[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Enrutar tráfico VPN a través de 2 firewall desde la misma máquina en Debian Wheezy

El Wed, 08 Oct 2014 20:39:56 +0200, Maykel Franco escribió:

> El día 8 de octubre de 2014, 19:56, Camaleón <noelamac@gmail.com>
> escribió:

(...)

>>> Estoy mirando como añadir una regla a iptables para que en función de
>>> donde venga el tráfico, lo enrute por el firewall2. Por ejemplo, si el
>>> tráfico por udp llega desde 172.16.10.1, lo envíe por alli y no por el
>>> default gateway...
>>>
>>> ¿Alguna idea?
>>
>> Los enrutados no son mi fuerte pero creo que me faltan datos de la
>> configuración de tu red para saber exactamente lo que quieres hacer.

(...)

> IP WAN: 82.82.82.82                                 IP WAN: 82.82.82.83
>       FIREWALL1                                                FIREWALL2
> IP INTERNA:10.10.10.1                           IP INTERNA:172.16.10.1
> 
>         | | | |
>          |
>          |
>           |
>            |                  IP: 10.10.10.254
>           |___________ OPENVPN
>                                            |
>                       RED INTERNA MISMO RANGO OPENVPN
> 
> Openvpn está detrás de los cortafuegos, me explicado mal.
> 
> Aclaro, ahora mismo la default gateway de OPENVPN es el FIREWALL1. El
> tráfico entra por ahí por udp y funciona perfecto. El tema es que voy
> actualizar el FIREWALL1, en remoto (no me queda otra, no me pagan las
> horas extras xD), y quería poder entrar por la VPN por el FIREWALL2 en
> caso de que el FIREWALL1 debido a la actualización, no arranque. Está en
> una VM, realizaré un snapshot antes de actualizar, para en caso de
> problemas, pueda revertir a ese snapshot.

Vale, ahora me queda todo (configuración de la red y finalidad del 
cambio) un poco más claro :-)

Dado que tienes una única tarjeta de red en el servidor con OpenVPN, se 
me ocurren 2 opciones:

1/ Añadir una IP virtual/alias que esté en rango del firewall2, es decir:

Firewall2 → 172.16.10.1
+Interfaz del servidor OpenVPN → (tun0) 10.10.10.254, (tun0:1) 172.16.10.5

Lo que no sé es si las interfaces tap/tun y/o OpenVPN permiten esto

2/ Añadir una IP virtual/alias que esté en rango del servidor OpenVPN, es 
decir:

+Firewall2 → (eth0) 172.16.10.1, (eth0:1) 10.10.10.5
Interfaz del servidor OpenVPN → (tun0) 10.10.10.254

Tampoco sé si si lo que sea que tengas haciendo de firewall2 te permite 
añadir interfaces virtuales.
 
> Pero todo el tráfico por defecto, sale por el firewall1, con lo cual no
> voy a poder tener acceso por el firewall2. Entonces la idea era poner
> una ruta en el servidor OPENVPN para que si le llega el tráfico desde el
> FIREWALL2, lo mande por allí.

Entiendo que lo que te interesa es la entrada más que la salida en este 
caso pero dado que tienes conectadas físicamente los cortafuegos con el 
servidor OpenVPN (van al mismo switch y no hay VLAN) creo que más bien se 
trata de un problema de enrutado simple, es decir, que no necesitarás 
manipular/redireccionar los paquetes sólo decirle a cada cual por dónde 
tirar.

Saludos,

-- 
Camaleón
Reply to: