tenho que especificar um ip válido para diferenciar o redirecionamento certo ???
[8] Comentário enviado por evsivier em 21/02/2005 - 01:13h
Wanderson.
Preciso de uma ajuda.
Tenho um IPtables filtrando duas redes, a interna e uma externa (Link LP). A interface externa esta conectada a um roteador e o endereço deste segmento é X.
Fiz o NAT da minha rede interna para a net da rede externa (X).
Existe uma comunicacao por uma VPN (Ip Tunneling) entre uma estacao da rede interna e o servidor da rede externa.
Apesar de eu ter efetuado as tarefas de NAT e de configuração de regras nao consegui fazer as partes se falarem pois o header dos cabecalhos IP encriptados sao alterados durante o trabalho do IPTABLES.
Preciso instalar um freeswan no firewall para que o Kernel entenda a estrutura de pacotes encriptados e nao os altere em tempo de NAT ?
Onde estou errando ?
[10] Comentário enviado por rmedeiros em 14/03/2005 - 18:11h
Olá amigo muito bom tutu, mas tenho a seguinte situaçã, tenho uma vpn e tenho o gateway da rede como posso fazer para não utilizar a vpn como gateway da rede, ou seja usar meu gateway que já tenho hoje e redirecionar os pacotes para a vpn da para se fazer isso
[11] Comentário enviado por glaudiston em 09/08/2006 - 12:25h
Eu uso aqui na empresa um kurumin configurado como servidor de firewall, e tem um de nossos clientes q possui um servidor vpn em uma rede externa à nossa aqui da empresa...
tenho q configurar um cliente win xp para acessar esta rede vpn mas está dando o erro 619...
não entendi direito se este artigo serve para este caso...
se não serve, podem me indicar algo q sirva?
se serve, é mesmo necessário recompilar o kernel mesmo sendo ele 2.4 pra executar este artigo, ou posso pular este passo?
[13] Comentário enviado por lucasmcz em 17/04/2007 - 17:43h
Wanderson Berbert
Minha situação é a seguinte:
Tenho duas redes e em uma delas, alguns usuários usam VPN do tipo Host-to-site ou hosto-to-lan, ou seja, eles estão na minha rede, atrás do meu firewall, porém querem conexão com um Servidor de VPN que está na internet. Na maioria das vezes é utilizado o VPN Client da Cisco, senão usam uma conexão dial-up do Windows XP.
Pergunta:
Como seria a regra para deixar isso padrão para qualquer IP?
Atribuir a regra a interface da rede interna ou não é possível fazer isso?
Espero a ajuda de você Wanderson Berbert e de todo.
[14] Comentário enviado por Deuz em 06/07/2009 - 16:18h
Boa tarde Wanderson Berbert.
Estou para implantar um acesso remoto e vou usar a VPN, pois pelo TS, nao será possivel devido a licença de uso, assim sendo, minha necessidade é a seguinte.
Tenho uma rede onde roda o Windows Server 2003 com as conexões devidamente criadas, nessa rede, todas as conexões para a internet sao deitas atraves de um proxy, usando o CL10(meio antigo por sinal), o mesmo roda um firewall.
na Filial, tm outra rede e usa speedy, quero que as maquinas da filial se conectem ao servidor que está dentro de outra rede e protegido pelo firewall e proxy.
Pergunto, esse artigo que vc contribuiu, dá certo, pode ser usado pra isso?