Eu tenho uma rede isolada da Internet e preciso me conectar remotamente a ela de tempos em tempos para fins de manutenção. Por favor, note que eu não preciso conectar a um computador específico nesta rede, mas eu preciso ser capaz de se conectar a qualquer computador na rede.
Esta é a minha ideia:
Eu forneceria uma caixa-linux (provavelmente RaspBerry PI) que deveria estar conectada à rede isolada que também tem uma conexão GPRS com a Internet.
Uma vez ligado, o linux-box deve conectar-se automaticamente à Internet via GPRS e fornecer uma maneira de me conectar a ele (após a autenticação adequada) e acessar a rede isolada de forma transparente .
Eu deveria ser capaz de ver e usar seus sites intrantet diretamente do meu próprio computador (linux) como se meu próprio computador estivesse diretamente conectado à rede isolada. Eu deveria ser capaz de fazer upload de arquivos para os computadores remotos na rede isolada, eu deveria ser capaz de ping e se conectar através de ssh a qualquer um dos computadores na rede isolada, eu deveria ser capaz de acessar o sistema de mensagens fornecido por um XMPP local servidor na mesma rede e assim por diante. Em poucas palavras, meu computador doméstico deve ter o mesmo endereço IP local da minha caixa de Linux remota na rede isolada, exatamente como se eu estivesse lá com meu próprio computador.
Para criar um linux-box que se conecte automaticamente à Internet depois de ligado, não deve ser um problema ... mas como criar essa "ponte" da rede isolada para o meu computador doméstico após o login correto? Alguma idéia, solução ou link que poderia ser útil?
Eu uso o linux para casa / trabalho há vários anos, mas nunca tentei nada assim, então meu conhecimento sobre VPNs e problemas de compartilhamento de rede está próximo de zero. É claro que estou disposto a estudar qualquer link / livro relativo a este assunto, mas não tenho idéia de onde começar.
P.S .: Desculpe pelo meu inglês horrível, espero que a pergunta seja compreensível.
Se você estiver se conectando remotamente, não está isolado.
O que você está descrevendo poderia funcionar. Você provavelmente só quer jogar o OpenVPN nele e fazer isso, no que diz respeito à conectividade remota. Muitos guias para OpenVPN estão disponíveis, mas eu não tenho um específico para recomendar. Comece com a documentação em seu site: OpenVPN.net
Jesus, eu realmente espero que esta não seja uma rede de classificados que você está expondo.
Você usou uma palavra certa - "ponte".
Apenas use o openvpn no modo layer2 (tap), e abra a outra ponta na rede "isolated" *. Você pode usar 'brctl' para configurar a ponte. Depois disso, e conectando, será o mesmo (em termos de rede), como sendo conectado diretamente ao switch naquela rede "isolada".
* se você se conectar a ele de fora, não está isolado. É praticamente o mesmo, se você usou um PC em vez do rPi, ou se você configurou outra interface em qualquer um dos computadores que já estão na rede.
Você precisa tornar o servidor conectado à internet em um servidor VPN, o openvpn é muito útil para isso. Existem várias maneiras de configurar o openvpn. Eu configuraria para usar o UDP e a interface TUN.
Depois de ter configurado o openvpn, você precisa criar algumas regras especiais para o iptables e uma entrada de roteamento para que isso funcione.
Além da interface de conexão à Internet, o servidor openvpn também tem uma interface que o conecta aos outros servidores que estão protegidos e que estão todos na mesma sub-rede, é claro, vamos fazer isso 10.11.11.0/24.
Assumindo que sua rede openvpn tem a sub-rede 10.2.2.0/24, as seguintes regras iptables devem ser criadas no servidor:
# Allow TUN interface connections to openvpn server
iptables -A INPUT -i tun+ -j ACCEPT
# Allow TUN interface connections to be forwarded through other interfaces
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A FORWARD -o tun+ -j ACCEPT
# Allow TUN interface connections to get out
iptables -A OUTPUT -o tun+ -j ACCEPT
# allow routing from openvpn tunnels
iptables -t nat -A POSTROUTING -s 10.2.2.0/24 -j MASQUERADE
iptables -A FORWARD -i tun+ -s 10.2.2.0/24 -j ACCEPT
Em seu gateway / roteador, você precisa criar uma entrada de roteamento que direcione o tráfego para a sub-rede 10.2.2.0/24 para o servidor openvpn e vice-versa. No linux seria algo como:
route add -net 10.2.2.0/24 gw 10.11.11.1 <-- IP of openvpn server
O que isso significa na prática é que, depois de estabelecer uma conexão remota com esse servidor openvpn, é possível alcançar computadores na rede protegida. Esses computadores também devem poder acessar seu computador através da mesma conexão openvpn.
Isso também significa que esses computadores blindados agora enviam e recebem tráfego que está passando pela Internet, embora através de uma conexão VPN criptografada. Isso significa que agora eles estão menos seguros (se bem que ligeiramente) do que antes, o que pode ser um problema.
Perceba que o seu computador doméstico agora é um gateway para acessar essa rede protegida ... dependendo de como alguém é determinado a acessá-lo, isso pode representar um problema. : -)