Integração VPN e Rede Local

ZERAMOS
(usa Slackware)

Enviado em 08/06/2012 - 10:20h

Fechei o antigo post pois houveram mudanças, acho que este está mais claro !!!!!


Bom vamos lá, a princípio vou colocar aqui no início duas topologias, ambas extremamente simples, a primeira a topologia atual da minha rede e a segunda topologia que a fábrica a qual nos conectamos através de VPN solicitou que façamos!


Topologia atual: http://clip2net.com/s/20ydk

Topologia a ser alterada: http://clip2net.com/s/20ylz


Na atual topologia temos os acessos da seguinte forma:

- Os equipamentos ligados diretamente ao Switch (gestão e pc3) possuem ip 192.168.0.x e acessam a internet através do gateway 192.168.0.1 configurado na eth1 do servidor. Estes não tem acesso aos ips da vpn.

- Os equipamentos ligados diretamente ao Sonicwall (VAS, pc1 e pc2) possuem ip 10.192.aaa.bbb e acessam a internet através da VPN.
A ligação do Sonicwall com a internet se faz através da sua porta WAN onde esta configurado um IP da rede 192.168.0.30 e gateway 192.168.0.1. Estas estações tem acesso a rede interna devido a um roteamento realizado no servidor, este:

route add -net 10.192.aaa.0 netmask 255.255.255.128 eth1.

A fábrica possui um servidor que apenas pode ser acessado (na primeira topologia) pelas máquinas que estão conectadas as lans do Sonicwall, o seu ip é 10.112.aaa.bbb.

No servidor (Slackware 12) tenho o squid rodando e faço alguns nats para acesso externo a alguns servidores internos (TS, Vídeo, etc)

O que a fábrica deseja?
Após mudar a topologia, que qualquer estação acesse o servidor que esta na VPN (o 10.112.aaa.bbb)
Que os ips de todos equipamentos da rede sejam do tipo 192.168.x.x porém tenham um NAT feito no servidor para direcionar um possível acesso da fábrica a estes pela VPN.
Por exemplo:
Um suporte da fábrica deseja acessar o PC 3 para auxiliar um usuário no preenchimento de um dado do sistema. Para o suporte o ip desta máquina é Ex: 10.192.200.4, porém na rede local ela é 192.168.0.8.

Pessoal preciso muito de auxílio para resolver isso, meu prazo já se esgotou!!!
Agradeço desde já qualquer ajuda !!!

removido
(usa Nenhuma)

Enviado em 08/06/2012 - 11:23h

Bom dia amigo,

eu entendi o seguinte diagrama da rede:

speedy 1 e 2[189.x.x.x]<=>Servidor-gateway[eth1=192.168.0.1]<=>[192.168.0.30]Roteador-sonicwall[10.192.aaa.bbb]<=>rede-local


Bom vamos as perguntas:

1º - o servidor onde está a vpn 10.112.aaa.bbb está conectado em qual rede representada pelo diagrama que postou no seu primeiro post a rede 192.168.x.x ou a rede 10.192.aaa.bbb ou está no link externo e se está em um link externo qual a máquina fecha a vpn com ela?

2º - No diagrama não vi nenhuma vpn representada na imagem, onde ela está e quais são os equipamentos que utiliza para fazer a mesma ?

3º - você falou: Que os ips de todos equipamentos da rede sejam do tipo 192.168.x.x porém tenham um NAT feito no servidor para direcionar um possível acesso da fábrica a estes pela VPN. você quer que todos os ips sejam na faixa 192.168.x.x de todos da rede representada no diagrama ?

ZERAMOS
(usa Slackware)

Enviado em 08/06/2012 - 11:47h

Vamos lá.....

OBS : Nos diagramas a Barra entre o Servidor Linux e os outros equipamentos é um switch 24 portas 3com!


1º - o servidor onde está a vpn 10.112.aaa.bbb está conectado em qual rede representada pelo diagrama que postou no seu primeiro post a rede 192.168.x.x ou a rede 10.192.aaa.bbb ou está no link externo e se está em um link externo qual a máquina fecha a vpn com ela?

- quem faz a VPN é o sonicwall, ele faz através da internet mesmo ADSL, para isso ele está configurado em sua porta WAN com ip da rede local 192.168.0.30 gw 192.168.0.1, ligado ao switch que por sua vez esta ligado a eth1 do servidor, o gateway, essa é a saída pra internet e através dela ele monta a VPN.



2º - No diagrama não vi nenhuma vpn representada na imagem, onde ela está e quais são os equipamentos que utiliza para fazer a mesma ?

R:
- A VPN no primeiro diagrama - Topologia atual: http://clip2net.com/s/20ydk - está entre:

Sonicwall 10.112.1.1 <-> VAS - ip: 10.112.1.2 (ex)
PC1 - ip: 10.112.1.3 (ex)
PC2 - ip: 10.112.1.4 (ex)

O Sonicwall fecha a vpn com nossa empresa

Porém a topologia deve mudar para o segundo diagrama - http://clip2net.com/s/20ylz, dai o Sonicwall está ligado diretamente ao switch, porém não sei se pela porta WAN ou LAN, e as estações que fazem parte da VPN hj, estarão também ligadas ao switch e não nas LANs do Sonic.

3º - você falou: Que os ips de todos equipamentos da rede sejam do tipo 192.168.x.x porém tenham um NAT feito no servidor para direcionar um possível acesso da fábrica a estes pela VPN. você quer que todos os ips sejam na faixa 192.168.x.x de todos da rede representada no diagrama ?

R: Sim exato, todos ips sejam do tipo 192.168.0.x !!!!!

Obrigado pela ajuda !!!!

removido
(usa Nenhuma)

Enviado em 08/06/2012 - 15:53h

Obrigado pelas respostas,

você usa o IPsec, PPTP ou openvpn para fechar a vpn entre o endereço externo e o sonicwall ?

zeramos
(usa Slackware)

Enviado em 08/06/2012 - 16:26h

você usa o IPsec, PPTP ou openvpn para fechar a vpn entre o endereço externo e o sonicwall


R:

Rapaz não faço a mínima ideia, o Sonic foi configurado a mais de 5 anos, a única coisa que mudei nele foi o DNS a uns 2 anos!!!

Eu sei que ele monta a VPN em cima da nossa conexão ADSL (Speedy Negócios).

Todos ips da VPN configurados nele foram configurados pela equipe técnica da VW.


Não sei se isso ajuda em algo???

Abraço !!!!!

removido
(usa Nenhuma)

Enviado em 08/06/2012 - 16:47h

********** sugestão de solução **********

Primeiro terá que mudar a configuração de todos os equipamentos para a faixa de ip 192.168.x.x.

para isso poderá usar o sonicwall para esse trabalho, deixando fixo o ip do servidor slackware(onde roda o firewall e squid)que é 192.168.0.1. o sonicwall se conectará como um host normal, ou seja trabalhará em bridge com ip que está atualmente que é 192.168.0.30.

no seu caso ficará assim:

[wan-sem conexão alguma]sonicwall[lan-192.168.0.30]<===>[192.168.0.x](rede local inclusive servidor[192.168.0.1])

ou seja o sonicwall será conectado ao switch pela lan (a wan ficará "livre") configurando todos os dispositivos coma faixa de endereço 192.168.0.x, deixando o endereço do servidor fixo na mesma faixa e como gateway da rede e deixando também o endereço do sonicwall na mesma faixa com o endereço que esta agora 192.168.0.30.

assim todos estarão na faixa de rede 192.168.0.x, meio caminho andado dessa forma.

porém como você quer que os hosts nessa faixa de rede consigam acessar a vpn que está no sonicwall, pode criar um rota estática para que todos os pacotes com destino a 10.112.x.x sejam encaminhados para o endereço do sonicwall que no caso é 192.168.0.30, por sua vez o 192.168.0.30 terá que fazer o encaminhamento dos pacotes por essa vpn para o endereço solicitado na faixa 10.112.x.x.

o que acha dessa sugestão ?

zeramos
(usa Slackware)

Enviado em 08/06/2012 - 17:07h

Show é exatamente o que a fábrica deseja, só não entendo como fazer a parada de uma estação, estando na rede local, conseguir acessar um servidor na VPN. Como ficaria isso no meu servidor? Essas acredito eu, rotas?

Ah outra coisa que eu esqueci de mencionar.

Existem 5 equipamentos que estarão na rede que poderão eventualmente ser acessados através da VPN por algum suporte da fábrica, para o suporte o ip 192.168.0.x não existe, eles só enxergam a os ips do tipo 10.112.xxx.yyy, por exemplo, suponhamos que um equipamento que deverá ser acessado pela fabrica internamente tem o ip 192.168.0.12, só que eles acessam pelo 10.112.bla.5, entendeu, eles aconselham que seja feito um nat no servidor.
Exemplo 2, se o cara startar aqui na rede um team view do outro lado eles vão acessar com ip da classe 10.112.xxx.yyy.

Obrigado !!!!!

removido
(usa Nenhuma)

Enviado em 08/06/2012 - 17:42h

Bom... primeiramente configurar a rede para ficar na faixa 192.168.0.x.

2º - depois de configurar a rede para trabalhar nesta faixa colocar a seguinte regra de roteamento no servidor slackware:

# route add -net 10.112.aaa.bbb netmask 255.255.255.0 gw 192.168.0.30 dev eth1

 

*** acima estou colocando uma máscara de rede fictícia porém troque pela mascara de rede real da vpn, e estou colocando o gateway como 192.168.0.30 como foi informado aqui no tópico, caso seja diferente troque pela real.

**** lembrando que o gateway da rede é p servidor com o slackware 192.168.0.1

3º - no sonicwall terá que fazer um encaminhamento ou seja um nat para que todos os pacotes que entrem com destino a 10.112.aaa.bbb sejam encaminhados por ele e um redirecionamento para que todos os pacotes que venham de 10.112.aaa.bbb com destino a 192.168.0.x sejam encaminhados por ele também.


nunca usei o sonicwall, ai vai ser por sua conta, pois será através dele que será feito o redirecionamento dos pacotes da rede vpn 10.112.aaa.bbb para a 192.168.0.x e vice-versa.

zeramos
(usa Slackware)

Enviado em 08/06/2012 - 17:45h

Bicho tu é o cara !!!!!


Farei isso e vou correr atrás da configuração do Sonic!

Grande abraço e novamente muito obrigado !!!!

removido
(usa Nenhuma)

Enviado em 08/06/2012 - 17:47h

ou você pode configurar um serviço dhcp no servidor slackware e conectar o sonicwall ao servidor pelo switch usando a porta wan do sonicwall e fazer os redirecionamentos depois no sonicwall.

removido
(usa Nenhuma)

Enviado em 08/06/2012 - 17:49h

Amigo para cada etapa teste , para ver se está funcionando como o desejado.

veja se o sonicwall se conecta a vpn pela porta lan ou se só se conecta pela wan.