Rotas estaticas



  • boa tarde galera !!!

    seguinte estou migrando o meu servidor firewall para o pfsense e já consegui 90% do projeto todo !! o meu problema agora e o seguinte.

    monto uma vpn entre minha empresa e meus clientes.

    então montei assim

    ip empresa 172.16.1.0 ip da vpn 10.10.100.1

    cliente1 172.16.2.0 ip da vpn 10.10.100.6

    cliente2 172.16.3.0 ip da vpn 10.10.100.7

    e por ai vai.

    a minha intenção e facilitar o acesso do suporte então da minha rede 172.16.1.0 ela tem q ter acesso a todas as outras, quando alguem der um ping na maquina 172.16.3.20 a maquina tem que responder etc…

    na minha estrutura antiga eu usava o quagga zebra pra fazer o roteamento. agora no pfsense não  consegui fazer funcionar.

    tentei forçar as rotas direto no console usando:

    route -n add 172.16.5.0 10.10.100.6 ovpns1
    add net 172.16.5.0: gateway 10.10.100.6 (recebo essa confirmação)

    mas quando do um netstat -r aparece assim.

    Destination        Gateway            Flags    Refs      Use  Netif Expire
    default            gvt-l0.b9.bsa.gvt. UGS        0    26997 pppoe0
    0.16.1.0&0x43d7418 10.10.100.6        UGS        0        0 ovpns1

    alguem jah passou por isso ?

    um detalhe hoje eu estou configurando primeiro o servidor aqui da minha empresa e com o tempo vou migrando os firewalls dos clientes então no primeiro momento estou usando pfsense (matriz) e centos (clientes).

    tudo rodando em cima do openvpn. (a conexão com o cliente está feita e da minha rede consigo pingar o ip 10.10.100.6)

    alguem com um farol ai pra da uma luz ???



  • Ja tentou colocar estas rotas na configuração do openvpn no pfsense. Lembro de algum post falando exatamente sobre isso.



  • bom dia !!!

    sim sim la na configuração dele ele tem a opção de colocar a rede que vc quer acessar fazendo o peer to peer, coloquei as duas tanto a minha quanto a dele o que reparei e q ele monta a rota para o ip 10.10.100.2 e o outro servidor sempre conecta usando o ip 10.10.100.6 tentei forçar para que ele pegue o ip final 2 mais ele informa que ta em uso =\ quando forço a criação da rota na mão usando o comando.

    route add -net 172.16.5.0/24 10.10.100.6 ovpns1

    ele diz que a rota foi criada mais quando mando um netstat -r ele mostra a seguinte saida.

    Destination        Gateway            Flags    Refs      Use  Netif Expire
    default            gvt-l0.b9.bsa.gvt. UGS        0    26997 pppoe0
    0.16.1.0&0x43d7418 10.10.100.6        UGS        0        0 ovpns1

    ao inves de mostrar o 17.16.5.0/24 ele mostra essa linha toda confusa =\



  • Me refiro ao advanced settings do openvpn.

    Veja a descrição do campo:

    Enter any additional options you would like to add to the OpenVPN server configuration here, separated by a semicolon
    EXAMPLE: push "route 10.0.0.0 255.255.255.0";



  • Opa desculpe a demora estou tentando ir por outra vertente.

    seguinte sobre o advanced ali ele soh joga pro cliente as rotas tipo usando o push route etc…

    nao achei nada relacionado ao servidor usar essas rotas =\



  • @gabriel.franca:

    nao achei nada relacionado ao servidor usar essas rotas =\

    Pelo que consegui compreender do seu relato, as rotas estáticas do pfSense devem resolver o seu problema. Leia mais aqui: http://doc.pfsense.org/index.php/Static_Routes

    Basta indicar para o gateway por onde ele deve sair (direcionar a conexão) quando tiver determinados destinos. Isso você pode fazer através do menu "System->Static Routes". A ideia é muito semelhante ao que você fazia no Linux! ;)

    Abraços!
    Jack



  • entao nessa versão nao tem mais o static route no system =\

    eu vi que mudaram pra system => routing e para fazer a rota estatica ele pede um gateway e no meu caso quem deveria aparecer lah era o ovpns1 que e a interface da vpn. jah tentei criar o gw como lan pq quando eu boto pra pingar um dos ips da vpn pela wan ele nao pinga mais quando boto a rede lan ele pinga.

    jah instalei o quagga ospfd soh q sinceramente nao sei pra que lado ele vai =\ tipo uso o quagga zebra jah conectei nele por telnet faço toda a configuração mais minhas rotas que adiciono na mao ficam inativas (gerlamente isso ocorre quando esta saindo pelo gw errado). e quando reinicio o pfsense ele mata todas as minhas rotas que eu fiz na mão.

    por um acaso vc sabe o que o AREA na configuração dele quer dizer ?

    vlw pela força.

    Gabriel



  • @gabriel.franca:

    entao nessa versão nao tem mais o static route no system =\

    Qual versão do pfSense? Você não especificou, ou será que eu perdi algo?



  • segue a informação

    2.0.1-RELEASE (i386)
    built on Mon Dec 12 17:53:52 EST 2011
    FreeBSD 8.1-RELEASE-p6

    tem alguma versao mais nova ?

    att

    gabriel



  • @gabriel.franca:

    tem alguma versao mais nova ?

    A 2.0.2 já está na rc3, mas ainda não foi lançada.



  • =\

    putz tu jah mexeu com o quagga no pfsense ?

    eu sei que tem q criar as rotas estaticas para funfar soh q nao vai nem com reza e soh falta isso na boa já to ficando sem bala pra fazer esse trem funfar aqui na empresa =\



  • @johnnybe:

    @gabriel.franca:

    entao nessa versão nao tem mais o static route no system =\

    Qual versão do pfSense? Você não especificou, ou será que eu perdi algo?

    @gabriel.franca:

    segue a informação

    2.0.1-RELEASE (i386)
    built on Mon Dec 12 17:53:52 EST 2011
    FreeBSD 8.1-RELEASE-p6

    No menu System > Routing, você pode adicionar o gateway da LAN.
    Depois, ainda em System > Routing, na aba Routes, adicionar os IPs/CIDR das rotas que você precisa apontando ao gateway da LAN, criado anteriormente.

    Não sei se isto se aplica ao quagga, estou apenas dando sugestões para casos de dificuldades com VPN.



  • @gabriel.franca:

    putz tu jah mexeu com o quagga no pfsense ?

    Ainda não…



  • johnnybe

    quando faço isso ele vai tentar achar a rede atraves do ip exemplo 10.10.100.1 que e o meu ip da vpn ele vai se perder pois a rede nao vai estar acessivel.

    quando uso o zebra eu fallo pra ele que a rede 172.16.5.0 esta no ip 10.10.100.6 que e o ip vpn do linux que esta com essa rede.

    Marcelloc

    como vc me falou acabei de abrir um topico lah no packages e mandei uma pm pro Jimp vou aguardar agora resposta muito obrigado galera !!!



  • @gabriel.franca:

    johnnybe

    quando faço isso ele vai tentar achar a rede atraves do ip exemplo 10.10.100.1 que e o meu ip da vpn ele vai se perder pois a rede nao vai estar acessivel.

    quando uso o zebra eu fallo pra ele que a rede 172.16.5.0 esta no ip 10.10.100.6 que e o ip vpn do linux que esta com essa rede.

    Bem, eu disse antes que…

    @johnnybe:

    Não sei se isto se aplica ao quagga, estou apenas dando sugestões para casos de dificuldades com VPN.

    Foi apenas uma tentativa de prestar alguma ajuda, uma vez que você não sabia onde configurar rotas estáticas.



  • @gabriel.franca:

    …mandei uma pm pro Jimp...

    Humm, :-\ não foi uma boa idéia, tente manter as perguntas no fórum e não nas Private Messages.



  • Então Marcelo,

    reparei que a ideia nao foi boa quando ele me respondeu hehehehe.

    tipo eu mandei pm solicitando apenas para ele olhar o topico e o pior que nao tinha visto a sign dele rs….

    bom paciencia se ele puder me ajudar tenho certeza que ele vai responder.

    agora esse problema esta me deixando sem saida =\ preciso resolver logo esse trem pois se não for possivel realizar esse processo nao vou poder usar o pfsense lah na minha empresa =\

    acho q estou errando por não ter a teoria e nao saber como funciona o ospfd



  • @gabriel.franca:

    agora esse problema esta me deixando sem saida =\ preciso resolver logo esse trem pois se não for possivel realizar esse processo nao vou poder usar o pfsense lah na minha empresa =
    acho q estou errando por não ter a teoria e nao saber como funciona o ospfd

    gabriel.franca,

    Aparentemente trata-se mesmo de um problema conceitual na configuração. Afinal, não há nada de extraordinário em se configurar rotas fixas no pfSense (mesmo precisando atingir alvos na VPN).

    Se realmente trata-se de um fator decisório pra você deixar a ferramenta operando na sua empresa e, se isso está impactando no dia-a-dia do negócio, sugiro que você contacte o próprio marcelloc em pvt e acerte com ele uma consultoria.

    Em cenários críticos e em produção, as vezes uma consultoria assertiva (que certamente será, no caso do marcelloc) é mais negócio do que ficar na "tentativa e erro". Enfim, é apenas uma sugestão (não ganho comissão sobre as consultorias do marcelloc, que fique claro!) :D

    Nota Off-topic: Existem várias outras empresas (pessoas jurídicas) que prestam suporte profissional no pfSense. Dentre elas, posso citar a própria ConexTI (empresa na qual sou responsável técnico), a NextSense do amigo johnnybe e a empresa do LFCavalcanti (se não me falha a memória - não tenho certeza). Mas talvez, no seu caso, o marcelloc resolva a questão em minutos e de forma certeira!

    Abraços!
    Jack



  • @JackL:

    Em cenários críticos e em produção, as vezes uma consultoria assertiva (que certamente será, no caso do marcelloc) é mais negócio do que ficar na "tentativa e erro". Enfim, é apenas uma sugestão (não ganho comissão sobre as consultorias do marcelloc, que fique claro!) :D
    Mas talvez, no seu caso, o marcelloc resolva a questão em minutos e de forma certeira!

    Valeu Jack, ganhei meu dia hoje  :)



  • Marcelo eu vou descrever todo o processo.

    eu tenho vpn fechada com umas 10 redes.

    onde da minha rede eu tenho acesso diretamente na maquina dos usuarios que estao nas outras redes.

    entao minha rede 172.16.1.xxx as outras redes vão de 172.16.2.xx e subindo.

    tudo funciona bem hoje usando em todas as pontas o centos.

    mas estou querendo migrar todos os firewalls para pfsense montei de boa a vpn mas estou patinando na questão do roteamento.

    lembrando que incialmente vai ser uma conexão com pfsense e nas outras pontas vai continuar o centos pois com o tempo eu vou substituindo.

    hoje ainda estou na parte de estudos entao o pfsense soh e ligado quando estou tentando montar essa estrutura ele nao esta em produção.

    qual valor tu me cobra pra resolvermos essa questão ?



  • @gabriel.franca:

    qual valor tu me cobra pra resolvermos essa questão ?

    te mando em pvt


Log in to reply