br-linux

Artigos br-linux.org
Artigos sobre Linux em bom português, originais e com qualidade

VPN no Red hat Linux
Publicado em 11 de maio de 2003
O leitor Paulo Roberto Ralio (paulo_ralio@andriello.com.br) é administrador Unix e mandou um artigo sobre a configuração de VPNs em Linux, incluindo até mesmo o acesso a partir de máquinas com Windows. Ele usou como base o Red Hat 7.3, e a adaptação para as características de cada distribuição fica a seu critério ;-) Leia o artigo abaixo.

* Linux - Criação e Configuração de VPN *

Paulo Roberto Ralio (paulo_ralio@andriello.com.br)


1. Sistema:

Linux Red Hat 7.3

2. Objetivo:

Documentar os procedimentos de instalação, configuração e funcionamento de uma VPN usando FreeS/Wan e IPSec. 3. Procedimentos:

Para criação de uma VPN é necessário a configuração de duas máquinas (uma em cada ponta - Matriz e Filial) que irão realizar o processo de unificar os serviços e as duas redes envolvidas. Estas máquinas recebem a denominação de gateways.

As ferramentas usadas para a criação de uma VPN foram os seguintes softwares:
* FreeS/Wan 1.97-0
* IPSec
* Red Hat Linux 7.3 Valhalla - Kernel 2.4.18-3

A Distribuição Red Hat não vem com os pacotes do FreeS/Wan e IPSec devido a imposição do governo do USA, por este motivo será necessário fazer o download e instalação destes pacotes separadamente. (veja: http://www.freeswan.org/freeswan_trees/freeswan-1.97/doc/politics.html#exlaw)

Para baixar estes pacotes acesse o site http://rpms.steamballoon.com/freeswan/ e copie os arquivos: kernel-2.4.18-3ipsec.i386.rpm e freeswan-1.97-0.i386.rpm

O primeiro pacote instala e compila o IPSec no Kernel do Linux que é o respon- sável por criptografar e descriptografar os pacotes que saem e entram na máquina.

O segundo pacote instala o FreeS/Wan. O FreeS/Wan é uma ferramenta que permite a transmissão segura dos dados entre redes inseguras, como a Internet. É ele que cria um túnel entre os dois gateways possibilitando que os dados criptografados trafeguem por este túnel. O FreeS/Wan é uma implementação do IPSEC.

Preparando o Sistema Operacional (Linux)

Para que a VPN possa funcionar é necessário configurar alguns parâmetros do Linux antes de iniciá-la. Para fazer isto basta editar e modificar os arquivos abaixo:

- no arquivo /etc/sysctl.conf o parametro net.ipv4.ip_forward deverá ficar: net.ipv4.ip_forward = 1

no arquivo /etc/sysconfig/network altere o parâmetro FORWARD_IPV4 para: FORWARD_IPV4=yes

insira as linhas abaixo no final do arquivo rc.local:

	  echo "1" > /proc/sys/net/ipv4/ip_forward
	  echo "0" > /proc/sys/net/ipv4/conf/eth0/rp_filter
	  echo "0" > /proc/sys/net/ipv4/conf/ipsec0/rp_filter
          

Instalação dos Pacotes

A partir deste ponto será feita a instalação dos pacotes baixados. Para isto suponho que a versão 7.3 do RedHat já esteja instalado (inclusive com os pacotes do source do kernel) e funcionando corretamente.

Crie um diretório temporário e copie os arquivo baixados para ele. No diretório /usr/src crie um link chamado linux para o diretório linux-2.4.18-3 com o comando ln

# ln -s /usr/src/linux-2.4.18-3 linux

O diretório linux-2.4.18-3 contém as fontes do kernel e este procedimento é necessário pois o link /usr/src/linux é requerido pelos pacotes acima em suas instalações.

Instalação e Compilação do Kernel:

Acesse o diretório temporário criado e instale o pacote do ipsec com o comando:

# rpm -ivh kernel-source-2.4.18-3ipsec.i386.rpm

Feito a instalação acesse o diretorio /usr/src/linux para iniciar a compilação do kernel. Para compilar o kernel digite o comando make menuconfig. Isto abrirá o menu com as opções do kernel. Vá para o menu "Network options" e verifique se as opções a seguir estão habilitadas:

	-> IP Security Protocol (FreeS/WAN IPSEC)
	-> IPSEC: IP-in-IP encapsulation (tunnel mode)
	-> IPSEC: Authentication Header
	-> HMAC-MD5 authentication algorithm
	-> HMAC-SHA1 authentication algorithn
	-> IPSEC: Encapsulating Security Payload
	-> 3DES encryption algorithm
	-> IPSEC: IP Compression
	-> IPSEC: Debugging Option
	

Após habilitadas as opções acima saia do menu e confirme as alterações feitas para que a compilação tenha início. Ao término digite os comando a seguir (o tempo de compilação pode durar de 2 horas até 1 dia, dependendo do processador da máquina):

	# make dep
	# make clean
	# make bzImage install
	# make modules
	# make modules_install

Ao términar a compilação (se tudo der certo) reinicie a máquina. A próxima etapa é a instalação do FreeS/WAN.

Instalação e Configuração do FreeS/WAN

Acesse novamente o diretório temporário e instale o FreeS/WAN com o comando:

# rpm -ivh freeswan-1.97-0i386.rpm

Após a execução deste comando os arquivos binários e bibliotecas serão instalados e dois arquivos serão criados no /etc, o arquivo "ipsec.conf" e "ipsec.secrets".

O arquivo ipsec.conf é o arquivo de configuração, onde informa-se os endereços das redes envolvidas, o tipo de criptografia, transporte e outros parametros.

O arquivo ipsec.secrets contém a chave de criptografia. Por medida de segurança não deve ser usado o arquivo padrão de instalção. Iremos gerar um novo arquivo de chave criptográfica.

O tipo de configuração que será realizada é de uma VPN Subnet-to-Subnet, ou seja, existe uma rede atrás de cada gateway (existe também a configuração de host-to-host, onde a VPN que é criada só envolve as duas máquinas/gateways sem redes).

Abaixo segue o layout das estruturas (redes) envolvidas:


		 200.240.1.1				  200.160.20.1
		+----------+				  +----------+
		|  MODEM 1 |<----------INTERNET---------->|  MODEM 2 |
		+----------+				  +----------+
		      |						|
		      |						|
		+----------+ -> eth0 200.240.1.2	  +----------+ -> eth0 200.160.20.2
		| gateway1 |				  | gateway2 |
		+----------+ -> eth1 10.1.1.1		  +----------+ -> eth1 10.2.1.1
		      |						|
		      |						|
		+----------+				  +----------+
		| SERVER01 |				  |  REDE 02 | -> 10.2.1.0/16
		+----------+ -> eth0 10.1.1.10	  	  +----------+
		      |
		      |
		+----------+
		|  REDE 01 | -> 10.1.1.0/16
		+----------+

		

O objetivo aqui é fazer com que os computadores da REDE 02 sejam vistos na janela do "Ambiente de Rede" do Windows nos computadores da REDE 01 e vice-versa, além de os computadores da REDE 02 poderem usar os recursos de e-mail, impressão, banco de dados e drives de rede do SERVER01. No SERVER01 roda um PDC Samba para compartilhamento de arquivos, impressoras e programas.

Configuração da VPN

Para gerar o arquivo ipsec.secrets deve-se primeiro escolher o tipo de chave a ser usada, PSK ou RSA. Usaremos a chave RSA por ser uma chave mais forte (a geração de uma chave PSK é diferente da geração da chave RSA). Execute o comando:

# ipsec rsasigkey 1024 > /etc/ipsec.secrets

O comando acima gerará o arquivo ipsec.secrets com chave criptográfica de 1024 bits. O conteúdo do arquivo gerado é exibido abaixo (Note que o conteúdo exbido é ilustrativo e para cada máquina será gerado dados diferentes):

	# RSA 1024 bits   gateway1.internet.com.br   Wed Mar 19 14:26:37 2003
	# for signatures only, UNSAFE FOR ENCRYPTION
        #pubkey=0sAQNuEQO8QswUtC4esP/NOtR1RdPmeNtPXkxFgDWmf7a3Xe02v/gFNY0NkiMf6mWHRVYau ...
	#IN KEY 0x4200 4 1 AQNuEQO8QswUtC4esP/NOtR1RdPmeNtPXkxFgDWmf7a3Xe02v/gFNkiMf6Bk ...
	# (0x4200 = auth-only host-level, 4 = IPSec, 1 = RSA)
	Modulus: 0x6e1103bc42cc14b42e1eb0ffcd3ad47545d3e678dbe4c458035a67fb6b75ded36bff ...
	PublicExponent: 0x03
	# everything after this point is secret
	PrivateExponent: 0x12b4a0b2203735d051d7ff789ce138ba35114248d3a620b955e466a9e73e4 ...
	Prime1: 0xaf26f20b687c868080a090f9e6a76822a31ec82fada2ac490eacda44252c02d0f3407a ...
	Prime2: 0xa0df2551592cf41d390513dfc45db3d1ebe1d8b9bb3d419c5e2deb070d60b39893f49f ...
	Exponent1: 0x74c4a1572e530455ab15b5fbef1a456c6cbf301fc9171d8609c89182c372ac8b4cd ...
	Exponent2: 0x6b3f6e3912c8a2be260362952d93cd369d413b267cd38112e973f204b395cd1062a ...
	Coefficient: 0x3ba79cc82d517229a651f483dcadf2ac8c91e7d85abbd4bf750abd156bdd602f9 ...

(os " ... " no final das linhas indica a continuidade do conteúdo que foram retirados por serem muito extensos).

Com o arquivo gerado iremos incluir na primeira linha os endereços IP dos dois gateways seguidos de ": RSA { " e fechar a última linha com " }" (não esqueça do espaço antes do } ). O arquivo deverá ficar assim:

	200.240.1.2 200.160.20.2: RSA {
	# RSA 1024 bits   gateway1.internet.com.br   Wed Mar 19 14:26:37 2003
	# for signatures only, UNSAFE FOR ENCRYPTION
	#pubkey=0sAQNuEQO8QswUtC4esP/NOtR1RdPmeNtPXkxFgDWmf7a3Xe02v/gFNkiMf6BkamWHRVYau ...
	#IN KEY 0x4200 4 1 AQNuEQO8QswUtC4esP/NOtR1RdPmeNtPXkxFgDWmf7a32v/gFNY0NkiMf6Bk ...
	# (0x4200 = auth-only host-level, 4 = IPSec, 1 = RSA)
	Modulus: 0x6e1103bc42cc14b42e1eb0ffcd3ad47545d3e678dbe4c458035a67fb6b75ded36bff ...
	PublicExponent: 0x03
	# everything after this point is secret
	PrivateExponent: 0x12b4a0b2203735d051d7ff789ce138ba35114248d3a620b955e466a9e73e4 ...
	Prime1: 0xaf26f20b687c868080a090f9e6a76822a31ec82fada2ac490eacda44252c02d0f3407a ...
	Prime2: 0xa0df2551592cf41d390513dfc45db3d1ebe1d8b9bb3d419c5e2deb070d60b39893f49f ...
	Exponent1: 0x74c4a1572e530455ab15b5fbef1a456c6cbf301fc9171d8609c89182c372ac8b4cd ...
	Exponent2: 0x6b3f6e3912c8a2be260362952d93cd369d413b267cd38112e973f204b395cd1062a ...
	Coefficient: 0x3ba79cc82d517229a651f483dcadf2ac8c91e7d85abbd4bf750abd156bdd602f9 ...
	 }
        

O conteúdo da linha #pubkey=0sAQNuEQ... será usado no arquivo ipsec.conf na keyword leftrsasigkey=0sAQNuEQ... (ou right dependendo da máquina).

O procedimento de gerar o arquivo ipsec.secrets deve ser feito nos dois gateways.

Com os arquivos ipsec.secrets gerados nos dois gateways vamos agora configurar o arquivo ipsec.conf.

O arquivo ipsec.conf é composto por 3 partes:

* config setup - Nesta seção temos as configurações gerais do ipsec.

* conn %default - Esta seção indica as configurações que serão padrões para todas as conexões da VPN. (Uma gateway pode ter mais de uma conexão VPN).

* conn vpn - Esta é a configuração da conexão entre as redes envolvidas que estabeleceremos uma rede segura (note que no nome vpn poderá ser usado qualquer denominação que lhe seja familiar, porém este nome deverá ser igual nas duas máquinas).

Abaixo segue a listagem do arquivo ipsec.conf e comentário sobre os parâmetros mais relevantes. A descrição dos parâmetros não comentados pode ser encontrado no Manual do FreeS/Wan através da página www.freeswan.org.

	# basic configuration
	config setup
		interfaces="ipsec0=eth0"
		klipsdebug=none
		plutodebug=none
		plutoload=%search
		plutostart=%search
		uniqueids=yes

	# defaults for subsequent connection descriptions
	# (these defaults will soon go away)
	conn %default
		keyingtries=0
	        esp=3des-md5-96
		authby=rsasig
		disablearrivalcheck=no


	# Conexao entre Gateways
	conn vpn
		# Left security gateway, subnet behind it, next hop toward right.
		left=200.240.1.2
		leftsubnet=10.2.0.0/16
		leftnexthop=200.240.1.1
		# Right security gateway, subnet behind it, next hop toward left.
		right=200.160.20.2
		rightsubnet=10.1.0.0/16
		rightnexthop=200.160.20.1
		# To authorize this connection, but not actually start it, at startup,
		# uncomment this.
		auto=start
		leftrsasigkey=0sAQN/0DPeZpMy1PFZeIJ88VOIqgGK348v5AA/e7aOW1gvMFGI0Vut/ ...
		rightrsasigkey=0sAQNuEQO8QswUtC4esP/NOtR1RdPmeNtPXkxFgDWmf7a3Xe02v/gF ...

Parametros:

- interfaces="ipsec0=eth0" => Define as interfaces físicas e virtuais que o IPSec utiliza. A opção %defaultroute faz com que o programa faça a procura.

- keyingtries=0 => Estipula quantas tentativas devem ser feitas para negociar uma conexão. O valor 0 significa que o protocolo nunca desiste da negociação.

- esp=3des-md5-96 => Indica o tipo de criptografia que queremos usar. 3des-md5-96 é uma boa opção, sugerida como padrão.

- authby=rsasig => Define como os gateways farão autenticação entre eles. Neste caso será utilizado uma autenticação de Assinatura Digital (RSA).

- left=200.240.1.2 => IP do gateway da esquerda. (Note, quem define qual gateway será esquerda ou direita é o administrador e sua ordem não interfere no funcionamento da VPN).

- leftsubnet=10.2.0.0/16 => Endereço da rede privada por trás do gateway esquerdo. Não esqueça de informar junto a mascara da rede(/16).

- leftnexthop=200.240.1.1 => Próximo endereço depois do gateway da esquerda. Geralmente o roteador. No caso de conexões Speedy é o endereço do Modem.

- right=200.160.20.2 => IP do gateway da direita.

- rightsubnet=10.1.0.0/16 => Endereço da rede privada por trás do gateway direito.

- rightnexthop=200.160.20.1 => Próximo endereço depois do gateway da direita.

- auto=start => Especifica que operação deve ser feita automaticamente quando o IPSec for iniciado. Pode ser add (apenas adiciona a conexão não iniciando-a), start (inicia a conexão), route ou ignore.

- leftrsasigkey=0sAQN/0D ... => Contém a chave pública do gateway esquerdo. Está chave é a mesma que foi extraída do arquivo ipsec.secrets da linha " pubkey= "

- rightrsasigkey=0sAQNuE ... => Contém a chave pública do gateway direito. Também a mesma que foi extraída do arquivo ipsec.secrets.

Configurado os arquivos vamos subir a conexão. O comando ipsec setup [stop/start] é usado para iniciar o IPSec e o comando ipsec auto [--up/--down] [conexão] é utilizado para inicar a conexão entre os gateways. No prompt do Linux digite:

	# ipsec setup stop
	# ipsec setup start
	# ipsec auto --up vpn

Após a execução do comando acima as seguintes mensagens devem ser exibidas indicando o estabelecimento da conexão:

	"vpn" #1: STATE_MAIN_I1: initiate
	"vpn" #1: STATE_MAIN_I2: sent MI2, expecting MR2
	"vpn" #1: STATE_MAIN_I3: sent MI3, expecting MR3
	"vpn" #1: STATE_MAIN_I4: ISAKMP SA established
	"vpn" #2: STATE_QUICK_I1: initiate
	"vpn" #2: STATE_QUICK_I2: sent QI2, IPsec SA established

Pronto, neste momento sua conexão já está feita. Para verificar a conexão execute o comando:

# ipsec look

O retorno deste comando deverá ser algo parecido com:

	gateway1.internet.com.br Mon Apr 28 14:07:39 BRT 2003
	10.1.0.0/16 -> 10.2.0.0/16  => tun0x1028@200.240.1.2 esp0xf9b76323@200.240.1.2
	ipsec0->eth0 mtu=1400(1443)->1500
	esp0x52615a99@200.240.1.2 ESP_3DES_HMAC_MD5: dir=out src=200.160.20.2
	 iv_bits=64bits iv=0x7f9a427da914eb67 ooowin=64 alen=128 aklen=128 eklen=192
	 life(c,s,h)=addtime(25134,0,0)
	esp0x52615a9a@200.240.1.2 ESP_3DES_HMAC_MD5: dir=out src=200.160.20.2
	 iv_bits=64bits iv=0x8e29b503d161421c ooowin=64 alen=128 aklen=128 eklen=192
	 life(c,s,h)=addtime(25134,0,0)
	tun0x101f@200.160.20.2 IPIP: dir=in  src=200.240.1.2 life(c,s,h)=bytes(116,0,0)
	 addtime(25135,0,0)usetime(25134,0,0) idle=25134
	tun0x1020@200.160.20.2 IPIP: dir=in  src=200.240.1.2 life(c,s,h)=addtime(2534,0,0)
	Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
	0.0.0.0         200.160.20.1    0.0.0.0         UG       40 0          0 eth0
	10.2.0.0        200.160.20.1    255.255.0.0     UG       40 0          0 ipsec0
	200.160.20.0    0.0.0.0         255.255.255.0   U        40 0          0 eth0
	200.160.20.0    0.0.0.0         255.255.255.0   U        40 0          0 ipsec0

Note que na segunda linha é informado que existe uma conexão da rede 10.1.0.0/16 para a rede 10.2.0.0/16 usando o tunel 200.240.1.2.

Outro comando que pode ser usado para verificar uma conexão é o:

# ipsec auto --status

O resultado deste comando é parecido com o ipsec look. Outra maneira de saber se a conexão foi feita e até mesmo descobrir possíveis problemas é através dos arquivos /var/log/messages e /var/log/secure.

Parte do log do arquivo messages:

	ipsec_setup: Starting FreeS/WAN IPsec 1.99...
	ipsec_setup: KLIPS debug `none'
	ipsec_setup: KLIPS ipsec0 on eth0 200.160.20.2/255.255.255.0 broadcast 200.160.20.255
	ipsec_setup: ...FreeS/WAN IPsec started
	ipsec__plutorun: 104 "vpn" #1: STATE_MAIN_I1: initiate
	ipsec__plutorun: 106 "vpn" #1: STATE_MAIN_I2: sent MI2, expecting MR2
	ipsec__plutorun: 108 "vpn" #1: STATE_MAIN_I3: sent MI3, expecting MR3
	ipsec__plutorun: 004 "vpn" #1: STATE_MAIN_I4: ISAKMP SA established
	ipsec__plutorun: 112 "vpn" #4: STATE_QUICK_I1: initiate
	ipsec__plutorun: 004 "vpn" #4: STATE_QUICK_I2: sent QI2, IPsec SA established

Parte do log do arquivo secure:

	ipsec__plutorun: Starting Pluto subsystem...
	pluto[73]: Starting Pluto (FreeS/WAN Version 1.99)
	pluto[73]: added connection description "vpn"
	pluto[73]: added connection description "gateway"
	pluto[73]: listening for IKE messages
	pluto[73]: adding interface ipsec0/eth0 200.160.20.2
	pluto[73]: loading secrets from "/etc/ipsec.secrets"
	pluto[73]: "vpn" #1: responding to Main Mode
	pluto[73]: "vpn" #1: sent MR3, ISAKMP SA established
	pluto[73]: "vpn" #2: responding to Quick Mode
	pluto[73]: "vpn" #2: IPsec SA established
	pluto[73]: "vpn" #3: initiating Quick Mode RSASIG+ENCRYPT+TUNNEL+PFS+DISABLEARRIVALCHECK
	pluto[73]: "vpn" #3: sent QI2, IPsec SA established

Ping:

Outro teste de conexão que pode ser feito é usando o comando ping. Estando na rede 10.1.0.0/16 ping em qualquer estação da rede 10.2.0.0/16. Se o ping retornar é porque sua conexão esta OK. Caso falhe o tempo de resposta e retorno sua conexão da VPN não foi realizada com sucesso.

O ping só funcionará quando executado de uma máquina da rede 01 para uma máquina da rede 02, pois o tunel é formado para estas duas redes. Caso você tente pingar de uma máquina da rede 01 no gateway da rede 02 o retorno será de erro pois não existe uma VPN entre a rede 01 e o gateway 02 e vice versa (rede 02 e gateway 01). O ping entre gateways também deve funcionar.

Regras de IPTables e IPChains

Se o gateway da VPN que foi configurado também for um firewall e este estiver executando regras de ipchains ou iptables será necessário algumas regras para que os pacotes da VPN não sejam barrados. Abaixo segue regras para IPChains e IPTables.

Regras de permissão para IPSEC com IPTables:

	# Negociacao do IKE na eth0 e ipsec0
	/sbin/iptables -A INPUT -p udp -i eth0 --sport 500 --dport 500 -j ACCEPT
	/sbin/iptables -A OUTPUT -p udp -o eth0 --sport 500 --dport 500 -j ACCEPT

	/sbin/iptables -A INPUT -p udp -i ipsec+ --sport 500 --dport 500 -j ACCEPT
	/sbin/iptables -A OUTPUT -p udp -o ipsec+ --sport 500 --dport 500 -j ACCEPT

	# Criptografia e autenticacao ESP na eth0 e ipsec0
	/sbin/iptables -A INPUT -p 50 -i eth0 -j ACCEPT
	/sbin/iptables -A OUTPUT -p 50 -o eth0 -j ACCEPT

	/sbin/iptables -A INPUT -p 50 -i ipsec+ -j ACCEPT
	/sbin/iptables -A OUTPUT -p 50 -o ipsec+ -j ACCEPT

	# Manipula pacotes emergentes da interface IPSEC
	/sbin/iptables -A FORWARD -d $LOCALNET -i ipsec+ -j ACCEPT

	# Deixa a rede local enviar pacotes que serao criptografados
	/sbin/iptables -A FORWARD -s $LOCALNET -i eth1 -j ACCEPT

Regras de permissão para IPSEC com IPChains:

	## Abrindo trafego IPSEC
	/sbin/ipchains -A input -p udp -s 0/0 -d 0/0 500 -j ACCEPT
	/sbin/ipchains -A output -p udp -s 0/0 -d 0/0 500 -j ACCEPT

	/sbin/ipchains -A input -p 50 -s 0/0 -d 0/0 -j ACCEPT
	/sbin/ipchains -A output -p 50 -s 0/0 -d 0/0 -j ACCEPT

	/sbin/ipchains -A input -p 51 -s 0/0 -d 0/0 -j ACCEPT
	/sbin/ipchains -A output -p 51 -s 0/0 -d 0/0 -j ACCEPT

	## Abrindo trafego na porta 137 - Netbios
	/sbin/ipchains -A input -p udp -s 0/0 -d 0/0 137 -j ACCEPT
	/sbin/ipchains -A output -p udp -s 0/0 -d 0/0 137 -j ACCEPT

	## Permitir acesso a subrede
	/sbin/ipchains -A input -s 10.1.0.0/16 -j ACCEPT
	/sbin/ipchains -A input -s 10.2.0.0/16 -j ACCEPT

	## Permitir trafego entre as redes
	/sbin/ipchains -A forward -b -s 10.1.0.0/16 -d 10.2.0.0/16 -j ACCEPT

Configurando as Redes

Todos os procedimentos realizados acima foram feitos nos dois gateways. Porém o fato de haver uma conexão entre eles não significa que as redes já conseguirão compartilhar seus recursos. É necessário que sejam feitas configurações nos servidores envolvidos e nas estações.

Configurando o Servidor

No servidor que roda o PDC Samba será necessário configurá-lo como um servidor WINS. Este procedimento é necessário para que as estações das 2 redes possam ser vistas no Ambiente de Rede.

Para configurá-lo como servidor WINS edite o arquivo smb.conf e altere os parâmetros " host allow " e " wins support " para:

hosts allow 10.1.1. 10.2.1. 127.

e

wins support = yes

Note que no parâmetro hosts allow deve conter os endereços das duas redes mais a 127.

Ao habilitar o servidor WINS é necessário que haja um arquivo informando o endereço IP de cada estação e seu respectivo nome. Este arquivo é o lmhosts e sua localização deverá ser a mesma que o arquivo smb.conf. Abaixo segue um exemplo do arquivo lmhosts:

	127.0.0.1	localhost
	10.1.1.10	estacao-1-10
	10.1.1.20	estacao-1-20
	10.1.1.30	estacao-1-30
	10.2.1.10	estacao-2-10
	10.2.1.20	estacao-2-20

Para que os servidores tenham acesso às estações da rede 10.2 e vice-versa é necessário a criação de uma rota para que o servidor saiba onde as estações estão, uma vez que são de redes diferentes.

No servidor adicione uma rota usando o comando route:

# route add netmask 255.255.0.0 -net 10.2.0.0 10 10.1.1.1

O comando acima cria uma rota para a rede 10.2 saindo pelo gateway 10.1.1.1 (placa interna do gateway 200.240.1.2).

Nas estações Windows configure as opções de Gateway e WINS na Propriedades de TCP/IP.

- Acesse a Propriedades de TCP/IP através da Propriedade de Rede;

- Selecione a guia Gateway e adicione o endereço IP do seu gateway (10.1.1.1);

- Selecione a guia Configuração WINS e habilite a opção "Ativar Resolução WINS", em seguida adicione o endereço do servidor Samba PDC no campo "Ordem de procura do servidor WINS.

Pronto, agora as máquinas da rede 01 e rede 02 serão todas exibidas quando a janela do ícone Ambiente de Rede for aberta e seus recursos compartilhados entre si quando configurados. A partir deste ponto as máquinas da rede 02 já conseguem usar os recursos de impressão, e-mails e arquivos compartilhados do servidor PDC Samba.

4. Observações:

É necessário um tempo até que todas as maquinas das 2 redes sejam visualizadas no Ambiente de Rede, talvez por haver necessidade de propagação de todas elas.

5. Bibliografia:

* http://jixen.tripod.com

* http://tldp.org/LDP/solrhe/Securing-Optimizing-Linux-RH-Edition-v1.3/chap25sec203.html

* www.freeswan.org

* www.samag.com Elaborado por: Paulo Roberto Ralio - Administrador de Rede Unix Data: 25/04/2003 Postado por brain em maio 11, 2003 07:33 PM

Comentários para "VPN no Red hat Linux"

» Postado por: Igor Cordeiro Matins em maio 14, 2003 11:49 AM, 200.193.8.1:

    igor

 

» Postado por: Gueds em maio 28, 2003 09:46 AM, 200.207.40.:

    hdfhdfb

 

» Postado por: Danilo em junho 5, 2003 12:49 AM, 200.221.165:

    Meu provedor de acesso bloqueia minha portas abaixo de 1024, mesmo com a restrição imposta pelo provedor é possível implementar VPN?

 

» Postado por: Raul Júnior em julho 24, 2003 01:49 PM, 200.96.148.:

    Paulo, vc já ouviu falar do LinVPN? estou a procura de algum artigo assim com o seu passo a passo para fazer uma VPN, só que usando o LinVPN!

 

» Postado por: Lucas em julho 30, 2003 04:50 PM, 200.228.190:

    Vpn no Red Hat

 

» Postado por: Junior em agosto 7, 2003 11:28 AM, 200.204.142:

    olá,
    Gostaria de saber se dá pra fazer esse mesmo processo com o linux slackware 9

 

» Postado por: Fernando em novembro 14, 2003 12:40 PM, 200.181.108:

    Gostaria de saber se dá pra fazer esse mesmo processo com o linux slackware 9?

 

» Postado por: Daniel em novembro 15, 2003 03:53 PM, 200.207.122:

    Documentação muito boa tanto na parte técnica quanto nos comentários. gostaria de saber uma coisa posso configurar uma VPN no Red Hat 9 seguindo os mesmos passos que estão ai ou tem modificações....

    Abraço,

 

» Postado por: Alexandre / Petrol em dezembro 1, 2003 09:39 PM, 200.187.171:

    Muito interesante, pretendo na empresa ligar 6 estações, e esse howto vai me ajudar...

 

» Postado por: Mendes em dezembro 3, 2003 07:19 PM, 200.223.125:

    Gostaria de saber se posso utilizar este processo na versa 9 do Red Hat

 

» Postado por: Leandro em junho 8, 2004 02:38 AM, 200.211.70.:

    ola....pessoal, eu istalei o windows xp e depois o linux red hat, mas quando ligo meu pc, ele vai direto no windows, sem me da opção de escolher o sistema operacional.
    O que eu faço tem algum programa que eu possa usar, ou sera mesmo um erro de istalação...
    a só lembrando que eu ja instalei umas 3 x ...
    nao sei mais o que eu faço....tem tem como isso eu sei pq tem um colega meu que usa esses 2 sistemas operacionais, mais o kara que configurou isso pra ele mora muito longe daki....
    ajude-me por favor . OK !!!
    obrigado pela atenção !!!!

 

» Postado por: Baitz em junho 16, 2004 03:15 PM, 200.210.20.:

    Gostaria de saber se tem alguma solucao VPN Linux2Windows, ou seja, uma vpn onde tivesse um gateway linux e do outro lado um gateway Windows(ou uma unica estacao)?
    Grato..

 

» Postado por: icon-anime em julho 20, 2004 10:23 AM, 66.98.226.5:

    anime icon

 

» Postado por: Zithromax em setembro 25, 2004 10:43 AM, 65.75.139.9:

    Zithromax online antibiotic.

 

» Postado por: Amoxicillin online em outubro 4, 2004 10:25 PM, 67.19.91.50:

    Information on Amoxicillin online.

 

» Postado por: Cialis em outubro 9, 2004 11:26 AM, 65.75.139.9:

    Online Cialis information site.

 

» Postado por: Levaquin em outubro 13, 2004 10:53 AM, 65.75.139.9:

    Levaquin online information.

 

» Postado por: Antonio Abreu em outubro 14, 2004 02:06 PM, 200.253.220:

    Boa tarde Senhores(as),
    Gostaria de saber qual solução mais simples para o meu caso.
    Quero acessar um rede tcp ip via web, a rede que pretendo acessar com um sistema operacional windows XP tem um servidor Linux SUSE9 e uma conexão com ip fixo ADSL, a rede interna tem clientes windows XP, 98, 2000.
    Gostaria de configurar o servidor para acesso via VPN de forma poder dar suporte via VNC ou Netmeeting nas estações e acessar arquivos fat.

 

» Postado por: Remeron em outubro 22, 2004 07:06 PM, 208.53.138.:

    Remeron online site.

 

» Postado por: Elidel online em novembro 3, 2004 05:41 PM, 65.75.139.9:

    Elidel information.

 

» Postado por: John Hurron em novembro 4, 2004 11:06 AM, 69.193.88.3:

    Was browsing Google and found your site

 

Antes de comentar...

- Preserve a qualidade desta discussão
- Leia os Termos de Uso.
- Este formulário deve ser usado para comentários sobre a notícia. Se você tem dúvidas ou precisa de ajuda, use o Fórum.
- Mantenha o foco nos argumentos e no assunto
- Não faça ataques pessoais.
- Pense 5 vezes antes de entrar em discussões inúteis, como "qual é a melhor distribuição/ambiente gráfico/linguagem de programação/etc.", mesmo se alguém já tiver provocado - um erro não justifica o outro
- Não seja um e-mala ;-)

Envie seu comentário









Lembrar as informações pessoais?


Atenção: Este formulário deve ser usado para comentários sobre a notícia. Se você tem dúvidas ou precisa de ajuda, use o Fórum, onde mais pessoas estarão disponíveis para respondê-lo..






Nota: os comentários pertencem a seus respectivos autores e são de responsabilidade de quem os postou. O restante desta nota está disponível sob a licença GNU FDL, exceto se explicitamente declarado em contrário.