Unir dos oficinas con VPN

Miguel Oyarzo miguelaustro en gmail.com
Dom Jul 17 02:07:38 CLT 2011


Segun entiendo tu esquema es asi:

LAN_B---Linux(nat)<--------------------->PPTPServer---LAN_A

Algunas consideraciones:

* Linux Si podra conectarse como Cliente PPTP, pues el enrutamiento es 
entre direcciones publicas ruteables.
* Los usuarios LAN_B no deberian porderse conectar a PPTPServer dado que 
PPTP usa el protocolo GRE (47), el cual no es soportado por iptables
* Clientes VPN en LAN_B SI podrian alcancar a PPTPServer, pero 
encapsulando sus paquetes en UDP (passthrough), el cual si
es entendible por iptables y el kernel de linux.

Sin cambiar el hardware, supongo que la unica forma que LAN_B alcance a 
PPTPServer via NAT es usando un helper en la maquina linux.
Tendras que recompilar tu kernel y parchar o conectar algun modulo como 
ip_conntrack_pptp
Quizas si intentas con Shorewall (Lite), este tiene un modulo que hace 
eso, pero no lo he testeado con multiples usuarios detras de NAT.

En general, no es recomendable usar PPTP para conectar VPNs LAN2LAN. 
Cuando microsoft diseno ese protocolo lo hizo muy tarde, Internet iba 10 
anos adelantado.
Mejor preferir dispositivos que usen IPSec tanto por temas de 
enrutamientos complejos y por que es mucho mas seguro. Para el caso de 
conexiones NAT, habilitando NAT transversal se encapsula todo en UDP y 
problema resuelto.

Saludos,

=====================================
Miguel Oyarzo O.
ICT Network Engineer
Melbourne, Australia
miguelaustro en gmail.com
http://linkedin.com/in/mikeaustralia
Linux User: # 483188 - counter.li.orgsulacion.
=====================================


On 12/07/2011 8:38 PM, Juan Pablo San Martín wrote:
> Estimados:
>
>     Necesito unir dos oficinas, ubicadas a 600 KM una de otra. Cada
> oficina tiene un enlace de fibra, y en una de ellas (A), están los
> servidores a los que debe acceder la red de la otra oficina (B).
>     Cada una de las oficinas tiene un equipo con Linux que actua de
> firewall, controlando el acceso a Internet de los usuarios. En la
> oficina A, al mismo tiempo tengo un Servidor VPN PPTP al cual se
> conectan ciertos usuarios, el cual funciona sin problemas. Intenté que
> el servidor de la oficina B se conectara como cliente, y que los
> usuarios se conectaran a través de este servidor a los servicios de la
> oficina A, pero no hay caso, solo el servidor de B puede ver los
> equipos de A, pero no al revés. Asumo que hay una ruta que no estoy
> creando bien. He probado como puerta de enlace en la ruta tanto la IP
> local del servidor de B, la IP del cliente VPN, la IP del servidor
> VPN, pero nada. Incluso, con Iptables acepto todo el tráfico a través
> de ppp0.
>     Mi pregunta es, más que pidiendo que me resuelvan el problema, en
> base a Vuestra experiencia, ¿que utilizan para conectar dos oficinas?
> Me refiero a herramientas de linux, no firewall o routers dedicados.
> Pensando solo en linux, ¿alguna posibilidad de crear algo así como un
> Bridge, para que la oficina B sea solo una extención de la red de la
> oficina A?. No me preocupa absorver todo el tráfico de B en A, ya que
> son solo 5 usuarios, pero habrá una central telefónica, las cuales
> deben verse (por eso no puedo pensar en solo clientes VPN para los
> usuarios. Y si me pueden dar una manito con lo otro, no es problema.
>      Ante los comentarios de por que PPTP, esto en un futuro mediato se
> cambiará, pero por el momento no es factible. Lo otro, cualquier
> aporte para sacarlo con el modelo con PPTP es bien recibido. En
> paralelo a sus aportes, me estoy dedicando a googlear...
>
> JPS
>


Más información sobre la lista de distribución Linux