Aproveitando a carona do artigo anterior sobre o estabelecimento de uma VPN Lan-toLan sobre ADSL, vamos supor que do outro lado da internet temos o nosso segundo "endpoint" atrás de um modem ADSL D-Link DSL 500G (Generation II, Versão C1).
Nossa missão então será (novamente) configurá-lo para permitir o repasse "transparente" dos pacotes do túnel VPN a ser estabelecido, respeitadas e lembradas as premissas apresentadas no artigo citado, só pra lembrar:
Nossa missão então será (novamente) configurá-lo para permitir o repasse "transparente" dos pacotes do túnel VPN a ser estabelecido, respeitadas e lembradas as premissas apresentadas no artigo citado, só pra lembrar:
- Redirecionar (via NAT) tráfego externo chegando para a porta UDP/500 (ISAKMP) para endereço do "endpoint" do túnel, na mesma porta (UDP/500), na rede interna;
- Redirecionar (sem NAT/sem alterar cabeçalhos) tráfego externo chegando para o protocolo 50 (ESP) para o endereço do "endpoint" to túnel, na rede interna.
Como fazer:
- Através de um computador conectado à mesma rede "interna" onde esteja o modem ADSL (o padrão é que ele venha com o IP 192.168.1.1/255.255.255.0), acessar sua console de administração Web via browser (ex.: http://192.168.1.1). Ao receber o pop-up solicitando usuário e senha, preencher com "admin" em ambos os campos (caso tenha alterado a senha, informar a correta);
- No menu Services, acessar a opção NAT e no drop-down NAT Global Info selecionar NAT Rule Entry e acionar o botão ADD;
- No formulário a seguir, preencher os campos com (respectivamente):
- Rule ID = n+1 (n=nr.última regra existente)
- Rule Flavor = RDR
- IF Name = ALL
- Protocol = UDP
- Local Address From = 192.168.1.x
- Local Address To = 192.168.1.x
- Global Address From = 0.0.0.0
- Global Address To = 0.0.0.0
- Destination Port From = 500
- Destination Port To = 500
- Local Port = 0
Adicionar agora a regra para o túnel ESP (esta regra deve ser mantida "sempre" como a última da lista)
- Rule ID = n+10 (n=nr.última regra existente)
- Rule Flavor = RDR
- IF Name = ALL
- Protocol = ANY (*)
- Local Address From = 192.168.1.x
- Local Address To = 192.168.1.x
- Global Address From = 0.0.0.0
- Global Address To = 0.0.0.0
- Destination Port From = 0
- Destination Port To = 0
- Local Port = 0
Ao terminar, ir ao menu Admin, Commit & Reboot e confirmar "Save" com a opção Reboot selecionada no drop-down.
(*) No caso específico deste modem tentei, de todas as maneiras que consegui imaginar, fazer o redirecionamento "apenas" do protocolo desejado (50/ESP), mas apesar do túnel se estabelecer na primeira fase (IKE), não trafegava nenhum pacote na segunda fase (ESP). Então "por acidente" descobri que somente com esta configuração os pacotes da segunda fase passavam. Infelizmente, por causa disso, as informações neste guia funcionaram para mim, mas não podem ser consideradas precisas, portanto, aceito sugestões/contribuições.
Nenhum comentário:
Postar um comentário