OPENVPN - Dúvida ?

le-unix
(usa Debian)

Enviado em 15/09/2007 - 00:18h

Olá pessoal preciso de ajuda, com um problema que estou tendo com a minha VPN.

Tenho duas redes assim:
Matriz : 192.168.1.x
Filial : 192.168.2.X

Criei a vpn com e na Matriz criei o ip virtual
que ficou assim 10.0.0.1

E na filial o ip virtual assim 10.0.0.2

Pingo de uma rede para outra normal, só que de servidor(matriz) para servidor (filial).

Estou na matriz e :
Exemplo: ping 10.0.0.2 (ip da filial)
Responde normal.


E quando pingo da filial para matriz 10.0.0.1 (ip matriz).

Resumo : De servidor para servidor pinga normal, o problema é que:

Estou na rede da matriz(em qualquer micro) e dou um ping no ip filial (de qualquer micro de lá)
Era para responder.

O que está acontecendo , pois não estou conseguindo ver os micros da filial e da matriz como se fosse uma rede só!

Nem ping não aceita !!!1

Aguardo retorno!
Anciosamente !

Leandro

sdrconsulting
(usa CentOS)

Enviado em 15/09/2007 - 01:04h

Ola,

Amigão, voce não tem resposta dos pings porque seu firewall esta mascarando a conexão e isso não pode ocorrer com uso de VPN.

Teoria: Ao estabelecer uma conexão de VPN estamos criando um túnel virtual entre dois pontos distintos, todo o trafego desse túnel deve ser tratado com regras de INPUT e FORWARD, não utilize regras de PREROUTING e POSTROUTING.

Exemplo de regra para o ICMP (PING):

# MATRIZ
iptables -A INPUT -s MATRIZ -d FILIAL -p icmp --icmp-type 8/0 -j ACCEPT
iptables -A FORWARD -s MATRIZ -d FILIAL -p icmp --icmp-type 8/0 -j ACCEPT

# FILIAL
iptables -A INPUT -s FILIAL -d MATRIZ -p icmp --icmp-type 8/0 -j ACCEPT
iptables -A FORWARD -s FILIAL -d MATRIZ -p icmp --icmp-type 8/0 -j ACCEPT

# DEMAIS LOCAIS
iptables -A INPUT -s 0/0 -d 0/0 -p icmp --icmp-type 8/0 -j ACCEPT
iptables -A FORWARD -s 0/0 -d 0/0 -p icmp --icmp-type 8/0 -j ACCEPT
iptables -t nat -A POSTROUTING -s 0/0 -d 0/0 -p icmp --icmp-type 8/0 -o eth0 -j MASQUERADE.

Entendeu o conceito.

Abs.

le-unix
(usa Debian)

Enviado em 15/09/2007 - 08:09h

Eu tenho que carregar isto, no firewall ou tenho que executar estes comando na linha de comando do linux?

Se tenho que carregar no firewall devo carregar ele no arquivo de configuração do firewall para ele carregar na inicialização

O que voce colocou na matriz , eu coloco no arquivo de configuração de firewall

E da filial a mesma coisa é isto ?

Aí já começara a funcionar ?


Obrigado

Leandro

sdrconsulting
(usa CentOS)

Enviado em 15/09/2007 - 09:09h

Voce tem que incorporar as regras nos firewalls da matriz e filial. Ok

scsidney
(usa Slackware)

Enviado em 15/09/2007 - 09:39h

Cara,

Posta o resultado do comando "route -n"

Vamos analisar as rotas pode ser problema de rota só.

Sidney

le-unix
(usa Debian)

Enviado em 15/09/2007 - 21:14h

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.0.0.1 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 192.168.2.1 0.0.0.0 UG 0 0 0 eth0

le-unix
(usa Debian)

Enviado em 15/09/2007 - 21:16h

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.0.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 192.168.1.115 0.0.0.0 UG 1 0 0 eth0

le-unix
(usa Debian)

Enviado em 16/09/2007 - 01:21h

Destination Gateway Genmask Flags Metric Ref Use Iface
10.0.0.2 0.0.0.0 255.255.255.0 UH 0 0 0 tun0
192.168.2.0 10.0.0.2 255.255.255.0 UH 0 0 0 tun0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 192.168.1.115 0.0.0.0 UG 1 0 0 eth0

le-unix
(usa Debian)

Enviado em 16/09/2007 - 01:23h

Destination Gateway Genmask Flags Metric Ref Use Iface
10.0.0.1 0.0.0.0 255.255.255.0 UH 0 0 0 tun0
192.168.1.0 10.0.0.1 255.255.255.0 UH 0 0 0 tun0
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 192.168.2.1 0.0.0.0 UG 1 0 0 eth0

le-unix
(usa Debian)

Enviado em 16/09/2007 - 01:25h

no ubuntu server coloquei /etc/init.d/
e no slack 11 /etc/rc.d/
executei o comando :

iptables -L
e o firewall acusa que não está ativo ?

le-unix
(usa Debian)

Enviado em 16/09/2007 - 01:59h

# MATRIZ
iptables -A INPUT -s 10.0.0.1 -d 10.0.0.2 -p icmp --icmp-type 8/0 -j ACCEPT

Seria eu usar o ip do tun0 ou ip interno 192.168.... ???

Aguardo

tiagonux
(usa FreeBSD)

Enviado em 16/09/2007 - 14:40h

Olá

Seguinte, verifique tudo que os amigos acima disseram mas veja o seguinte":

Se vc estiver mascarando a saida, lembre de fazer uma execessão para a rede da outra ponta em cada server firewall.

Tipo:

iptables -t nat -A POSTROUTING -o eth0(InterfacedeSaida) -s $suaredeinterna -d ! 192.168.10.0/24 (A rede da outra filial) -m state --state NEW,ESTABLISHED,RELATE -j MASQUERADE

Até mais.