Re: Enrutar tráfico VPN a través de 2 firewall desde la misma máquina en Debian Wheezy
El día 8 de octubre de 2014, 19:56, Camaleón <noelamac@gmail.com> escribió:
> El Wed, 08 Oct 2014 15:49:47 +0200, Maykel Franco escribió:
>
>> Muy buenas lista, actualmente tengo un servidor openvpn y me gustaría
>> que diera servicio a 2 firewall, como el siguiente esquema:
>>
>>
>>
>> IP INTERNA:10.10.10.1 IP INTERNA:172.16.10.1
>> FIREWALL1 FIREWALL2
>> |
>> |
>> |
>> |
>> |
>> |
>> |
>> |
>> |___________ OPENVPN_________________|
>
> ¿OpenVPN "delante" de los cortafuegos? Supongo que el gráfico simplemente
> representa un enlace y no es literal :-?
>
>> Ahora mismo la máquina openvpn tiene como gateway el firewall1, con lo
>> cual la vpn funciona bien a través del firewall1. Pero claro, por
>> defecto saca todo el tráfico por el firewall1, con lo cual a través del
>> firewall2 aunque intente conectarme desde fuera (WAN), no funciona ...
>>
>> Estoy mirando como añadir una regla a iptables para que en función de
>> donde venga el tráfico, lo enrute por el firewall2. Por ejemplo, si el
>> tráfico por udp llega desde 172.16.10.1, lo envíe por alli y no por el
>> default gateway...
>>
>> ¿Alguna idea?
>
> Los enrutados no son mi fuerte pero creo que me faltan datos de la
> configuración de tu red para saber exactamente lo que quieres hacer.
>
> Entiendo que tienes un servidor con ¿2? tarjetas de red dando servicio a
> dos redes ¿separadas físicamente o virtualmente? y con OpenVPN
> configurado. Que quieres que la VPN funcione correctamente entre las dos
> redes (internamente) y desde el exterior, pero ¿cuál es la salida
> (gateway) del servidor, cómo lo conectas al exterior? Deduzco el delante
> del firewall1 (¿se trata de un equipo, un appliance, iptables...?) tienes
> ¿un? router ADSL/cable/FTTH y quieres que se permita el tráfico hacia
> cualquiera de las dos VPN.
>
> Demasiadas preguntas como para darte una respuesta :-)
Tienes razón, el esquema puede dar lugar a confusión.
>
> Quizá lo primero que tenías que pensar es en definir las rutas de los
> paquetes de las redes, independientemente de la red privada, es decir,
> definir las pasarelas (gateway) para cada una de ellas y eso con iproute2
> podrás hacerlo. Para manipular los paquetes y configuraciones más
> complejas (marcar, lavar y cortar cual peluquería) tirar de iptables como
> te dice carlopmart.
>
> Saludos,
>
> --
> Camaleón
>
>
> --
> To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> Archive: [🔎] pan.2014.10.08.17.56.24@gmail.com">https://lists.debian.org/[🔎] pan.2014.10.08.17.56.24@gmail.com
>
IP WAN: 82.82.82.82 IP WAN: 82.82.82.83
FIREWALL1 FIREWALL2
IP INTERNA:10.10.10.1 IP INTERNA:172.16.10.1
|
|
|
|
|
|
|
| IP: 10.10.10.254
|___________ OPENVPN
|
RED INTERNA MISMO RANGO OPENVPN
Openvpn está detrás de los cortafuegos, me explicado mal.
Aclaro, ahora mismo la default gateway de OPENVPN es el FIREWALL1. El
tráfico entra por ahí por udp y funciona perfecto. El tema es que voy
actualizar el FIREWALL1, en remoto (no me queda otra, no me pagan las
horas extras xD), y quería poder entrar por la VPN por el FIREWALL2 en
caso de que el FIREWALL1 debido a la actualización, no arranque. Está
en una VM, realizaré un snapshot antes de actualizar, para en caso de
problemas, pueda revertir a ese snapshot.
Pero todo el tráfico por defecto, sale por el firewall1, con lo cual
no voy a poder tener acceso por el firewall2. Entonces la idea era
poner una ruta en el servidor OPENVPN para que si le llega el tráfico
desde el FIREWALL2, lo mande por allí.
Gracias.
Reply to: