Pular para o conteúdo
Squid/Iptables em Firewall

Rota no Open Vpn

Responder tópico
  • Denunciar
  • Indicar

1. Rota no Open Vpn

Enviado em 11/10/2011 - 16:09h

Olá Comunidade.

Estou com o seguinte problema e preciso muito que alguém me de uma dica se possível.

tenho 2 servidores linux ambos com OpenVPn.

o principal está como servidor com as seguintes configurações:

eth0: 192.168.1.254
eth1: 192.168.0.254
tun0: 10.0.0.1

o da filial está assim apenas como cliente do openvpn

eth0: 192.168.254.254
eth1: 192.168.1.254
tun0: 10.0.0.38

pelo firewall da filial consigo pingar o da matriz tanto pelo ip 192.168.0.x quanto pelo 10.0.0.x

o que preciso é que os terminais que ficam abaixo do firewall da filial também consigam pingar, sendo que a faixa interna da rede da filial é 192.168.1.x, já tentei mexer em muita coisa e os terminais pingam apenas a interface local tun0 ou seja, pingam 10.0.0.38 sem problemas, só que quero que esta interface jogue os pacotes para frente de modo a atingir o servidor da matriz que é 10.0.0.1 ou 192.168.0.x

Se não for possível terei que instalar o cliente em cada terminal e não gostaria que fosse assim, será que você tem alguma dica para este caso?

Obrigado desde já pela atenção.

Responder tópico

2. Rota no Open Vpn

Enviado em 11/10/2011 - 18:04h

Me add ai, derepenpe posso ajudar!

marcelo@barbacena.com.br

[]'s
Marcelo

3. Re: Rota no Open Vpn

Enviado em 11/10/2011 - 18:46h

Opa Valeu Marcelo, já lhe adicionei.

4. Re: Rota no Open Vpn

Enviado em 11/10/2011 - 18:54h

rio78 escreveu:

Olá Comunidade.

Estou com o seguinte problema e preciso muito que alguém me de uma dica se possível.

tenho 2 servidores linux ambos com OpenVPn.

o principal está como servidor com as seguintes configurações:

eth0: 192.168.1.254
eth1: 192.168.0.254
tun0: 10.0.0.1

o da filial está assim apenas como cliente do openvpn

eth0: 192.168.254.254
eth1: 192.168.1.254
tun0: 10.0.0.38

pelo firewall da filial consigo pingar o da matriz tanto pelo ip 192.168.0.x quanto pelo 10.0.0.x

o que preciso é que os terminais que ficam abaixo do firewall da filial também consigam pingar, sendo que a faixa interna da rede da filial é 192.168.1.x, já tentei mexer em muita coisa e os terminais pingam apenas a interface local tun0 ou seja, pingam 10.0.0.38 sem problemas, só que quero que esta interface jogue os pacotes para frente de modo a atingir o servidor da matriz que é 10.0.0.1 ou 192.168.0.x

Se não for possível terei que instalar o cliente em cada terminal e não gostaria que fosse assim, será que você tem alguma dica para este caso?

Obrigado desde já pela atenção.
Dá um # route -n no FW-Filial e no FW-Principal

Isso é problema de rota e ou permissão.

5. Re: Rota no Open Vpn

Enviado em 11/10/2011 - 19:07h

Então, a rota é adicionada quando meu frw "cliente" se conecta ao servidor "matriz"
no "cliente" pingo para a rede física da matriz e também para o ip do tunel de dentro da matriz, segue o que pediu:

Segue as rotas:


Servidor:



Tabela de Roteamento IP do Kernel

Destino         Roteador        MáscaraGen.    Opções Métrica Ref   Uso Iface

10.0.0.2        0.0.0.0         255.255.255.255 UH    0      0        0 tun0

10.0.0.0        10.0.0.2        255.255.255.0   UG    0      0        0 tun0

192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1

192.168.254.0   0.0.0.0         255.255.255.0   U     0      0        0 eth0

0.0.0.0         192.168.254.250 0.0.0.0         UG    0      0        0 eth0



Filial:





Tabela de Roteamento IP do Kernel

Destino         Roteador        MáscaraGen.    Opções Métrica Ref   Uso Iface

10.0.0.5        0.0.0.0         255.255.255.255 UH    0      0        0 tun0

10.0.0.0        10.0.0.5        255.255.255.0   UG    0      0        0 tun0

192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1

192.168.0.0     10.0.0.5        255.255.255.0   UG    0      0        0 tun0

192.168.254.0   0.0.0.0         255.255.255.0   U     0      0        0 eth0

0.0.0.0         192.168.254.250 0.0.0.0         UG    0      0        0 eth0

Arquivo de configuração do OpenVpn Servidor:

# IP e porta do servidor
port 5000
proto tcp
dev tun
cd /etc/openvpn

# Certificados gerados
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
# Criar no diretorio cdd/cliente a configuracao
# dele - ou uma invalida para trava-lo :)
# client-config-dir ccd

# Rede que os clientes irã"pegar"
server 10.0.0.0 255.255.255.0

# primeira linha abaixo faz a ponte com a rede fisica local
push "route 192.168.0.0 255.255.255.0"

# Neste arquivo serãguardados os IPs dos clientes
# para conectarem com o mesmo IP da proxima vez
ifconfig-pool-persist ipp.txt
client-to-client

# Ative para permitir dois clientes com o mesmo
# certificado - nãrecomendál, c/ ; = nãpermite, s/ = permite
# ;duplicate-cn
duplicate-cn
keepalive 10 120

# Compressã priviléos do cliente
comp-lzo
max-clients 15
user openvpn
group openvpn

# Logs e etc
persist-key
persist-tun
status /var/log/openvpn-status.log
log /var/log/openvpn.log
log-append /var/log/openvpn.log
verb 6

Arquivo de Configuração OpenVpn Filial:

client
dev tun
proto tcp

remote 177.19.xxx.xxx
port 5000
resolv-retry infinite
nobind

persist-key
persist-tun

ca ca.crt
cert doctor.crt
key doctor.key

ns-cert-type server
comp-lzo
verb 3

status /var/log/openvpn-status.log
log /var/log/openvpn.log
log-append /var/log/openvpn.log

6. Re: Rota no Open Vpn

Enviado em 13/10/2011 - 11:07h

No Firewall da Filial voce coloca as regras abaixo

iptables -A FORWARD -i eth1 -s 192.168.1.0/24 -d 192.168.0.0/24 -j ACCEPT
iptalbes -A FORWARD -i tun0 -d 10.0.0.1 -j ACCEPT

7. Re: Rota no Open Vpn

Enviado em 13/10/2011 - 12:10h

Olá Parceiro, obrigado pela resposta.

Infelizmente não deu certo, tentei da forma que passou e não foi, inclusive limpei todo o meu firewall para executar apenas estes direcionamentos e meus terminais embora pingam o meu frw em todos os ips (192.168.254.254, 192.168.1.254, 10.0.0.38) não consigo pingar para a outra ponta da vpn no caso ou 10.0.0.1 ou 192.168.0.1, lembrando que de dentro do meu frw consigo pingar tranquilamente o servidor pelos ips da vpn.

:(

8. Re: Rota no Open Vpn

Enviado em 13/10/2011 - 13:32h

Me chama no msn quando puder...

Responder tópico

Responder tópico

Entre na sua conta para responder.

Fazer login para responder