Esse artigo mostra como configurar a VPN (filial) para que use autenticação e proxy da da VPN (matriz). Com esse sistema a filial só sairá pela internet pelo link da matriz, não sendo possível acessar o internet sem usar o proxy.
OBS: Como estou usando o Slackware, coloquei as duas linhas acima dentro de /etc/rc.d/rc.local. Sendo a primeira linha dentro do servidor da matriz e a segunda no servidor da filial.
Depois bloqueamos todas as conexões com a internet no servidor da filial, exceto a conexão com a matriz "tun". Ainda podemos colocar dentro do /etc/openvpn/down.sh da filial um outro script que libera o acesso a internet sem conexão com a vpn.
O por quê disso? Vamos supor que caiu o link da matriz, logo a filial vai ficar sem internet.
Configurações do Squid
No Squid iremos informar que ele deverá fazer autenticação no servidor Samba. Irei colocar ainda as regras de proxy transparente, pois vai que um espertinho tire as configurações do proxy no browser, automaticamente ele usará o proxy transparente.
Regras de proxy autenticado:
auth_param basic program /usr/local/bin/smb_auth -W DOMINIO -U 192.168.5.24
auth_param basic children 5
auth_param basic realm Digite seu Login
Regras de proxy transparente:
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
[1] Comentário enviado por removido em 25/08/2006 - 10:52h
Para que autenticar na matriz ? vai congestionar a VPN a nao ser q o link seja de fibra optica. rs. ja q tem linux nas duas pontas faz autenticaçao local na filial tb.
[2] Comentário enviado por c.rafael em 25/08/2006 - 13:50h
Olá NETUNIX,
Isso se for uma empresa pequena que tenha filial ou uma empresa que tenha uma filial pequena.
Tenho essa estrutura sendo que na filial tem apenas 3 micros. Não irei colocar lah um proxy só para eles. E alem disso tenho um sistema de cartão ponto que faço o backup todos os dias da filial.
Tenho um link de 400K tanto na matriz quanto na filial só para vpn, alem de um outro link de 1MB da matriz que é para acesso a internet. Esse link de 400K funciona perfeito, sendo que na matriz o link de 400k é ip fixo e na filial até um tempo atras não era, mas agora estamos com ip fixo por ser o mesmo valor.
Pode ainda fzer uma regra para apenas se autenticar na matriz e usar a internet na filial (link da filial mesmo), tem que ter um script que apenas conferi se o usuário está autenticado ou não.
[4] Comentário enviado por removido em 27/08/2006 - 02:26h
OK.
Valeu lembrar entao que para se fazer essa estrutura requer bastante banda disponivel so para VPN. Temo pelos usuarios que leem o artigo e ja saem instalando suas VPNs sem saber o basico.
Abraços
[5] Comentário enviado por jmhenrique em 10/09/2006 - 08:16h
Concordo, netunix. Aqui, por exemplo, saiu bem mais em conta contratar links adsl somente para fluxo de internet nas filiais que utilizar a vpn com a matriz, que somente é utilizada para sistemas internos, e gerenciar cada proxy de cada filial independentemente.
(mais de 40 micros em cada... inviável fazer acesso a internet por vpn).
Mas para um ou dois micrinhos, sem muito acesso a internet e sem sistemas muito criticos, e com usuários comportados, porque não? :D
[6] Comentário enviado por antonioleite em 26/08/2007 - 17:59h
Amigos ja procurei por diversos artigos e livros e nada é o seguinte: Quando eu executo o ifconfig tun0 da o seguinte erro: TUN0: ERRO obtendo informações da interface: %s dispositivo não encontrado.
Só que eu ja reinstalei o Debian etch umas 1000 vezes e carrego o TUN "modprobe tun" o mesmo esta presente quando dou lsmod e sempre paro ai. Pergunto o que estou fazendo de errado se segui todos os passos acima, eu preciso estar com o outro computador conectado na filial para o TUN subir? Uma ajudinha por favor... Obrigado
[9] Comentário enviado por celsopimentel em 21/01/2009 - 22:20h
Rafael, você comentou que "Pode ainda fzer uma regra para apenas se autenticar na matriz e usar a internet na filial (link da filial mesmo)"
Gostaria de mais informações desta opção, de usar a VPN para autenticar no proxy filtrar pelas políticas da Matriz, mas sair para a internet com o link da própria filial. Isso é possivel mesmo, e viável? Se mais colegas puderem me ajudar fico grato. Um grande abraço a todos.