OpenVPN no ar, mas estaçoes não pingam.

trgtecno
(usa Debian)

Enviado em 04/07/2012 - 08:11h

Olá.
Tenho um túnel aberto entre matriz e filial.
Já habilitei o FORWARD do IPv4.
Pingo da filial para matriz qualquer maquina pelo servidor.
Não pingo da matriz para filial ninguém, somente o servidor.
As estações da filial não pingam nenhuma maquina da matriz.
Já configurei vários tuneis, mas este é o único com uma característica diferente:
Meu servidor está atrás de um NAT.
Já configurei uma DMZ no modem para o servidor.
o firewall (Shorewall) é o mesmo das outras redes que estão funcionando.
Não sei mais o que fazer.

Alguma ajuda?

Obrigado

removido
(usa Nenhuma)

Enviado em 04/07/2012 - 11:39h

Tá parecendo rotas.

veja os links abaixo:

http://www.hardware.com.br/tutoriais/openvpn/pagina6.html
http://www.hardware.com.br/tutoriais/openvpn_2/pagina4.html

trgtecno
(usa Debian)

Enviado em 23/07/2012 - 19:34h

Olá, voltando ao assunto:

Quando mando traçar a rota, está ok - Filial pingando matriz e vice-e-versa

traceroute 172.25.1.80 (IP do Servidor de dados da Matriz)
traceroute to 172.25.1.80 (172.25.1.80), 30 hops max, 60 byte packets
1 10.1.1.1 (10.1.1.1) 23.509 ms 23.504 ms 23.813 ms - (IP VPN da Matriz)
2 172.25.1.80 (172.25.1.80) 24.559 ms 24.606 ms 24.610 ms

contrário - Matriz Pingando Maquina na Filial:

traceroute 172.25.2.254 (IP da Estaçao da Filial)
traceroute to 172.25.2.254 (172.25.2.254), 30 hops max, 40 byte packets
1 10.1.1.2 (10.1.1.2) 33.643 ms 22.942 ms 21.479 ms (IP VPN da Filial)
2 172.25.2.254 (172.25.2.254) 21.938 ms 22.340 ms 28.889 ms

Mas as estaçoes da filial nao pingam nada da matriz, apenas o ip da VPN.

As rotas (uso shorewall) estão ok.

Alguma dica?

Obrigado

removido
(usa Nenhuma)

Enviado em 23/07/2012 - 19:45h

Pode postar aqui como está as rotas no servidor vpn e no cliente que fecha a conexão openvpn com o servidor ?

poste aqui também as conexões da chain forward tabela.

trgtecno
(usa Debian)

Enviado em 24/07/2012 - 12:55h

Olá, vamos lá:

Rotas da Matriz

Tabela de Roteamento IP do Kernel
Destino Roteador MáscaraGen. Opções Métrica Ref Uso Iface
10.1.1.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
172.25.2.0 10.1.1.2 255.255.255.0 UG 0 0 0 tun0
189.33.176.0 0.0.0.0 255.255.248.0 U 0 0 0 eth1
172.25.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0
0.0.0.0 189.33.176.1 0.0.0.0 UG 0 0 0 eth1

Rotas da Filial

Tabela de Roteamento IP do Kernel
Destino Roteador MáscaraGen. Opções Métrica Ref Uso Iface
10.1.1.1 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
172.25.1.0 10.1.1.1 255.255.255.0 UG 0 0 0 tun0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
172.25.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0
0.0.0.0 192.168.0.1 0.0.0.0 UG 100 0 0 eth1


Tabela Firewall da matriz

aubert-sp:~# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
net_dnat 0 -- anywhere anywhere policy match dir in pol none
loc_dnat 0 -- anywhere anywhere policy match dir in pol none

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
eth1_masq 0 -- anywhere anywhere
MASQUERADE 0 -- 10.1.1.2 anywhere
MASQUERADE 0 -- 10.0.0.0/24 anywhere
MASQUERADE 0 -- 10.1.1.2 anywhere
MASQUERADE 0 -- 10.1.1.2 anywhere
MASQUERADE 0 -- 10.1.1.1 anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain eth1_masq (1 references)
target prot opt source destination
MASQUERADE 0 -- 172.25.0.0/16 anywhere policy match dir out pol none

Chain excl_1 (1 references)
target prot opt source destination
RETURN 0 -- anywhere 200.201.174.207
RETURN 0 -- anywhere 172.25.1.175
RETURN 0 -- anywhere 200.201.0.0/24
REDIRECT tcp -- anywhere anywhere redir ports 3128

Chain loc_dnat (1 references)
target prot opt source destination
excl_1 tcp -- anywhere anywhere tcp dpt:www


Tabela Firewall Filial

root@aubert-abc:~# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
dnat all -- anywhere anywhere

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
eth1_masq all -- anywhere anywhere
MASQUERADE all -- 10.1.1.1 anywhere

Chain dnat (1 references)
target prot opt source destination
net_dnat all -- anywhere anywhere

Chain eth1_masq (1 references)
target prot opt source destination
MASQUERADE all -- 172.25.0.0/16 anywhere

Acho que era isso..
Obrigado