Liberação para uso de VPN-IPSEC

syman_jr
(usa Debian)

Enviado em 15/08/2016 - 11:43h

Boa tarde a todos,

Estou com um problema para utilizar uma VPN-IPSEC no meu trabalho, o provedor de internet fornece um roteador onde o IP válido fica nele, o mesmo não libera portas ou serviços, somente me permite um utilizar um IP onde é feito uma DMZ (192.168.1.200).

Tenho nas duas pontas a mesma internet (mesmo provedor). Comentei sobre a possibilidade de utilizar a VPN via OpenVPN, “mas tenho que utilizar esses dois aparelhos mesmo”.

Logo, configurei uma VPN-IPSEC através de dois roteadores (DI-804HV – D-Link), testando através dos aparelhos sem o firewall a VPN funciona perfeitamente.
Quando coloco o firewall, daí surge meu problema, eu pingo a outra ponta (tanto roteador quanto a rede local)
Roteador VPN: 192.168.17.10
Máquina nessa rede: 192.168.17.22 (a única)

Do outro lado pingo somente o roteador a minha rede local não alcanço (quando o firewall está presente), logo imagino que o firewall está barrando esse acesso de fora.

Meu cenário:

Modem\Roteador INTERNET: XXX.XXX.XXX.XXX
Matriz-VPN (DI-804HV)
Wan: 192.168.1.200 (DMZ)
Mask: 255.255.255.0
GW: 192.168.1.1
LAN: 192.168.16.10

==================
Firewall (iptables)
Internet Eth0: 192.168.16.1
Rede local Eth1: 192.168.0.1
==================

Modem\Roteador INTERNET: XXX.XXX.XXX.XXX
Filial-VPN (DI-804HV)
Wan: 192.168.1.200 (DMZ)
Mask: 255.255.255.0
GW: 192.168.1.1
LAN: 192.168.17.10

Pesquisando na internet vi que o IPSEC utiliza a porta 500 e o protocolo 50.

Pelo fato de ter somente o IP: 192.168.1.200 (fazendo a DMZ) não sei se outro cenário se encaixaria melhor tipo; colocar o firewall antes do roteador da VPN ou se é só questão de ter feito a liberação no firewall de forma incorreta.

Teria alguma regra que aplica nesse caso? Eu procurei várias e testei mas sem sucesso.

Desculpe se ficou meio confuso...

Desde já obrigado a todos!

macyszyn
(usa Ubuntu)

Enviado em 15/08/2016 - 12:42h

Esse seu firewall é gateway certo?
Como esta as rotas dele, consegue postar?

E as regras de liberação para a VPN, consegue colocar aqui para analisarmos?

syman_jr
(usa Debian)

Enviado em 15/08/2016 - 13:51h

Boa tarde Macyszyn!

As regras que utilizei foram essas:

#VPN
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 500 -j ACCEPT

#Habilitando as portas do IPSEC
iptables -A INPUT -p udp --sport 500 --dport 500 -j ACCEPT
iptables -A OUTPUT -p udp --sport 500 --dport 500 -j ACCEPT
iptables -A INPUT -p 50 -j ACCEPT
iptables -A OUTPUT -p 50 -j ACCEPT
iptables -A INPUT -p 51 -j ACCEPT
iptables -A OUTPUT -p 51 -j ACCEPT

Obrigado!

macyszyn
(usa Ubuntu)

Enviado em 15/08/2016 - 14:15h

As regras estão correta, porem esta faltando algumas, são elas: Porta 4500, 161, 162 e 1701

A regra que utilizo é esta:

iptables -A INPUT -p udp --dport 500 -j ACCEPT
iptables -A INPUT -p udp --dport 4500 -j ACCEPT
iptables -A INPUT -p 50 -j ACCEPT
iptables -A INPUT -p 51 -j ACCEPT
iptables -A INPUT -p 161 -j ACCEPT
iptables -A INPUT -p 162 -j ACCEPT
iptables -A INPUT -p udp -m policy --dir in --pol ipsec -m udp --dport 1701 -j ACCEPT

Se for bloqueio, provavelmente essa regra ira liberar!

macyszyn
(usa Ubuntu)

Enviado em 16/08/2016 - 12:19h

Alguma novidade? Conseguiu conectar?

syman_jr
(usa Debian)

Enviado em 19/08/2016 - 17:34h

Desculpe a demora, estou testando agora

continua a mesma coisa sem acesso!

stefaniobrunhara
(usa CentOS)

Enviado em 19/08/2016 - 20:03h

### Firewall para IPSEC
Se existir um firewall na rede, é preciso que todo tráfego que passa pela porta
UDP 500 (IKE) e pelos protocolos 50 (ESP) e 51 (AH) seja permitido.

- Caso você use firewall na sua rede, não se esqueça de abrir a comunicação para os seguintes
protolocos/portas:
- Protocolo 50 (ESP)
- Protocolo 51 (AH)
- Porta 500 UDP (ISAKMP)

- Se você utiliza NAT, tome o cuidado de não mascarar nada que tenha como origem em uma das redes e como destino a outra rede.

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
RETURN all -- 192.168.77.0/24 192.168.0.0/24

syman_jr
(usa Debian)

Enviado em 20/08/2016 - 10:14h

Bom dia, ontem testando utilizei:

Executado em maquina na filial: pinguei um ip da minha rede (matriz) Obs: sem o firewall

tracert 192.168.0.39

rota=> 192.168.17.10 (Roteador VPN)
192.168.0.39 (Maquina rede_matriz)

Executado em maquina na filial: Obs: com o firewall

tracert 192.168.0.39

rota=> 192.168.17.10 (Roteador VPN)
192.168.1.1
xxx.xxx.xxx.xxx - IP público (para aqui)

O dois roteadores da VPN trabalham com IP: 192.168.1.200 (DMZ)
O IP público fica no roteador do provedor (não consigo mudar, pois é travado)

#VPN Filial
IP público (roteador provedor de internet): XXX.XXX.XXX.XXX
WAN: 192.168.1.200
LAN da filial: 192.168.17.0

#VPN Matriz
IP público (roteador provedor de internet): XXX.XXX.XXX.XXX
WAN: 192.168.1.200
LAN da matriz: 192.168.16.0

WAN do firewall: 192.168.16.1
LAN do firewall: 192.168.0.1 (minha rede da matriz está em 192.168.0.0)

Não sei se pelo fato de trabalhar com IP privado está ocorrendo isso ou estou tratando de forma errada nas minhas regras.

stefaniobrunhara
(usa CentOS)

Enviado em 20/08/2016 - 17:37h

Isto parece ser um prob mesmo!

syman_jr
(usa Debian)

Enviado em 21/08/2016 - 19:23h

Pois é...

Vou fazer mais testes essa semana no trabalho com o mesmo cenário.
Depois coloco o resultado, obrigado a todos por enquanto!

Abraço

stefaniobrunhara
(usa CentOS)

Enviado em 21/08/2016 - 19:35h

Liberar as portas e os protocolos para o ipsec somente permite você ver a comunicação entre os 2 tuneis que estabelece o mecanismo de comunicação.

Lembre-se, vc não pode mascarar os pacotes com origem na sua rede e destino na outra rede que atravessa o tunel.

Boa sorte!

macyszyn
(usa Ubuntu)

Enviado em 28/03/2017 - 09:52h

Você esta fazendo mascaramento das conexões da VPN?

Outro detalhe, consegue postar as rotas?
# ip route show