Em 07/12/07, Cristiano Maynart Pereira<[EMAIL PROTECTED]> escreveu:
>
> Em relacao ao e-mail do Renato, o que nao funciona com forward é o L2TP.
> Olhando minhas configuracoes lembrei disso, entao corrigindo minha mensagem
> anterior meu cenario nao eh igual ao seu, pois nao estou utilizando o L2TP
> justamente devido a isso, mas acredito que voce tenha uma bom nível de
> seguranca exigindo MS CHAP2 na conexao da VPN.
>
> Segue a configuracao com o PF (ips ficticios):
>
> # Variaveis
> ext_vpn = "200.1.1.1" # ip publico do firewall (no meu caso eh um
> alias exclusivo para o servidor da vpn)
> vpn = "192.168.1.1" # ip servidor vpn windows 2003
> int_if = "bge0" # interface interna do firewall
> ext_if = "bge1" # interface externa do firewall
>
> # Redirecionamento
> rdr on $ext_if from any to $ext_vpn -> $vpn
>
>
> # Regras
> pass in on $ext_if proto tcp from any to $vpn port 1723 keep state
> pass in on $ext_if proto gre from any to $vpn keep state
>
>
> Obs.: O firewall esta configurando para bloquear somente entrada de pacotes.
>
>
>
> Cristiano Maynart
>
>
> > -----Original Message-----
> > From: [EMAIL PROTECTED]
> > [mailto:[EMAIL PROTECTED] On Behalf Of Diego
> > Piovesan Boschetto
> > Sent: sexta-feira, 7 de dezembro de 2007 10:10
> > To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> > Subject: [FUG-BR] RES: Nat VPN
> >
> > Uso o IPFW, mais pode passar as conf do PF pois quem sabe
> > consigo implementar no IPFW.
> >
> >
> > Diego Piovesan Boschetto | Carbonífera Criciúma S/A Santa
> > Catarina - Criciúma | +55 48 3431-3100
> > MSN: [EMAIL PROTECTED] | GTalk:
> > [EMAIL PROTECTED] -----Mensagem original-----
> > De: [EMAIL PROTECTED]
> > [mailto:[EMAIL PROTECTED] Em nome de Cristiano
> > Maynart Pereira Enviada em: sexta-feira, 7 de dezembro de 2007 09:56
> > Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> > Assunto: Re: [FUG-BR] Nat VPN
> >
> >
> >
> > > -----Original Message-----
> > > From: [EMAIL PROTECTED]
> > > [mailto:[EMAIL PROTECTED] On Behalf Of Diego Piovesan
> > > Boschetto
> > > Sent: sexta-feira, 7 de dezembro de 2007 09:11
> > > To: freebsd@fug.com.br
> > > Subject: [FUG-BR] Nat VPN
> > > Importance: High
> > >
> > > Olá pessoal gostaria de expor minha situação e saber se
> > alguém poderia
> > > me ajudar nela.
> > >
> > > Estou com um servidor VPN configurado e funcional na minha rede
> > > interna uso o Windows 2003 Server a VPN esta configurada para os
> > > protocolos PPTP e L2TP.
> > >
> > > O que gostaria é que da internet (fora de minha rede
> > interna) pode-se
> > > fazer essa VPN mais para isso preciso configurar uma espécie de
> > > forwarder em meu FreeBSD 5.4-Stable, pois ele é meu gateway
> > > (firewall).
> > > Hoje possuo uma internet ADSL de o modem faz os
> > redirecionamentos para
> > > a interface externa de meu FreeBSD, e a interface interna
> > esta ligado
> > > em minha rede local.
> > >
> > > Portanto para funcionar a VPN o protocolo PPTP necessita da
> > porta TCP
> > > 1723 ao qual usei o natd para fazer esse serviço de publicar esta
> > > porta em meu server VPN interno, mais além disso necessita do
> > > protocolo IP 47 (GRE) para funcionar.
> > >
> > > O protocolo L2TP necessita das portas UDP 500, 4500 al qual fiz o
> > > redirecionamento com o natd também. Mais também precisa do
> > protocolo
> > > IP 50.
> > >
> > > Portanto a necessidade seria somente como fazer um
> > "forwarder" ou NAT
> > > nesses protocolos específicos (IP 47, IP
> > > 50) no FreeBSD para meu server interno da rede.
> > >
> > > Agradeço desde já.
> > > Diego.
> > >
> >
> > Voce utiliza o IPFW como firewall?
> >
> > Eu tenho o mesmo cenário funcionando, mas utilizo o PF
> > (packet filter) como firewall.
> >
> > Caso esteja utilizando o PF ou queira migrar, te passo as
> > configurações necessárias.
> >
> >
> >
> > Cristiano Maynart
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
eu faco este redirecionamento e funciona legal.
rdr on $ext_if1 proto gre from any to any -> 10.22.22.1
rdr on $ext_if1 proto {tcp, udp} from any to any port pptp -> 10.22.22.1
--
Alessandro de Souza Rocha
Administrador de Redes e Sistemas
Freebsd-BR User #117
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
