NAT não funciona

removido
(usa Nenhuma)

Enviado em 23/05/2012 - 16:54h

Qual foi o resultado do teste ?

cleberdecarvalho
(usa Suse)

Enviado em 24/05/2012 - 10:40h

Oi Amigo,

vamos la...

Coloquei todas as regras e tentei realizar o ping no IP 10.200.54.222, pois este é o ip do meu parceiro de negócios, esse ip esta com toda comunicação bloqueada e só aceita comunicação se o IP de origem for 10.224.5.102 (meu segundo IP na placa ETH1).

Esse ping eu fiz partindo do servidor 10.0.1.67 que precisa sair como se fosse o 10.224.5.102.


c:\>ping 10.200.54.222

Resultado: Request timed out.




Resolvi fazer um teste e criei algumas modificações nas regras (deletando as anteriores),
ficando assim

iptables -I FORWARD -s 10.0.1.0/24 -d 10.224.5.0/24 -j ACCEPT
iptables -I FORWARD -d 10.0.1.0/24 -s 10.224.5.0/24 -j ACCEPT

iptables -t nat -I PREROUTING -i eth1 -d 10.224.5.102 -j DNAT --to 10.0.1.67
iptables -t nat -I POSTROUTING -s 10.0.1.67 -j SNAT --to 10.224.5.102

Depois de aplicar as regras acima, realizei novamente o PING partindo do 10.0.1.67

Veja o result:

c:\>ping 10.200.54.222

Reply from 10.200.54.222: bytes-32 time=1147ms TTL=245
Reply from 10.0.1.132: Destination protocol unreachable.
Reply from 10.0.1.132: Destination protocol unreachable.
Reply from 10.0.1.132: Destination protocol unreachable.

Ping statistics for 10.200.54.222
Packets: Sent=4, Receveid=4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 1147ms, maximum=1147mx, Average = 286ms


percebe-se que ele consegue comunicar o primeiro pacote e depois algo ocorre.

Ainda analisando...

Valeuu

Cleber

cleberdecarvalho
(usa Suse)

Enviado em 24/05/2012 - 10:52h

Cara,

me perdoa..esqueci de uma informação...

Eu tenho link com a UOL através de fibra ótica e no datacenter eu tenho um FORTIGATE fechando essa VPN.

O IP desse fortigate é 10.224.5.101, e no meu Firewall eu tenho a seguinte regra:

Destination Gateway GenMASK interface
10.200.54.0 10.224.5.101 255.255.255.0 eth1


Ou seja, tudo que sair para a rede 10.200.54.0 deve sair pelo Gateway que esta na UOL 10.224.5.101, o gateway da UOL esta configurado para receber os pacotes do 10.224.5.102 e retransmitir com IPSEC para o destino final que é o 10.200.54.222

O PING esta até reconhecendo o 10.200.54.0, mas esta perdendo pacotes e insiste em voltar o reply com o 10.0.1.132.


É..tenho um ambiente problemático.


kk

removido
(usa Nenhuma)

Enviado em 24/05/2012 - 11:50h

Bom dia amigo,

Me responde alguma perguntas, para coletar o máximo de informação possível que você pode fornecer :

1º - O ip do seu FORTIGATE externo é .... só informa o inicio do ip ou coloca um ip fictício ?

2º - Então o fortgate é quem fecha a vpn com a máquina do seu parceiro, é isso ?

3º - Você consegue pingar para outro destino a partir do servidor de aplicação, por exemplo o www.google.com ?

4º - você falou :




Veja só isso... não é um regra de firewall e sim uma rota que diz que o gateway principal é seu fortgate para ip com destino a rede 10.200.54.0, porém a rede do seu parceiro que é :10.200.54.222 ou seja é diferente.

E em outro post anterior você falou que:



só que dessa forma não vai haver comunicação por que de acordo com o que voce informa ele (seu parceiro) só aceita comunicação do ip 10.224.5.102 que é o ip de seu eth1 do firewall, mas quando os pacotes sai do seu firewall eles são repassados para o fortgate que é quem faz o roteamento enviando para o ip de seu parceiro, analisando isso seu fortgate troca o ip 10.224.5.102 para o ip externo dele ou se tem uma vpn como você mesmo falou troca para o ip 10.224.5.101.

Agora acho estranho como é que seu fortgate fecha a VPN com a máquina de seu parceiro e tem faixas de ip diferentes ? ou a VPN é fechada com a máquina que roda o firewall ?


Retorna ai...

removido
(usa Nenhuma)

Enviado em 24/05/2012 - 12:24h

Háaa, mas uma pergunta:

essas duas regras abaixo que você falou que aplicou estava juntas com as regras que passei :

iptables -I FORWARD -s 10.0.1.0/24 -d 10.224.5.0/24 -j ACCEPT

iptables -I FORWARD -d 10.0.1.0/24 -s 10.224.5.0/24 -j ACCEPT

 

cleberdecarvalho
(usa Suse)

Enviado em 24/05/2012 - 12:38h

Opa,

Funciona assim.

MInha empresa tem uma conexão VPN com um parceiro, essa conexão é realizada através de uma VPN, utilizamos essa conexão para transferência de arquivos.

A rede do parceiro de negocios que irá enviar e receber arquivos é 10.200.54.xxx (nao tem problema divulgar porque é iP inválido).

Não temos um roteador aqui na empresa, então estamos usando um roteador da UOL onde estamos
ligados através de fibra ópica, na uol o roteador é o 10.224.5.101.

E nós temos o ip adicional que é o 10.224.5.102

Até aqui blz...A VPN esta funcionando.

Tudo que é enviado ou recebido do 10.224.5.102 com destino ao 10.200.54.xx esta passando pelo fortigate da UOL (10.224.5.101) e retornando, ou seja, a VPN esta conectada e funcionando.

só que a minha aplicação roda no ip 10.0.1.67(minha rede interna) e eu não posso colocar o IP 10.224.5.102 nessa máquina, portanto, preciso fazer com que tudo que saia dessa máquina, saia como se fosse 10.224.5.102 e tudo que chegar com destino ao 10.224.5.102 seja enviado para o 10.0.1.67.

Mais ou menos assim..

(()) Parceiro 10.200.54.222

(()) Fortigate UOL 10.224.5.101

(()) IP adicional em nosso firewall 10.224.5.102

(()) Aplicação 10.0.1.67


NA PRÁTICA
- iptables -t nat -I POSTROUTING -s 10.0.1.67 -j SNAT --to 10.224.5.102
Tudo que sair do 10.0.1.67 com destino ao 10.200.54.222, deverá sair como 10.224.5.102,
passar pelo GTW 10.224.5.101 até o destino final 10.200.54.222.


- iptables -t nat -I PREROUTING -i eth1 -d 10.224.5.102 -j DNAT --to 10.0.1.67
Tudo que for enviado do 10.200.54.222(CLIENTE) para o 10.224.5.102, passará pelo fortigate da UOL 10.224.5.101 chegara no 10.224.5.102 e deverá ser redirecionado para o 10.0.1.67

O cliente possui um roteador, na UOL tambem, e ambos ja validaram as conexões entre eles, ou seja, no cliente, somente esta liberado o 10.224.5.102, A UOL (10.224.5.101), recebe meu pacote e retransmite ao cliente.


é o fortigate quem fecha a VPN com meu parceiro, para mim, fica apenas o NAT.

Consigo pingar qualquer endereco na 10.0.1.67

cleberdecarvalho
(usa Suse)

Enviado em 24/05/2012 - 12:43h

Então...

Tudo esta funcionando dessa forma partindo da rede 10.200.54.0/24 com destino a rede 10.224.5./x e vive versa, ambos (uol-parceiro) ja efetuaram vários testes, mandaram a as evidencias e finalizaram a conexão.

A coisa agora é fazer com que a 10.0.1.67 receba e envie em nome da 10.224.5.102 (meu ip).

cleberdecarvalho
(usa Suse)

Enviado em 24/05/2012 - 12:55h

Opa..

Do meu
Firewall
eth0 gtw 10.0.1.132
eth1 187.x.x.x. e 10.224.5.102

Eu consigo pingar com sucesso o:
fortigate da uol
10.224.5.101
187.x.x.x

E tambem pingar o
parceiro
10.200.54.x

Quero levar tudo isso para o 10.0.1.67 através de para que ele tambem tenha a mesma facilidade.
O 10.0.1.67 ja esta reconhecendo o parceiro, mas envia apenas um pacote e perde o restante.

removido
(usa Nenhuma)

Enviado em 24/05/2012 - 12:56h

Pode postar aqui as regras do teu firewall ?

cleberdecarvalho
(usa Suse)

Enviado em 24/05/2012 - 13:08h

CARA....

funcionou!!..


Olha só..

Estou com essas regras:
iptables -I FORWARD -s 10.0.1.0/24 -d 10.224.5.0/24 -j ACCEPT
iptables -I FORWARD -d 10.0.1.0/24 -s 10.224.5.0/24 -j ACCEPT
iptables -t nat -I PREROUTING -i eth1 -d 10.224.5.102 -j DNAT --to 10.0.1.67
iptables -t nat -I POSTROUTING -s 10.0.1.67 -j SNAT --to 10.224.5.102


O ping estava falhando em alguns pacotes.


Fui no meu iptables
FW_MASQ_NETS
e adicionei

10.0.1.0/24,10.200.54.0/24

Liberando trafego de entrada e saida.

Agora o ping a partir do 167 esta chegando no 54.222, sem problemas.

removido
(usa Nenhuma)

Enviado em 24/05/2012 - 13:12h

Está funcionando mesmo ? já tentou transferir algum arquivo de uma rede para outra ?

cleberdecarvalho
(usa Suse)

Enviado em 24/05/2012 - 13:15h

O PING esta OK..vai e volta...todos os pacotes sem nenhum erro.

Para garantir 100% de certeza, estou ligando no parceiro para que ele acompanhe o trafego no roteador e me envie pacotes de teste.

Ja te informo