Re: Enrutar tráfico VPN a través de 2 firewall desde la misma máquina en Debian Wheezy
2014-10-08 18:39 GMT+00:00 Maykel Franco <maykeldebian@gmail.com>:
> El día 8 de octubre de 2014, 19:56, Camaleón <noelamac@gmail.com> escribió:
>> El Wed, 08 Oct 2014 15:49:47 +0200, Maykel Franco escribió:
>>
>>> Muy buenas lista, actualmente tengo un servidor openvpn y me gustaría
>>> que diera servicio a 2 firewall, como el siguiente esquema:
>>>
>>>
>>>
>>> IP INTERNA:10.10.10.1 IP INTERNA:172.16.10.1
>>> FIREWALL1 FIREWALL2
>>> |
>>> |
>>> |
>>> |
>>> |
>>> |
>>> |
>>> |
>>> |___________ OPENVPN_________________|
>>
>> ¿OpenVPN "delante" de los cortafuegos? Supongo que el gráfico simplemente
>> representa un enlace y no es literal :-?
>>
>>> Ahora mismo la máquina openvpn tiene como gateway el firewall1, con lo
>>> cual la vpn funciona bien a través del firewall1. Pero claro, por
>>> defecto saca todo el tráfico por el firewall1, con lo cual a través del
>>> firewall2 aunque intente conectarme desde fuera (WAN), no funciona ...
>>>
>>> Estoy mirando como añadir una regla a iptables para que en función de
>>> donde venga el tráfico, lo enrute por el firewall2. Por ejemplo, si el
>>> tráfico por udp llega desde 172.16.10.1, lo envíe por alli y no por el
>>> default gateway...
>>>
>>> ¿Alguna idea?
>>
>> Los enrutados no son mi fuerte pero creo que me faltan datos de la
>> configuración de tu red para saber exactamente lo que quieres hacer.
>>
>> Entiendo que tienes un servidor con ¿2? tarjetas de red dando servicio a
>> dos redes ¿separadas físicamente o virtualmente? y con OpenVPN
>> configurado. Que quieres que la VPN funcione correctamente entre las dos
>> redes (internamente) y desde el exterior, pero ¿cuál es la salida
>> (gateway) del servidor, cómo lo conectas al exterior? Deduzco el delante
>> del firewall1 (¿se trata de un equipo, un appliance, iptables...?) tienes
>> ¿un? router ADSL/cable/FTTH y quieres que se permita el tráfico hacia
>> cualquiera de las dos VPN.
>>
>> Demasiadas preguntas como para darte una respuesta :-)
>
> Tienes razón, el esquema puede dar lugar a confusión.
>
>>
>> Quizá lo primero que tenías que pensar es en definir las rutas de los
>> paquetes de las redes, independientemente de la red privada, es decir,
>> definir las pasarelas (gateway) para cada una de ellas y eso con iproute2
>> podrás hacerlo. Para manipular los paquetes y configuraciones más
>> complejas (marcar, lavar y cortar cual peluquería) tirar de iptables como
>> te dice carlopmart.
>>
>> Saludos,
>>
>> --
>> Camaleón
>>
>>
>> --
>> To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
>> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
>> Archive: [🔎] pan.2014.10.08.17.56.24@gmail.com">https://lists.debian.org/[🔎] pan.2014.10.08.17.56.24@gmail.com
>>
>
>
> IP WAN: 82.82.82.82 IP WAN: 82.82.82.83
> FIREWALL1 FIREWALL2
> IP INTERNA:10.10.10.1 IP INTERNA:172.16.10.1
>
> |
> |
> |
> |
> |
> |
> |
> | IP: 10.10.10.254
> |___________ OPENVPN
> |
> RED INTERNA MISMO RANGO OPENVPN
>
> Openvpn está detrás de los cortafuegos, me explicado mal.
>
> Aclaro, ahora mismo la default gateway de OPENVPN es el FIREWALL1. El
> tráfico entra por ahí por udp y funciona perfecto. El tema es que voy
> actualizar el FIREWALL1, en remoto (no me queda otra, no me pagan las
> horas extras xD), y quería poder entrar por la VPN por el FIREWALL2 en
> caso de que el FIREWALL1 debido a la actualización, no arranque. Está
> en una VM, realizaré un snapshot antes de actualizar, para en caso de
> problemas, pueda revertir a ese snapshot.
>
> Pero todo el tráfico por defecto, sale por el firewall1, con lo cual
> no voy a poder tener acceso por el firewall2. Entonces la idea era
> poner una ruta en el servidor OPENVPN para que si le llega el tráfico
> desde el FIREWALL2, lo mande por allí.
>
Si no dispones de 2 interfaces de red en el servidor openvpn, no vas a
poder hacerlo de forma automática. Tendrás que reconfigurar el
servidor openvpn con una IP en el segmento 172.16.10.x/x (y obviamente
conectarlo a la pata interna del fw2).
Si puedes disponer de 2 interfaces en dicho servidor, con unas simples
reglas de iproute2+iptables (solo para la tabla mangle) podrías tener
controlado el flujo de tráfico de forma automática.
Saludos.
Reply to: