Conectar remotamente à rede isolada

2

Eu tenho uma rede isolada da Internet e preciso me conectar remotamente a ela de tempos em tempos para fins de manutenção. Por favor, note que eu não preciso conectar a um computador específico nesta rede, mas eu preciso ser capaz de se conectar a qualquer computador na rede.

Esta é a minha ideia:

Eu forneceria uma caixa-linux (provavelmente RaspBerry PI) que deveria estar conectada à rede isolada que também tem uma conexão GPRS com a Internet.

Uma vez ligado, o linux-box deve conectar-se automaticamente à Internet via GPRS e fornecer uma maneira de me conectar a ele (após a autenticação adequada) e acessar a rede isolada de forma transparente .

Eu deveria ser capaz de ver e usar seus sites intrantet diretamente do meu próprio computador (linux) como se meu próprio computador estivesse diretamente conectado à rede isolada. Eu deveria ser capaz de fazer upload de arquivos para os computadores remotos na rede isolada, eu deveria ser capaz de ping e se conectar através de ssh a qualquer um dos computadores na rede isolada, eu deveria ser capaz de acessar o sistema de mensagens fornecido por um XMPP local servidor na mesma rede e assim por diante. Em poucas palavras, meu computador doméstico deve ter o mesmo endereço IP local da minha caixa de Linux remota na rede isolada, exatamente como se eu estivesse lá com meu próprio computador.

Para criar um linux-box que se conecte automaticamente à Internet depois de ligado, não deve ser um problema ... mas como criar essa "ponte" da rede isolada para o meu computador doméstico após o login correto? Alguma idéia, solução ou link que poderia ser útil?

Eu uso o linux para casa / trabalho há vários anos, mas nunca tentei nada assim, então meu conhecimento sobre VPNs e problemas de compartilhamento de rede está próximo de zero. É claro que estou disposto a estudar qualquer link / livro relativo a este assunto, mas não tenho idéia de onde começar.

P.S .: Desculpe pelo meu inglês horrível, espero que a pergunta seja compreensível.

    
por Luca 14.06.2012 / 01:54

3 respostas

2

Se você estiver se conectando remotamente, não está isolado.

O que você está descrevendo poderia funcionar. Você provavelmente só quer jogar o OpenVPN nele e fazer isso, no que diz respeito à conectividade remota. Muitos guias para OpenVPN estão disponíveis, mas eu não tenho um específico para recomendar. Comece com a documentação em seu site: OpenVPN.net

Jesus, eu realmente espero que esta não seja uma rede de classificados que você está expondo.

    
por 14.06.2012 / 02:07
0

Você usou uma palavra certa - "ponte".

Apenas use o openvpn no modo layer2 (tap), e abra a outra ponta na rede "isolated" *. Você pode usar 'brctl' para configurar a ponte. Depois disso, e conectando, será o mesmo (em termos de rede), como sendo conectado diretamente ao switch naquela rede "isolada".

* se você se conectar a ele de fora, não está isolado. É praticamente o mesmo, se você usou um PC em vez do rPi, ou se você configurou outra interface em qualquer um dos computadores que já estão na rede.

    
por 14.06.2012 / 02:15
0

Você precisa tornar o servidor conectado à internet em um servidor VPN, o openvpn é muito útil para isso. Existem várias maneiras de configurar o openvpn. Eu configuraria para usar o UDP e a interface TUN.

Depois de ter configurado o openvpn, você precisa criar algumas regras especiais para o iptables e uma entrada de roteamento para que isso funcione.

Além da interface de conexão à Internet, o servidor openvpn também tem uma interface que o conecta aos outros servidores que estão protegidos e que estão todos na mesma sub-rede, é claro, vamos fazer isso 10.11.11.0/24.

Assumindo que sua rede openvpn tem a sub-rede 10.2.2.0/24, as seguintes regras iptables devem ser criadas no servidor:

# Allow TUN interface connections to openvpn server
iptables -A INPUT -i tun+ -j ACCEPT

# Allow TUN interface connections to be forwarded through other interfaces
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A FORWARD -o tun+ -j ACCEPT

# Allow TUN interface connections to get out
iptables -A OUTPUT -o tun+ -j ACCEPT

# allow routing from openvpn tunnels
iptables -t nat -A POSTROUTING -s 10.2.2.0/24 -j MASQUERADE
iptables -A FORWARD -i tun+ -s 10.2.2.0/24 -j ACCEPT

Em seu gateway / roteador, você precisa criar uma entrada de roteamento que direcione o tráfego para a sub-rede 10.2.2.0/24 para o servidor openvpn e vice-versa. No linux seria algo como:

route add -net 10.2.2.0/24 gw 10.11.11.1  <-- IP of openvpn server

O que isso significa na prática é que, depois de estabelecer uma conexão remota com esse servidor openvpn, é possível alcançar computadores na rede protegida. Esses computadores também devem poder acessar seu computador através da mesma conexão openvpn.

Isso também significa que esses computadores blindados agora enviam e recebem tráfego que está passando pela Internet, embora através de uma conexão VPN criptografada. Isso significa que agora eles estão menos seguros (se bem que ligeiramente) do que antes, o que pode ser um problema.

Perceba que o seu computador doméstico agora é um gateway para acessar essa rede protegida ... dependendo de como alguém é determinado a acessá-lo, isso pode representar um problema. : -)

    
por 14.06.2012 / 02:23