[FUG-BR] VPN + PF
Prezados,
Estamos tentando abrir o firewall para acessar a VPN da USP. Eles usam
PPTP e, portanto, utilizam a porta 1723 e o protocolo GRE (protocolo IP
- 47).
O problema é que não estamos conseguindo nos conectar na VPN quando
liberamos apenas a porta informada pelo suporte.
Tentei as duas linhas abaixo, porém, não funcionou:
pass in on $int_if proto tcp from $pc_interno to $ip_usp port { 1723 }
keep state
e
pass in on $int_if proto tcp from any to $ip_usp keep state
Cheguei a conclusão que é problema de firewall depois de abrir toda a
interface (pass in on $int_if) e testar a conexão com sucesso.
Alguma dica para resolver o problema?
Obrigado
--
Atenciosamente,
Darci Dambrós Junior
Aviso de confidencialidade:
Esta mensagem da Empresa Brasileira de Pesquisa Agropecuária (Embrapa), empresa
pública federal regida pelo disposto na Lei Federal nº 5.851, de 7 de dezembro
de 1972, é enviada exclusivamente a seu destinatário e pode conter informações
confidenciais, protegidas por sigilo profissional. Sua utilização desautorizada
é ilegal e sujeita o infrator às penas da lei. Se você a recebeu indevidamente,
queira, por gentileza, reenviá-la ao emitente, esclarecendo o equívoco.
Confidentiality note:
This message from Empresa Brasileira de Pesquisa Agropecuária (Embrapa) a
government company established under Brazilian law (5.851/72) is directed
exclusively to its addresse and may contain confidential data, protected under
professional secrecy rules. Its unauthorized use is illegal and may subject the
transgressor to the law's penalties. If you're not the addresse, please send it
back, elucidating the failure.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] VPN + PF
-Original Message-
From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On
Behalf Of Darci Dambrós Junior
Sent: terça-feira, 18 de março de 2008 09:18
To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
Subject: [FUG-BR] VPN + PF
Prezados,
Estamos tentando abrir o firewall para acessar a VPN da USP. Eles
usam
PPTP e, portanto, utilizam a porta 1723 e o protocolo GRE (protocolo IP
- 47).
O problema é que não estamos conseguindo nos conectar na VPN quando
liberamos apenas a porta informada pelo suporte.
Tentei as duas linhas abaixo, porém, não funcionou:
pass in on $int_if proto tcp from $pc_interno to $ip_usp port { 1723 }
keep state
e
pass in on $int_if proto tcp from any to $ip_usp keep state
Cheguei a conclusão que é problema de firewall depois de abrir toda a
interface (pass in on $int_if) e testar a conexão com sucesso.
Alguma dica para resolver o problema?
Obrigado
--
Atenciosamente,
Darci Dambrós Junior
Olá Darci,
Quando é utilizado o GRE, deve ser usada a regra:
pass in on $int_if proto gre from any to $ip_usp keep state
Juntamente com a regra que você já fez:
pass in on $int_if proto tcp from $pc_interno to $ip_usp port 1723 keep state
Qualquer problema, utilize a interface pflog e o tcpdump para verificar o que
está sendo filtrado.
__
Cristiano Maynart
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] VPN PF
Oi pessoal,
Depois de passar o dia inteiro fazendo testes (infelizmente mal sucedidos) e
preciso da ajuda de voces...
Estou montando um firewall simples: pf, nat, squid e openvpn
O openvpn ja esta conectando e estou fazendo os testes com ele no momento,
mas minha dificuldade é tratar os pacotes dessa interface (tun0)
A unica forma que consegui deixar acessivel foi colocar um
set skip on tun0
Ai tudo funcionou perfeito, mas por consequencia, nao consegui bloquear nada
depois heheh :-)
Segue abaixo um pedaco do log, numa tentativa de conexao SSH sem o set skip
on tun0
00 rule 1/0(match): block unkn(255) on tun0: 10.0.2.6.1562 10.0.1.1.22:
tcp 28 [bad hdr length 0 - too short, 20]
3. 018822 rule 1/0(match): block unkn(255) on tun0: 10.0.2.6.1562
10.0.1.1.22: tcp 28 [bad hdr length 0 - too short, 20]
6. 037354 rule 1/0(match): block unkn(255) on tun0: 10.0.2.6.1562
10.0.1.1.22: tcp 28 [bad hdr length 0 - too short, 20]
E agora o meu pf.conf para analise:
###
## Definindo nome das interfaces e Gateways ###
###
int_if=re0 # interface da rede interna
ext_if=nfe0 # interface internet
lan_net=10.0.1.0/24 # rede interna
vpn_net=10.0.2.0/24 # rede vpn
ext_gw=192.168.1.1 # gateway da internet
# autoriza a rede interna acessar esses servicos externos
allow_tcp={ ftp ftp-data ssh domain https }
allow_udp={ ftp ftp-data domain }
# autoriza conexoes nesse servidor para rede externa e interna
services_ext_tcp={ ssh http }
services_int_tcp={ ftp ssh http }
# Diretoria
table diretoria { 192.168.1.59 }
# nao filtra na interface loopback
set skip on lo0
# faz scrub em pacotes que chegam
scrub in all
# SQUID - redireciona acessos http para squid (3128)
#rdr on $ext_if inet proto tcp from any to any port www - 127.0.0.1 port
3128
# redireciona todos os pacotes enviados para o servidor atraves da vpn para
o ip interno
rdr on tun0 inet from any to 10.0.2.1 - 10.0.1.1
# nat
#nat on $ext_if from !($ext_if) to any - ($ext_if)
# define o politica padrao (bloqueia tudo)
block log all
# Antispoof para rede interna
antispoof log quick for $int_if inet
# vpn
set skip on tun0
block in quick proto tcp from 10.0.2.6 to 10.0.1.1 port 22
# aceita conexoes de computadores da diretoria (VPN)
pass in quick on $ext_if from diretoria
pass out quick on $ext_if from diretoria
# permite conexoes ssh na interface externa
pass in quick on $ext_if proto tcp from any \
to port ssh flags S/SA synproxy state
# libera os servicos para internet (services_ext)
pass in on $ext_if proto tcp from any to port $services_ext_tcp
# libera servicos para a rede interna (services_int)
pass in on $int_if proto tcp from any to port $services_int_tcp
# aceita trafego indo e vindo para a rede interna
pass in on $int_if from $lan_net to any
pass out on $int_if from any to $lan_net
# libera tcp, udp e icmp saindo pela interface externa (Internet)
# para portas definidas em allow_[tcp/udp]
# mantem o estado em udp e icmp e usa modulate state em tcp.
pass out on $ext_if proto tcp from any to port $allow_tcp modulate state
flags S/SA
pass out on $ext_if proto udp from any to port $allow_udp keep state
pass out on $ext_if proto icmp all keep state
-
Muito obrigado pela ajuda
Abracos
Igor
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] VPN + PF
On 06/03/07, Rafael - Gmail [EMAIL PROTECTED] wrote: Boa tarde pessoal, Estou precisando da ajuda de vocês na seguinte tarefa: Eu configurei VPN em dois servidores Free, está funcionando legal, os dois se enxergam e as rotas foram adicionadas. Agora a dúvida : Eu consigo através do PF ou alguma outra maneira, juntar duas redes internas (matriz + filial) iguais (ambas 192.168.0.0) ? Pela lógica acho que não seria possível, porém, pergunto aos amigos. Aceito sugestões. Att, Rafael Simão - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Rafael, eu acho que é possível, porém não sei exatamente como fazer. A teoria seria essa: deixe a VPN funcionando e depois crie interfaces do tipo bridge em cada ponta da VPN e redirecione todo pacote de broadcast e rede 192.168.0.0 para a VPN. Por favor, me corrijam se estiver errado. Abraços -- Gilberto Villani Brito System Administrator Londrina - PR Brazil gilbertovb(a)gmail.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] VPN + PF
Boa tarde pessoal, Estou precisando da ajuda de vocês na seguinte tarefa: Eu configurei VPN em dois servidores Free, está funcionando legal, os dois se enxergam e as rotas foram adicionadas. Agora a dúvida : Eu consigo através do PF ou alguma outra maneira, juntar duas redes internas (matriz + filial) iguais (ambas 192.168.0.0) ? Pela lógica acho que não seria possível, porém, pergunto aos amigos. Aceito sugestões. Att, Rafael Simão - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] VPN + PF
Em Tue, 6 Mar 2007 13:32:23 -0300 Rafael - Gmail [EMAIL PROTECTED] escreveu: Eu consigo através do PF ou alguma outra maneira, juntar duas redes internas (matriz + filial) iguais (ambas 192.168.0.0) ? Pela lógica acho que não seria possível, porém, pergunto aos amigos. como é que vc faria o roteamento daqui pra lá? o gateway-vpn ficaria confuso em saber onde determinada máquina estaria, se dêste lado, se do outro, uma vez que a rede é a mesma. -- flames /dev/null saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free Não é evidente que Deus exista. (San Tomaz de Aquino) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] VPN + PF
Irado, Você teria alguma sugestão ? Obrigado pela atenção. Att, Rafael Simão - Original Message - From: irado furioso com tudo [EMAIL PROTECTED] To: freebsd@fug.com.br Sent: Tuesday, March 06, 2007 3:08 PM Subject: Re: [FUG-BR] VPN + PF Em Tue, 6 Mar 2007 13:32:23 -0300 Rafael - Gmail [EMAIL PROTECTED] escreveu: Eu consigo através do PF ou alguma outra maneira, juntar duas redes internas (matriz + filial) iguais (ambas 192.168.0.0) ? Pela lógica acho que não seria possível, porém, pergunto aos amigos. como é que vc faria o roteamento daqui pra lá? o gateway-vpn ficaria confuso em saber onde determinada máquina estaria, se dêste lado, se do outro, uma vez que a rede é a mesma. -- flames /dev/null saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free Não é evidente que Deus exista. (San Tomaz de Aquino) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] VPN + PF
Olá Rafael. Bem, primeiramente, um puxão de orelha pro cara que projetou o endereçamento da rede (espero que nao tenha sido vc) =D. Sua situação tá um pouco complicada pq o gateway vpn tem que discernir duas redes fisicamente separadas, mas com o mesmo endereçamento. Como endereçar os pacotes que estão saindo, e os que estão chegando, ou seja, como saber qual é a rede 192.168.0.0 correta ? Acho que a melhor solução seria você redistribuir o endereçamento dessas redes de uma forma razoável. Por exemplo, a rede matriz poderia ser 192.168.0.0/22 e filial poderia ser 192.168.4.0/22. Desta forma você teria um range razoável de endereços para ambos os sites. O único problema seria reconfigurar o endereçamento nas máquinas, dependendo da quantidade de máquinas que usam ip fixo. Se você estiver usando DHCP, não será muito complicado. Outra forma seria usar uma máquina fazendo NAT pra uma das redes pra diferenciar o endereçamento, mas não recomendo que faça isso pq pode acabar complicando ainda mais tua vida. just my 2 cents. []'s -- No stupid signatures here. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] VPN + PF
Core, Realmente merece um puxão de orelha e esse alguém não sou eu ... rsrs, até porque sou novo na empresa e cheguei com essa missão de migrar todos pra FreeBSD, uma vez que eram todos Linux (Slackware). Não será nenhum problema real mudar o escopo dessa rede da filial, uma vez que estão no DHCP, pra ser sincero eu jáhavia pensado nessa porssibilidade, sendo que o adm do servidor oracle me olhou de cara feia quando toquei nesse assunto (rsrsrs). Obrigado pelas dicas de vocês, são sempre bem-vindas pois quando se está sozinho e não se tem muita experiência assim (como eu) é sempre bom ouvir idéias e conselhos, sugestões ... ajudam a relaxar e decidir melhor. Att, Rafael Simão - Original Message - From: c0re dumped [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Tuesday, March 06, 2007 4:05 PM Subject: Re: [FUG-BR] VPN + PF Olá Rafael. Bem, primeiramente, um puxão de orelha pro cara que projetou o endereçamento da rede (espero que nao tenha sido vc) =D. Sua situação tá um pouco complicada pq o gateway vpn tem que discernir duas redes fisicamente separadas, mas com o mesmo endereçamento. Como endereçar os pacotes que estão saindo, e os que estão chegando, ou seja, como saber qual é a rede 192.168.0.0 correta ? Acho que a melhor solução seria você redistribuir o endereçamento dessas redes de uma forma razoável. Por exemplo, a rede matriz poderia ser 192.168.0.0/22 e filial poderia ser 192.168.4.0/22. Desta forma você teria um range razoável de endereços para ambos os sites. O único problema seria reconfigurar o endereçamento nas máquinas, dependendo da quantidade de máquinas que usam ip fixo. Se você estiver usando DHCP, não será muito complicado. Outra forma seria usar uma máquina fazendo NAT pra uma das redes pra diferenciar o endereçamento, mas não recomendo que faça isso pq pode acabar complicando ainda mais tua vida. just my 2 cents. []'s -- No stupid signatures here. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
