OpenVPN Derruba Rede interna [RESOLVIDO]

feliperossi
(usa Debian)

Enviado em 11/10/2009 - 20:26h

Boa Noite.

Estou tendo um problema em relacao a rotas com OpenVPN. esta funcionando ok, os clientes windows conectan-se normalmente, os servidores linux tambem, mas o problema esta com servidor openvpn. O mesmo esta como firewall/squid e OpenVPN, quando starto o servico VPN a rede interna da empresa cai, nao acessa mais a internet, quando paro o servico VPN a rede volta a funcionar normalmente. Fiz alguns testes e verifiquei que e um problema de rotas, mas nao consegui resolver o mesmo. Acho que nao estou conseguindo estabelecer as rotas corretas.
Interfaces

EXT=200.103.x.x
INT=130.0.x.x


Este servidor esta com a Distro Debian Lenny.


Gostaria de uma ajuda em relacao a meu problema.
Fico grato desde ja pela ajuda.

Segue o meu arquivo de configuracao.

#Porta de Comunicacao.
port 1194

#Protocolo Usado
;proto tcp
proto udp

#Tipo de Dispositivo Usado.
;dev tap0
dev tun

#Especificando os Cerficados
ca ca.crt
cert server.crt
key server.key # Este arquivo e secreto

#Certificado Diffie Hellman
dh dh1024.pem

#IP Usando para as conexoes.
server 10.1.1.0 255.255.255.0

#Arquivo de Controle das conexoes.
ifconfig-pool-persist ipp.txt

#Rota que sera enviada para o cliente.
push "route 130.0.0.0 255.255.255.0"

#Rota que sera usada para o servidor chegar ate o cliente.
client-config-dir ccd
route 130.0.0.0 255.255.255.0

#Permitir que os clientes se comuniquem via Servidor. Por padrao os clientes
#enchergar apenas o servidor
client-to-client

#Tempo de Vida. Ping de 10 em 10 Segundos, sendo um ping valido por 120 seg.
keepalive 10 120

#Habilitando o suporte a SSL/TLS
;tls-auth ta.key 0

#Habilitar compressao
comp-lzo

#Definindo Numero Maximo de Clientes
max-clients 10

#Definindo usuario e grupos.
;user nobody
;group nobody

#Opcao usado para reestabelecer conexao, caso fique
#muito tempo com inatividade
persist-key
persist-tun

#Gerando log do OpenVPN
log /var/log/openvpn.log
;log-append /var/log/openvpn.log

ToRTuRe
(usa Debian)

Enviado em 11/10/2009 - 22:41h

no meu caso criei um arquivo a parte para criar a rota para meu server enxergar o cliente e vice-versa

no servidor vpn da matriz usando o iptables: IPTABLES -A FORWARD -p udp -i tun0 -s 130.0.x.x -d rede interna filial -j ACCEPT
no servidor vpn da matriz usando o route: route add -net ip da rede int da filial netmask 255.255.255.0 gw ip da filial na vpn

no servidor vpn da filial usando iptables: IPTABLES -A FORWARD -p udp -i tun0 -s rede interna filial -d 130.0.x.x -j ACCEPT
no servidor vpn da filial usando o route: route add -net ip da rede int da matriz netmask 255.255.255.0 gw ip da matriz na vpn

feliperossi
(usa Debian)

Enviado em 12/10/2009 - 15:34h

ok ate ai tudo bem.

mas pq minha rede interna nao acessa mais a net qdo starto o servico OpenVPN.
parece um problema de rotas.....
que nao consegui descobrir ainda.

ToRTuRe
(usa Debian)

Enviado em 13/10/2009 - 09:13h

use ifconfig no open.conf para determinar o ip da flial exemplo

conf da matriz
Servidor Filial
ifconfig 192.168.0.1 192.168.0.2

Conf da filial
Filial Servidor
ifconfig 192.168.0.2 192.168.0.1

no servidor vpn da matriz usando o iptables: IPTABLES -A FORWARD -p udp -i tun0 -s 130.0.x.x -d rede interna filial -j ACCEPT
no servidor vpn da matriz usando o route: route add -net ip da rede int da filial netmask 255.255.255.0 gw 192.168.0.2

no servidor vpn da filial usando iptables: IPTABLES -A FORWARD -p udp -i tun0 -s rede interna filial -d 130.0.x.x -j ACCEPT
no servidor vpn da filial usando o route: route add -net 130.0.x.x netmask 255.255.255.0 gw 192.168.0.1

e comente essas linhas

#IP Usando para as conexoes.
server 10.1.1.0 255.255.255.0

#Arquivo de Controle das conexoes.
ifconfig-pool-persist ipp.txt

#Rota que sera enviada para o cliente.
push "route 130.0.0.0 255.255.255.0"

#Rota que sera usada para o servidor chegar ate o cliente.
client-config-dir ccd
route 130.0.0.0 255.255.255.0

#Permitir que os clientes se comuniquem via Servidor. Por padrao os clientes
#enchergar apenas o servidor
client-to-client

teste agora

magnolinux
(usa Debian)

Enviado em 13/10/2009 - 09:45h

inicia a vpn e posta a tabela de roteamento aqui...

route -n

quando vc inicia a vpn, deve estar criando uma rota para acesso a internet...

flw..

feliperossi
(usa Debian)

Enviado em 13/10/2009 - 13:58h

segue as rotas.

essa e a rota padrao sem a vpn

200.x.x.x 0.0.0.0 255.255.255.248 U 0 0 0 eth0
130.0.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
0.0.0.0 200.x.x.x 0.0.0.0 UG 0 0 0 eth0

servidor matriz.
rotas com OpenVPN startado.

10.1.1.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
200.x.x.x 0.0.0.0 255.255.255.248 U 0 0 0 eth0
10.1.1.0 10.1.1.2 255.255.255.0 UG 0 0 0 tun0
130.0.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
130.0.0.0 10.1.1.2 255.255.255.0 UG 0 0 0 tun0
0.0.0.0 200.x.x.x 0.0.0.0 UG 0 0 0 eth0

magnolinux
(usa Debian)

Enviado em 13/10/2009 - 14:46h

A rota da internet continua ok. O que vc pode fazer é começar a tirar algumas configurações do arquivo do openvpn, que nao são essenciais.. Pode começar comentando essas duas

#Rota que sera usada para o servidor chegar ate o cliente.
#client-config-dir ccd
#route 130.0.0.0 255.255.255.0

rota o openvpn, faz o teste de acesso a internet e cria as rotas para a filial na mao.

flw.

feliperossi
(usa Debian)

Enviado em 13/10/2009 - 17:02h

Ok amigo agora funcionou blz.

nao precisou nem estabelecer rota para acessar a rede interna da empresa.
inclusive o openvpn GUI funcionou blz.

vlw amigo.
Muito Obrigado.

luan.crepaldi
(usa Ubuntu)

Enviado em 26/01/2010 - 16:58h

Pessoal me a juda por favor
Montei uma aqui na empresa, esta funcionando redondo, pingo a matriz, pingo a filial peleza
a rede interna do servidor na matriz esta em 192.168.0.190 e o ip da VPN é 10.0.0.1 e a da filial esta em 193.168.1.199 e da VPN é 10.0.0.2, estão pingando legal tanto o Ip da VPN quando o da rede local com as rotas

O problema é que naum consigo abrir o compartilhamento da matriz e nem da filial, se eu fizer assim \\192.168.0.190\teste (teste é um diretorio no linux compartilhado pelo samba e abre na rede local por qualquer maquina), aparece o erro de não localizado.

Arquivo da filial
dev tun
remote 189.20.212.122
ifconfig 10.0.0.2 10.0.0.1
proto udp
port 22222
secret static.key
keepalive 10 120
persist-tun
persist-key
float
verb 3
route add 192.168.0.0 MASK 255.255.255.0 10.0.0.1 metric 2 if tun0

arquivo do servidor
dev tun
ifconfig 10.0.0.1 10.0.0.2
proto udp
port 22222
secret static.key
keepalive 10 120
persist-tun
persist-key
float
verb 3
status /var/log/openvpn/server-status.log
log-append /var/log/openvpn/server.log
#up /etc/openvpn/./rotas.up
#down /etc/openvpn/./rotas.dow

o meu iptables esta assim
Chain INPUT (policy ACCEPT)
target port opt source destination

Chain INPUT (policy ACCEPT)
target port opt source destination

Chain INPUT (policy ACCEPT)
target port opt source destination

Quando conecto na vpn a internet tambem cai na filial
O que pode ser ?
Você tem ideia ?
Obrigado