Re: Enrutar tráfico VPN a través de 2 firewall desde la misma máquina en Debian Wheezy
El día 9 de octubre de 2014, 12:27, C. L. Martinez
<carlopmart@gmail.com> escribió:
> 2014-10-09 10:10 GMT+00:00 Juan Antonio <pushakk@limbo.deathwing.net>:
>> El 08/10/14 16:35, C. L. Martinez escribió:
>>>
>>> 2014-10-08 13:49 GMT+00:00 Maykel Franco <maykeldebian@gmail.com>:
>>>>
>>>> Muy buenas lista, actualmente tengo un servidor openvpn y me gustaría
>>>> que diera servicio a 2 firewall, como el siguiente esquema:
>>>>
>>>>
>>>>
>>>> IP INTERNA:10.10.10.1 IP INTERNA:172.16.10.1
>>>> FIREWALL1 FIREWALL2
>>>> |
>>>> |
>>>> |
>>>> |
>>>> |
>>>> |
>>>> |
>>>> |
>>>> |___________ OPENVPN_________________|
>>>>
>>>>
>>>> Ahora mismo la máquina openvpn tiene como gateway el firewall1, con lo
>>>> cual la vpn funciona bien a través del firewall1. Pero claro, por
>>>> defecto saca todo el tráfico por el firewall1, con lo cual a través
>>>> del firewall2 aunque intente conectarme desde fuera (WAN), no funciona
>>>> ...
>>>>
>>>> Estoy mirando como añadir una regla a iptables para que en función de
>>>> donde venga el tráfico, lo enrute por el firewall2. Por ejemplo, si el
>>>> tráfico por udp llega desde 172.16.10.1, lo envíe por alli y no por el
>>>> default gateway...
>>>>
>>>> ¿Alguna idea?
>>>>
>>>> Saludos.
>>>
>>> Necesitas algo parecido a esto:
>>>
>>> http://lartc.org/howto/lartc.rpdb.multiple-links.html
>>>
>>> Pero olvida la parte del balanceo, te interesa la parte de las rutas.
>>> Tendrás que asignar una prioridad a cada ruta y después con una regla
>>> de iptables tipo MANGLE, lo gestionarás ...
>>>
>>> Añado: con sistemas BSD esto es más sencillo, sobretodo con PFSense :))
>>>
>>>
>>
>> Menuda bobada de respuesta.
Para nada, date cuenta que solo hay una tarjeta de red, y son 2 redes
diferentes.
>>
>> A ver, si el servidor con openvpn está conectado al a red 172.16.10.1, ya
>> sea directamente o mediante un tun o tap o lo que sea, tendrá una ruta
>> explcíta para alcanzar esta red, y te da exactamente igual cual sea su
>> puerta de enlace por defecto.
Están conectados al mismo switch, pero la máscara y red son
diferentes...No vas a llegar... Todo el tráfico lo saca por su gateway
predeterminada. Con lo cual si te viene una petición por el otro lado
no va a llegar...
Otra cosa sería que tuviera 2 interfaces de red, que openvpn escuchara
en 0.0.0.0:1194 udp , entonces si funcionaría, porque la otra tarjeta
de red tendría como gateway predeterminado el FIREWALL2, con lo cual
cuando le llegue tráfico desde FIREWALL2, lo meterá por FIREWALL2,
lógico y evidente pero no es el caso.
>>
>> Un saludo.
>>
>
> La primera respuesta será una bobada, pero la tuya es directamente
> estúpida ... Según el dibujo inicial el servidor OpenVPN estaba
> conectado a dos fws ... ¿Que tiene que ver aquí ni el tun ni el tap ni
> leches (a ver si te lees la documentación de openvpn y de paso del
> routing del kernel)?.
>
> Su problema inicial, es un simple problema de enrutamiento.
>
> Saludos.
>
>
> --
> To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> Archive: https://lists.debian.org/CAEjQA5LUMihAengfUpJTr4NA1twig_Kysw-_vg7G-TOJmXp1w@mail.gmail.com
>
Lo pongo aún más fácil, si el FIREWALL2 si tuviera el mismo rango de
red que FIREWALL1, añado el switch...
IP INTERNA:10.10.10.1 IP INTERNA:10.10.10.2
FIREWALL1 FIREWALL2
| |
| |
| |
|____________ __________________|
|
SWITCH
|
|
OPENVPN
GW: 10.10.10.1
Ya sé que cambiando la gateway de openvpn y poniendo la del FIREWALL2,
10.10.10.2, funcionaría la vpn por ahí, pero mi idea es que esté
automático...
Saludos.
Reply to: