2014-10-08 18:39 GMT+00:00 Maykel Franco <maykeldeb...@gmail.com>: > El día 8 de octubre de 2014, 19:56, Camaleón <noela...@gmail.com> escribió: >> El Wed, 08 Oct 2014 15:49:47 +0200, Maykel Franco escribió: >> >>> Muy buenas lista, actualmente tengo un servidor openvpn y me gustaría >>> que diera servicio a 2 firewall, como el siguiente esquema: >>> >>> >>> >>> IP INTERNA:10.10.10.1 IP INTERNA:172.16.10.1 >>> FIREWALL1 FIREWALL2 >>> | >>> | >>> | >>> | >>> | >>> | >>> | >>> | >>> |___________ OPENVPN_________________| >> >> ¿OpenVPN "delante" de los cortafuegos? Supongo que el gráfico simplemente >> representa un enlace y no es literal :-? >> >>> Ahora mismo la máquina openvpn tiene como gateway el firewall1, con lo >>> cual la vpn funciona bien a través del firewall1. Pero claro, por >>> defecto saca todo el tráfico por el firewall1, con lo cual a través del >>> firewall2 aunque intente conectarme desde fuera (WAN), no funciona ... >>> >>> Estoy mirando como añadir una regla a iptables para que en función de >>> donde venga el tráfico, lo enrute por el firewall2. Por ejemplo, si el >>> tráfico por udp llega desde 172.16.10.1, lo envíe por alli y no por el >>> default gateway... >>> >>> ¿Alguna idea? >> >> Los enrutados no son mi fuerte pero creo que me faltan datos de la >> configuración de tu red para saber exactamente lo que quieres hacer. >> >> Entiendo que tienes un servidor con ¿2? tarjetas de red dando servicio a >> dos redes ¿separadas físicamente o virtualmente? y con OpenVPN >> configurado. Que quieres que la VPN funcione correctamente entre las dos >> redes (internamente) y desde el exterior, pero ¿cuál es la salida >> (gateway) del servidor, cómo lo conectas al exterior? Deduzco el delante >> del firewall1 (¿se trata de un equipo, un appliance, iptables...?) tienes >> ¿un? router ADSL/cable/FTTH y quieres que se permita el tráfico hacia >> cualquiera de las dos VPN. >> >> Demasiadas preguntas como para darte una respuesta :-) > > Tienes razón, el esquema puede dar lugar a confusión. > >> >> Quizá lo primero que tenías que pensar es en definir las rutas de los >> paquetes de las redes, independientemente de la red privada, es decir, >> definir las pasarelas (gateway) para cada una de ellas y eso con iproute2 >> podrás hacerlo. Para manipular los paquetes y configuraciones más >> complejas (marcar, lavar y cortar cual peluquería) tirar de iptables como >> te dice carlopmart. >> >> Saludos, >> >> -- >> Camaleón >> >> >> -- >> To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org >> with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org >> Archive: https://lists.debian.org/pan.2014.10.08.17.56...@gmail.com >> > > > IP WAN: 82.82.82.82 IP WAN: 82.82.82.83 > FIREWALL1 FIREWALL2 > IP INTERNA:10.10.10.1 IP INTERNA:172.16.10.1 > > | > | > | > | > | > | > | > | IP: 10.10.10.254 > |___________ OPENVPN > | > RED INTERNA MISMO RANGO OPENVPN > > Openvpn está detrás de los cortafuegos, me explicado mal. > > Aclaro, ahora mismo la default gateway de OPENVPN es el FIREWALL1. El > tráfico entra por ahí por udp y funciona perfecto. El tema es que voy > actualizar el FIREWALL1, en remoto (no me queda otra, no me pagan las > horas extras xD), y quería poder entrar por la VPN por el FIREWALL2 en > caso de que el FIREWALL1 debido a la actualización, no arranque. Está > en una VM, realizaré un snapshot antes de actualizar, para en caso de > problemas, pueda revertir a ese snapshot. > > Pero todo el tráfico por defecto, sale por el firewall1, con lo cual > no voy a poder tener acceso por el firewall2. Entonces la idea era > poner una ruta en el servidor OPENVPN para que si le llega el tráfico > desde el FIREWALL2, lo mande por allí. >
Si no dispones de 2 interfaces de red en el servidor openvpn, no vas a poder hacerlo de forma automática. Tendrás que reconfigurar el servidor openvpn con una IP en el segmento 172.16.10.x/x (y obviamente conectarlo a la pata interna del fw2). Si puedes disponer de 2 interfaces en dicho servidor, con unas simples reglas de iproute2+iptables (solo para la tabla mangle) podrías tener controlado el flujo de tráfico de forma automática. Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/caejqa5lpqhfxvkg4ournphdtemxb4w3h1a6njfkcre-p79o...@mail.gmail.com