Author Topic: VPN site-to-site atrás de um outro Firewall  (Read 1809 times)

Gilberto Ferreira

  • Zen Hero
  • *****
  • Posts: 516
  • Karma: +12/-1
    • View Profile
VPN site-to-site atrás de um outro Firewall
« on: March 26, 2014, 07:49:38 pm »
Boa tarde galera

Um cliente meu solicitou que criasse um tunel VPN pra inteligar duas redes separadas.
Mas infelizemente, ele não pode mexer no gateway que ele tem lá hoje.

Ou seja, eu imaginei o seguinte cenário:

1 - Zentyal instalado dentro da Matriz como servidor, mas não como gateway
2 - Zentyal instalado dentro da Filial como gateway da rede da Matriz

Então imaginei instalar o OpenVPN no servidor da Matriz e no gateway atual, liberar a entrada e saída do Zentyal Matriz... Então criar o Servidor OpenVPN e liberar as portas no Firewall atual...

E na Filial, instalar o Zentyal como gateway da rede e conectar com a VPN que vai estar na Matriz...

Será que isso funcionaria??

Lembro que com OpenVPN instalado em um servidor Linux funcionava... Mesmo esse servidor não sendo o gateway da rede.

Obrigado...


willaraujono

  • Zen Monk
  • **
  • Posts: 92
  • Karma: +1/-0
    • View Profile
Re: VPN site-to-site atrás de um outro Firewall
« Reply #1 on: March 26, 2014, 09:45:27 pm »
Gilberto

Boa tarde

Tenho instalado com sucesso, o Túnel zentyal - to zentyal ,
Imagino que no Firewall você teria que desviar todo o trafego da porta UDP 1194 para o Servidor Zentyal VPN.
Dai você poderia interligar quantas filiais você quiser.
Independente se na Filial for zentyal ou não! você pode usar um cliente OPENVPN.
Nota:Tenho isso instalado com o Zentyal 3.0 - tomei um susto com a 3.3 em alguns testes e já estou instalando com a versão 3.4 prá ver o que dá.
espero ter ajudado

Abraços

Will

Gilberto Ferreira

  • Zen Hero
  • *****
  • Posts: 516
  • Karma: +12/-1
    • View Profile
Re: VPN site-to-site atrás de um outro Firewall
« Reply #2 on: March 26, 2014, 09:47:49 pm »
Olá Will

Sim... É exatamente isso que imagino...
Os Servidores Zentyal, tanto na Matriz como na Filial não precisam necessariamente serem os gateways da rede não é??


Valeu

willaraujono

  • Zen Monk
  • **
  • Posts: 92
  • Karma: +1/-0
    • View Profile
Re: VPN site-to-site atrás de um outro Firewall
« Reply #3 on: March 27, 2014, 03:31:19 pm »
Gilberto

Bom dia ,

isso ae , eles não precisam estar como gateways.

Mas como te falei cuidado com as versões e com Firewall.

Eu faria um redirecionamento nos firewalls e acho que isso ajuda.
Nota: Na configuração da VPN ,tem uma opção que passa batido chama-se INTERFACE TUN (Dá uma lida sobre o assunto)
Isso faz que com que Túnel seja feita em camada 3 e não camada 2 como padrão.
Muitos clientes OPENVPN só funcionam assim(estou falando isso no caso de você não usar somente o zentyal como cliente(Filial)).
tive que entender sobre o assunto para saber que aquele click de mouse resolveria meus problemas.HAHAHAHAA Ôô informatica.
Ele troca a porta de conexão UDP passando para 11194.
Mas é importante testar esse cenário.sei que é uma coisa dificil de se fazer ,tanto por tempo quanto por equipamento masssss....
é quebrando a cara que a gente aprende.

Espero ter ajudado

Abraço

Will





Gilberto Ferreira

  • Zen Hero
  • *****
  • Posts: 516
  • Karma: +12/-1
    • View Profile
Re: VPN site-to-site atrás de um outro Firewall
« Reply #4 on: March 27, 2014, 11:45:36 pm »
Sim...

Geralmente site-to-site eu faço usando TUN....
Mas eu tinha essa dúvida se o Zentyal tinha que ser o gateway...

Valeu..

Abs

Gilberto Ferreira

  • Zen Hero
  • *****
  • Posts: 516
  • Karma: +12/-1
    • View Profile
Re: VPN site-to-site atrás de um outro Firewall
« Reply #5 on: March 28, 2014, 10:33:24 pm »
Pois é Amigo

Fechar a VPN fechou... Mas não consigo pingar para as redes....

O esquema ficou como mostra o desenho em anexo...
Eu consigo pingar os Zentyal's mas não consigo pingar de uma rede para outra...

Valeu


Gilberto Ferreira

  • Zen Hero
  • *****
  • Posts: 516
  • Karma: +12/-1
    • View Profile
Re: VPN site-to-site atrás de um outro Firewall
« Reply #6 on: March 28, 2014, 11:52:40 pm »
Estou usando Zentyal 3.4

Gilberto Ferreira

  • Zen Hero
  • *****
  • Posts: 516
  • Karma: +12/-1
    • View Profile
Re: VPN site-to-site atrás de um outro Firewall
« Reply #7 on: March 29, 2014, 02:10:45 pm »
Cara

Sinceramente... Não entendo esse Zentyal

Uma coisa que era pra ser tão simples, mas não funciona!...
Eu removi tudo referente ao Zentyal e criei a VPN na mão e funicionou tudo perfeitamente...

Por que com Zentyal não funciona???????

Era pra facilitar e não deixar mais complicada a coisa...
« Last Edit: March 30, 2014, 05:39:37 pm by Gilberto Ferreira »

willaraujono

  • Zen Monk
  • **
  • Posts: 92
  • Karma: +1/-0
    • View Profile
Re: VPN site-to-site atrás de um outro Firewall
« Reply #8 on: March 31, 2014, 07:26:26 pm »
Gilberto

Não e o ICMP no Firewall para redes internas?

Você colocou como versão 3.4 estou em testes com ela ainda.
na 3.0 tenho testado.

Abraços

Will

Gilberto Ferreira

  • Zen Hero
  • *****
  • Posts: 516
  • Karma: +12/-1
    • View Profile
Re: VPN site-to-site atrás de um outro Firewall
« Reply #9 on: March 31, 2014, 07:29:12 pm »
Olá Will

Liberei tudo cara... Deixei sem regra restritiva nenhuma...
Mesmo assim não vai... Nem com 3.2, 3.0. 3.4... nada...

Por fim removi todos os pacotes do Zentyal, e fiz a VPN na mão e voilà!!!!


Tudo funcionou....

Desse jeito, vou acabar desistindo do Zentyal...

Uma pena