Re: Enrutar tráfico VPN a través de 2 firewall desde la misma máquina en Debian Wheezy
El día 9 de octubre de 2014, 16:52, Camaleón <noelamac@gmail.com> escribió:
> El Wed, 08 Oct 2014 20:39:56 +0200, Maykel Franco escribió:
>
>> El día 8 de octubre de 2014, 19:56, Camaleón <noelamac@gmail.com>
>> escribió:
>
> (...)
>
>>>> Estoy mirando como añadir una regla a iptables para que en función de
>>>> donde venga el tráfico, lo enrute por el firewall2. Por ejemplo, si el
>>>> tráfico por udp llega desde 172.16.10.1, lo envíe por alli y no por el
>>>> default gateway...
>>>>
>>>> ¿Alguna idea?
>>>
>>> Los enrutados no son mi fuerte pero creo que me faltan datos de la
>>> configuración de tu red para saber exactamente lo que quieres hacer.
>
> (...)
>
>> IP WAN: 82.82.82.82 IP WAN: 82.82.82.83
>> FIREWALL1 FIREWALL2
>> IP INTERNA:10.10.10.1 IP INTERNA:172.16.10.1
>>
>> | | | |
>> |
>> |
>> |
>> | IP: 10.10.10.254
>> |___________ OPENVPN
>> |
>> RED INTERNA MISMO RANGO OPENVPN
>>
>> Openvpn está detrás de los cortafuegos, me explicado mal.
>>
>> Aclaro, ahora mismo la default gateway de OPENVPN es el FIREWALL1. El
>> tráfico entra por ahí por udp y funciona perfecto. El tema es que voy
>> actualizar el FIREWALL1, en remoto (no me queda otra, no me pagan las
>> horas extras xD), y quería poder entrar por la VPN por el FIREWALL2 en
>> caso de que el FIREWALL1 debido a la actualización, no arranque. Está en
>> una VM, realizaré un snapshot antes de actualizar, para en caso de
>> problemas, pueda revertir a ese snapshot.
>
> Vale, ahora me queda todo (configuración de la red y finalidad del
> cambio) un poco más claro :-)
>
> Dado que tienes una única tarjeta de red en el servidor con OpenVPN, se
> me ocurren 2 opciones:
>
> 1/ Añadir una IP virtual/alias que esté en rango del firewall2, es decir:
>
> Firewall2 → 172.16.10.1
> +Interfaz del servidor OpenVPN → (tun0) 10.10.10.254, (tun0:1) 172.16.10.5
>
> Lo que no sé es si las interfaces tap/tun y/o OpenVPN permiten esto
>
> 2/ Añadir una IP virtual/alias que esté en rango del servidor OpenVPN, es
> decir:
>
> +Firewall2 → (eth0) 172.16.10.1, (eth0:1) 10.10.10.5
> Interfaz del servidor OpenVPN → (tun0) 10.10.10.254
>
Está claro que es un problema de enrutamiento, pero digo yo, a las
interfaces virtuales no se les puede poner gateway no?
Al menos nunca lo e visto...
> Tampoco sé si si lo que sea que tengas haciendo de firewall2 te permite
> añadir interfaces virtuales.
Si el firewall2 permite crear interfaces virtuales.
Seguiré mirando
Gracias.
>
>> Pero todo el tráfico por defecto, sale por el firewall1, con lo cual no
>> voy a poder tener acceso por el firewall2. Entonces la idea era poner
>> una ruta en el servidor OPENVPN para que si le llega el tráfico desde el
>> FIREWALL2, lo mande por allí.
>
> Entiendo que lo que te interesa es la entrada más que la salida en este
> caso pero dado que tienes conectadas físicamente los cortafuegos con el
> servidor OpenVPN (van al mismo switch y no hay VLAN) creo que más bien se
> trata de un problema de enrutado simple, es decir, que no necesitarás
> manipular/redireccionar los paquetes sólo decirle a cada cual por dónde
> tirar.
>
> Saludos,
>
> --
> Camaleón
>
>
> --
> To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> Archive: [🔎] pan.2014.10.09.14.52.00@gmail.com">https://lists.debian.org/[🔎] pan.2014.10.09.14.52.00@gmail.com
>
Reply to: