Iptables [RESOLVIDO]

argdenis
(usa Outra)

Enviado em 16/05/2016 - 17:04h

Boa tarde galera

Cenário é o seguinte:
Meu firewall (Ubuntu) 192.168.1.1 eth0 rede interna, eth1 internet, tun0 10.0.0.1.
Do outro lado do tunel existe um cliente com o endereço do tunel 10.0.0.2.
Quando eu preciso acessar esse cliente eu acesso meu firewall e do um ssh 10.0.0.2, ai estou dentro do cliente.
Gostaria que todos da rede 192.168.1.0 tivesse acesso a esse cliente 10.0.0.2 de suas estações. As estações pingam o 10.0.0.1, mas nao pingam o 10.0.0.2.

A politica padrão do firewall é drop.
Ajudas por favor galera
Obrigado

R3nan
(usa Debian)

Enviado em 16/05/2016 - 17:18h

no seu firewall ubuntu, tente adicionar a rota

route add 10.0.0.2 gw 192.168.1.1

teste e nos informe

argdenis
(usa Outra)

Enviado em 17/05/2016 - 08:35h

R3nan,

Obrigado pela resposta.
Rodei o comando route add "10.0.0.2 gw 192.168.1.1" que voce falou, mas nao foi não.. inclusive apos o comando executado para de pingar o 10.0.0.2.

R3nan
(usa Debian)

Enviado em 17/05/2016 - 08:51h

tente então deixar tudo como ACCEPT e teste deixe apenas para testar!

vchacal
(usa Debian)

Enviado em 17/05/2016 - 10:38h

Acredito que isso deve fucnionar.

route add -net 192.168.0.0/24 gw 10.0.0.2 

Altere a rede se for o seu caso.

argdenis
(usa Outra)

Enviado em 18/05/2016 - 09:53h

Campacci obrigado pela resposta
Eu já tinha feito isso antes e caiu toda minha rede.
Na verdade eu tentei "route add -net 192.168.1.0/24 gw 10.0.0.1"
nesse caso o gateway tem que ser o 10.0.0.2?? desse jeito nao tentei.

argdenis
(usa Outra)

Enviado em 18/05/2016 - 09:55h

Renan obrigado mais uma vez:

Preciso tentar isso, mas tem que ser fora do horário, vou fazer e te retorno.

Obrigado

R3nan
(usa Debian)

Enviado em 18/05/2016 - 10:24h

blz, se der certo como accept, o problema não é rota e sim firewall

vchacal
(usa Debian)

Enviado em 18/05/2016 - 12:19h

argdenis,

A rede 192.168.1.0/24 é a rede que você se encontra certo? E precisa de rota para uma outra rede, como você não disse a outra LAN eu informei 192.168.0.0/24 pra dar o exemplo e tal.

Exemplo.:

Matriz (Onde você esta)
LAN 192.168.1.0/24

Filial (A rede que vc quer pingar)
LAN 192.168.0.0/24

Quando você for adicionar a rota você especifica o destino, aonde você quer chegar e por onde.

Pelas interfaces tun0 você consegue pingar 10.0.0.1 e 10.0.0.2? Faz um teste #ping -I tun0 10.0.0.1 e depois 10.0.0.2.

Então tente novamente, confirme se é esta a rede que você quer.

route add -net 192.168.0.0/24 gw 10.0.0.2 

Senão der certo com este gateway 10.0.0.2, tente com o outro 10.0.0.1. De qualquer forma isso não é para parar a sua rede viu. Se esta parando é porque você adicionando uma rota incorreta pra sua rede local.

Posso estar enganado, me corrijam qualquer coisa ... mais acredito que é por ai mesmo colega.

argdenis
(usa Outra)

Enviado em 01/06/2016 - 09:15h

Bom dia Galera
desculpe a demora ai, muita coisa aqui pra organizar a casa...

Campacci, fiz:
route add -net 10.198.9.0/24 gw 10.0.0.2 e gw 10.0.0.1
O server comunica normal nesse caso tanto pelo endereço 10.0.0.2 quanto pelo 10.198.9.4. Mas a rede 192.168.1.0 não consegue chegar ao lado remoto.

Lembrando!!! Ainda não testei o ACCEPT geral!.



Contudo vou especificar mais..
!!!

Lado LOCAL

rede Interna:
eth0
192.168.1.1 /24

Rede internet:
eth2

tun0:
10.0.0.1 /24

config da openvpn server
dev tun0
ifconfig 10.0.0.1 10.0.0.2
port 55555
keepalive 10 120

sem rotas.

--------------------------------------------------------------------------------------
Lado REMOTO

rede interna
eth1 10.198.9.4 /24

tun0
10.0.0.2 /24

config da openvpn cliente:
remote ********
dev tun0
port 55555
ifconfig 10.0.0.2 10.0.0.1
keepalive 10 120

--------------------------------------------------------------------------------------

O tipo de conexão VPN aqui é do tipo client to gateway (se eu não estiver errado quanto a nomenclatura), ou seja, a maquina remota apenas se conecta ao server meu local. desse modo meu gateway 192.168.1.1 se conecta tranquilamente com o remoto através do endereço 10.0.0.2 .

Desculpa galera se compliquei mais :/

dmap
(usa Ubuntu)

Enviado em 01/06/2016 - 19:51h

Como o colega mencionou acima, é problema está nas regras do iptables.
Se fosse para acessar a rede 10.198.9.0/24 teria que adicionar a rota, mas como é para acessar somente o server com ip 10.0.0.2, não vai precisar. Os servers estão na mesma rede 10.0.0.0/24.

Faz o seguinte:

Libera no servidor 10.0.0.1 o FORWARD para a interface tun0
iptables -A FORWARD -i tun0 -j ACCEPT

E testa a conexão, famoso pingar.
Caso não de certo, poste as regras do firewall para darmos uma olhada.

Atte.

argdenis
(usa Outra)

Enviado em 03/06/2016 - 10:25h

Bom dia Galera

Consegui resolver esse problema.

O que eu tive que fazer foi criar uma rota no lado remoto

;

Então oque eu fiz:
Do server local acessei o lado remoto via ssh (ssh 10.0.0.2). Logado lá eu adicionei a rota citada acima.
Da rede local 192.168.1.0 eu ping o 10.0.0.2 e OK!! Pinga bunito.

Obrigado Galera.
Desculpa a demora em responder algo que eu mesmo pedi... .

Abraços