OpenVPN e mcascaramento de redes

jocyvan
(usa Ubuntu)

Enviado em 28/07/2010 - 11:50h

Bem, sou novo na comunidade e sempre tinha conseguido resolver meus problemas com perguntas alheias, só que agora eu estou seriamente encrencado. Vou explicar minha situação para ver se alguém pode me ajudar.
Tenho um servidor firewall/gateway OpenVPN Debian 5 que também é o gateway de sua rede, IP externo: 200.255.255.10, IP interno: 192.168.0.1. Tenho um outro servidor firewall/gateway Debian 5 que faz conexão via OpenVPN com o servidor citado anteriormente. IP externo: 200.255.255.2, IP interno: 192.168.1.1.
Sendo que, atrás do servidor OpenVPN tem algumas máquinas windows e outras atrás do cliente OpenVPN (debian ip: 200.255.255.2). As estações que ficam atrás do cliente OpenVPN precisam acessar as estação que ficam atrás do servidor OpenVPN via WTS. E ainda tem uma máquina Windows XP ligada directamente a internet com ip dinâmico que deve se conectar ao servidor OpenVPN mas acessar um sistema que fica atrás do Debian Cliente OpenVPN. Nossa, que complicado de explicar. Eu realmente preciso de socorro, não sei quais regras do iptables usar para fazer esses mascaramentos. Já tenho toda a estrutura e o Cliente Windows XP que se conecta a servidor OpenVPN, acessas as estações que ficam atrás dele, porém não tenho regra para ele acessar as estações que ficam atrás do Debian Cliente da Openvpn. É isso, posso ter ficado vago em alguma coisa, então posso ta tentando esclarecer! Valeu a atenção.

irado
(usa XUbuntu)

Enviado em 28/07/2010 - 16:33h

a primeira parte não é problemática, uma vez que vc considere que as duas redes vão se comunicar diretamente. As recomendações são:

a) o dispositivo tun0 de AMBAS as máqunas não podem sofrer NAT'amento. As redes se vêem como fossem ambas uma rede só (como quando vc usa bridge).

b) os pacotes - salvo engano - são udp, porta 500. Essa porta/pacotes devem ter livre tráfego ida/volta, não esquecendo de definir o -s do iptables. Cuidado que udp não tem stateful ;)

c) tomar cuidado com ROTAS; isso está bem claro no manual e no site da OpenVPN.

tome as coisas por partes. Quando conseguir comunicar uma rede com outra, daí então vc vai se preocupar com outra coisa.

quando AMBAS as redes estiverem se enxergando uma à outra, avalie o conceito de "road warrior" nos FAQ da OpenVPN, para aplicar com êsse (r)windows meio sôlto.

jocyvan
(usa Ubuntu)

Enviado em 28/07/2010 - 16:57h

Oi brother, já até consegui fazer as 2 redes se comunicarem bastou adicionar "push route ip_filial maskcara" no arquivo de configuração da matriz, e o mesmo na filial. Agora estou com a bronca do Window$ XP, já estou pensando em criar uma segunda interface (tun1) na filial e gerar um certificado só para essa máquina XP acessar a aplicação que roda na filial. O chato é que essa máquina XP acessa aplicação na matriz e na filial. ah! ainda tem mais, depois de criar o túnel da filial com a matriz, logo que conecto o XP na matriz, a filial deixa de enchergar a rede matriz e a matriz deixa de enchergar a rede filial. oO ... alguém conhece alguma solução para integrar essas 3 redes mesmo que não seja via openvpn? para que elas se encherquem de modo transparente?