Bem-vindo à Comunidade UBNT

VPN dentro da LAN ligando 2 empresas com link de terceiros

estrelaestrela 11 Pontos
editado fevereiro 2017 em EdgeMAX
Boa tarde a todos!!

estou com um pequeno problema de segurança aqui na empresa. Entre 2 de nossas empresas foi contratado uma empresa terceirizada que conectou a minha filial com a minha matriz através de uma fibra optica usando um canal vlan dedicado para esse fim. Porém tenho receio que algum funcionário mal intencionado dessa  empresa terceirizada venha a se conectar em meu canal vlan para entrar em minha rede e ter acesso as minhas informações,já que que ele estaria dentro da minha LAN. Assim para contornar isso, adquiri 2 edge router lite e pensei em criar uma VPN interna na rede para criptografar esse canal até suas pontas. A principio pensei em usar uma VPN ipsec Site-to-Site, mas estou tendo dificuldade para configurá-la, por isso aceito sugestões de outras caso essa seja muito complicada. Sou novo no EdgeRouter e eles nesse momento estão resetados de fabrica, antes até da configuração básica inicial, já que não sei se fiz algo errado mesmo antes de criar a VPN. Assim alguém conseguiria me explicar um passo a passo de como proceder? pois tentei configurar a VPN via GUI entretanto a conexão apesar de criada fica sempre com status DOWN. para fazer o processo me baseei em alguns videos no youtube como também pelo manual da ubiquiti..mas não tive sucesso. Vendo os tutoriais até parece fácil de fazer, não sei no que estou errando...

PS: firmware 1.9.1

Anexo um modelo da rede aqui!!

desde já obrigado pela ajuda!!

 
vpn
Rotulado:

Comentários

  • consegui criar o tunel usando Openvpn, seguindo o tutorial https://help.ubnt.com/hc/pt/articles/204949694-EdgeMAX-OpenVPN-Site-a-Site , porém não consigo ping atraés das redes.. seria algo no firewall?
  • R4V3RR4V3R 8536 Pontos
    Você precisa criar rotas estáticas em cada ponta para que seja possível acessar a sub-rede remota.
  • Bom dia, desculpe a demora em responder, estava viajando...

    então, o sistema criou automaticamente uma rota estática, e mesmo assim não funcionou,precisaria de uma outra rota a mais?

    nesse artigo da ubnt em ingles https://help.ubnt.com/hc/en-us/articles/204949694-EdgeRouter-OpenVPN-Site-to-Site diz que "se a conexão a cada roteador for estabelecida, mas não houver acesso aos dispositivos por trás do roteador, verifique se NAT Hairpin está habilitado para cada rede LAN." Seria isso? porém não tive sucesso também , ou configurei ele errado.  


    envio abaixo o arquivo config dos dois routers. E o pequeno esboço do projeto..

    vpn
    router A

    interfaces {
        ethernet eth0 {
            address 172.16.3.41/24
            duplex auto
            speed auto
        }
        ethernet eth1 {
            address 192.168.50.1/24
            duplex auto
            speed auto
        }
        ethernet eth2 {
            address dhcp
            duplex auto
            speed auto
        }
        loopback lo {
        }
        openvpn vtun0 {
            local-address 10.99.99.2 {
            }
            local-port 1194
            mode site-to-site
            remote-address 10.99.99.1
            remote-host 172.16.3.40
            remote-port 1194
            shared-secret-key-file /config/auth/secret
        }
    }
    port-forward {
        auto-firewall enable
        hairpin-nat disable
        lan-interface vtun0
        wan-interface eth0
    }
    protocols {
        static {
            interface-route 192.168.0.0/24 {
                next-hop-interface vtun0 {
                }
            }
        }
    }
    service {
        gui {
            http-port 80
            https-port 443
            older-ciphers enable
        }
        ssh {
            port 22
            protocol-version v2
        }
    }
    system {
        host-name ubnt
        login {
            user ubnt {
                authentication {
                    encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
                }
                level admin
            }
        }
        ntp {
            server 0.ubnt.pool.ntp.org {
            }
            server 1.ubnt.pool.ntp.org {
            }
            server 2.ubnt.pool.ntp.org {
            }
            server 3.ubnt.pool.ntp.org {
            }
        }
        syslog {
            global {
                facility all {
                    level notice
                }
                facility protocols {
                    level debug
                }
            }
        }
        time-zone UTC
    }


    /* Warning: Do not remove the following line. */
    /* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
    /* Release version: v1.9.1.4939093.161214.0705 */


    router B

    interfaces {
        ethernet eth0 {
            address 172.16.3.40/24
            duplex auto
            speed auto
        }
        ethernet eth1 {
            address 192.168.0.28/24
            duplex auto
            speed auto
        }
        ethernet eth2 {
            duplex auto
            speed auto
        }
        loopback lo {
        }
        openvpn vtun0 {
            local-address 10.99.99.1 {
            }
            local-port 1194
            mode site-to-site
            openvpn-option --float
            openvpn-option "--ping 10"
            openvpn-option "--ping-restart 20"
            openvpn-option --ping-timer-rem
            openvpn-option --persist-tun
            openvpn-option --persist-key
            openvpn-option "--user nobody"
            openvpn-option "--group nogroup"
            remote-address 10.99.99.2
            remote-host 172.16.3.41
            remote-port 1194
            shared-secret-key-file /config/auth/secret
        }
    }
    port-forward {
        auto-firewall enable
        hairpin-nat enable
        lan-interface vtun0
        wan-interface eth0
    }
    protocols {
        static {
            interface-route 192.168.50.0/24 {
                next-hop-interface vtun0 {
                }
            }
        }
    }
    service {
        gui {
            https-port 443
        }
        ssh {
            port 22
            protocol-version v2
        }
    }
    system {
        host-name ubnt
        login {
            user ubnt {
                authentication {
                    encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
                }
                level admin
            }
        }
        ntp {
            server 0.ubnt.pool.ntp.org {
            }
            server 1.ubnt.pool.ntp.org {
            }
            server 2.ubnt.pool.ntp.org {
            }
            server 3.ubnt.pool.ntp.org {
            }
        }
        syslog {
            global {
                facility all {
                    level notice
                }
                facility protocols {
                    level debug
                }
            }
        }
        time-zone UTC
    }


    /* Warning: Do not remove the following line. */
    /* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
    /* Release version: v1.7.0.4783374.150622.1534 */

  • segue a imagem GUI do roteamento dos routers

    VPN ROTAS
  • estrelaestrela 11 Pontos
    editado fevereiro 2017

  • R4V3RR4V3R 8536 Pontos
    subnet /32 na vtun0? tem certeza?
    Mude interface-route(que é para conexoes ponto a ponto) para next-hop, que é usando em redes broadcast multi-acesso.
  • então essa subnet/32 na vtun 0  foi o próprio router que criou. 

    Resolvi resetar os routers e recriar usando o tutorial IPSEC site-to-site como o tutorial

    assim consegui resolver o problema, 

    Obrigado!!


Entre ou Registre-se para fazer um comentário.