Liberação para uso de VPN-IPSEC

1. Liberação para uso de VPN-IPSEC

Márcio Alessandro
syman_jr

(usa Debian)

Enviado em 15/08/2016 - 11:43h

Boa tarde a todos,

Estou com um problema para utilizar uma VPN-IPSEC no meu trabalho, o provedor de internet fornece um roteador onde o IP válido fica nele, o mesmo não libera portas ou serviços, somente me permite um utilizar um IP onde é feito uma DMZ (192.168.1.200).

Tenho nas duas pontas a mesma internet (mesmo provedor). Comentei sobre a possibilidade de utilizar a VPN via OpenVPN, “mas tenho que utilizar esses dois aparelhos mesmo”.

Logo, configurei uma VPN-IPSEC através de dois roteadores (DI-804HV – D-Link), testando através dos aparelhos sem o firewall a VPN funciona perfeitamente.
Quando coloco o firewall, daí surge meu problema, eu pingo a outra ponta (tanto roteador quanto a rede local)
Roteador VPN: 192.168.17.10
Máquina nessa rede: 192.168.17.22 (a única)

Do outro lado pingo somente o roteador a minha rede local não alcanço (quando o firewall está presente), logo imagino que o firewall está barrando esse acesso de fora.

Meu cenário:

Modem\Roteador INTERNET: XXX.XXX.XXX.XXX
Matriz-VPN (DI-804HV)
Wan: 192.168.1.200 (DMZ)
Mask: 255.255.255.0
GW: 192.168.1.1
LAN: 192.168.16.10

==================
Firewall (iptables)
Internet Eth0: 192.168.16.1
Rede local Eth1: 192.168.0.1
==================

Modem\Roteador INTERNET: XXX.XXX.XXX.XXX
Filial-VPN (DI-804HV)
Wan: 192.168.1.200 (DMZ)
Mask: 255.255.255.0
GW: 192.168.1.1
LAN: 192.168.17.10

Pesquisando na internet vi que o IPSEC utiliza a porta 500 e o protocolo 50.

Pelo fato de ter somente o IP: 192.168.1.200 (fazendo a DMZ) não sei se outro cenário se encaixaria melhor tipo; colocar o firewall antes do roteador da VPN ou se é só questão de ter feito a liberação no firewall de forma incorreta.

Teria alguma regra que aplica nesse caso? Eu procurei várias e testei mas sem sucesso.

Desculpe se ficou meio confuso...

Desde já obrigado a todos!







  


2. Re: Liberação para uso de VPN-IPSEC

Paulo Macyszyn
macyszyn

(usa Ubuntu)

Enviado em 15/08/2016 - 12:42h

Esse seu firewall é gateway certo?
Como esta as rotas dele, consegue postar?

E as regras de liberação para a VPN, consegue colocar aqui para analisarmos?


3. Liberação para uso de VPN-IPSEC

Márcio Alessandro
syman_jr

(usa Debian)

Enviado em 15/08/2016 - 13:51h

Boa tarde Macyszyn!

As regras que utilizei foram essas:

#VPN
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 500 -j ACCEPT

#Habilitando as portas do IPSEC
iptables -A INPUT -p udp --sport 500 --dport 500 -j ACCEPT
iptables -A OUTPUT -p udp --sport 500 --dport 500 -j ACCEPT
iptables -A INPUT -p 50 -j ACCEPT
iptables -A OUTPUT -p 50 -j ACCEPT
iptables -A INPUT -p 51 -j ACCEPT
iptables -A OUTPUT -p 51 -j ACCEPT

Obrigado!


4. Re: Liberação para uso de VPN-IPSEC

Paulo Macyszyn
macyszyn

(usa Ubuntu)

Enviado em 15/08/2016 - 14:15h

As regras estão correta, porem esta faltando algumas, são elas: Porta 4500, 161, 162 e 1701

A regra que utilizo é esta:

iptables -A INPUT -p udp --dport 500 -j ACCEPT
iptables -A INPUT -p udp --dport 4500 -j ACCEPT
iptables -A INPUT -p 50 -j ACCEPT
iptables -A INPUT -p 51 -j ACCEPT
iptables -A INPUT -p 161 -j ACCEPT
iptables -A INPUT -p 162 -j ACCEPT
iptables -A INPUT -p udp -m policy --dir in --pol ipsec -m udp --dport 1701 -j ACCEPT

Se for bloqueio, provavelmente essa regra ira liberar!


5. Re: Liberação para uso de VPN-IPSEC

Paulo Macyszyn
macyszyn

(usa Ubuntu)

Enviado em 16/08/2016 - 12:19h

Alguma novidade? Conseguiu conectar?



6. Liberação para uso de VPN-IPSEC

Márcio Alessandro
syman_jr

(usa Debian)

Enviado em 19/08/2016 - 17:34h

Desculpe a demora, estou testando agora

continua a mesma coisa sem acesso!


7. Re: Liberação para uso de VPN-IPSEC

Estefanio Brunhara
stefaniobrunhara

(usa CentOS)

Enviado em 19/08/2016 - 20:03h

macyszyn escreveu:

As regras estão correta, porem esta faltando algumas, são elas: Porta 4500, 161, 162 e 1701

A regra que utilizo é esta:

iptables -A INPUT -p udp --dport 500 -j ACCEPT
iptables -A INPUT -p udp --dport 4500 -j ACCEPT
iptables -A INPUT -p 50 -j ACCEPT
iptables -A INPUT -p 51 -j ACCEPT
iptables -A INPUT -p 161 -j ACCEPT
iptables -A INPUT -p 162 -j ACCEPT
iptables -A INPUT -p udp -m policy --dir in --pol ipsec -m udp --dport 1701 -j ACCEPT

Se for bloqueio, provavelmente essa regra ira liberar!


### Firewall para IPSEC
Se existir um firewall na rede, é preciso que todo tráfego que passa pela porta
UDP 500 (IKE) e pelos protocolos 50 (ESP) e 51 (AH) seja permitido.

- Caso você use firewall na sua rede, não se esqueça de abrir a comunicação para os seguintes
protolocos/portas:
- Protocolo 50 (ESP)
- Protocolo 51 (AH)
- Porta 500 UDP (ISAKMP)

- Se você utiliza NAT, tome o cuidado de não mascarar nada que tenha como origem em uma das redes e como destino a outra rede.

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
RETURN all -- 192.168.77.0/24 192.168.0.0/24




8. LIBERAÇÃO PARA USO DE VPN-IPSEC

Márcio Alessandro
syman_jr

(usa Debian)

Enviado em 20/08/2016 - 10:14h

Bom dia, ontem testando utilizei:

Executado em maquina na filial: pinguei um ip da minha rede (matriz) Obs: sem o firewall

tracert 192.168.0.39

rota=> 192.168.17.10 (Roteador VPN)
192.168.0.39 (Maquina rede_matriz)

Executado em maquina na filial: Obs: com o firewall

tracert 192.168.0.39

rota=> 192.168.17.10 (Roteador VPN)
192.168.1.1
xxx.xxx.xxx.xxx - IP público (para aqui)

O dois roteadores da VPN trabalham com IP: 192.168.1.200 (DMZ)
O IP público fica no roteador do provedor (não consigo mudar, pois é travado)

#VPN Filial
IP público (roteador provedor de internet): XXX.XXX.XXX.XXX
WAN: 192.168.1.200
LAN da filial: 192.168.17.0

#VPN Matriz
IP público (roteador provedor de internet): XXX.XXX.XXX.XXX
WAN: 192.168.1.200
LAN da matriz: 192.168.16.0

WAN do firewall: 192.168.16.1
LAN do firewall: 192.168.0.1 (minha rede da matriz está em 192.168.0.0)

Não sei se pelo fato de trabalhar com IP privado está ocorrendo isso ou estou tratando de forma errada nas minhas regras.



9. Re: Liberação para uso de VPN-IPSEC

Estefanio Brunhara
stefaniobrunhara

(usa CentOS)

Enviado em 20/08/2016 - 17:37h

syman_jr escreveu:

O dois roteadores da VPN trabalham com IP: 192.168.1.200 (DMZ)
O IP público fica no roteador do provedor (não consigo mudar, pois é travado)



Isto parece ser um prob mesmo!




10. LIBERAÇÃO PARA USO DE VPN-IPSEC

Márcio Alessandro
syman_jr

(usa Debian)

Enviado em 21/08/2016 - 19:23h

Pois é...

Vou fazer mais testes essa semana no trabalho com o mesmo cenário.
Depois coloco o resultado, obrigado a todos por enquanto!

Abraço



11. Re: Liberação para uso de VPN-IPSEC

Estefanio Brunhara
stefaniobrunhara

(usa CentOS)

Enviado em 21/08/2016 - 19:35h

syman_jr escreveu:

Pois é...

Vou fazer mais testes essa semana no trabalho com o mesmo cenário.
Depois coloco o resultado, obrigado a todos por enquanto!

Abraço


Liberar as portas e os protocolos para o ipsec somente permite você ver a comunicação entre os 2 tuneis que estabelece o mecanismo de comunicação.

Lembre-se, vc não pode mascarar os pacotes com origem na sua rede e destino na outra rede que atravessa o tunel.

Boa sorte!


12. Re: Liberação para uso de VPN-IPSEC

Paulo Macyszyn
macyszyn

(usa Ubuntu)

Enviado em 28/03/2017 - 09:52h

Você esta fazendo mascaramento das conexões da VPN?

Outro detalhe, consegue postar as rotas?
# ip route show






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts