VPN não acessa a lan [RESOLVIDO]

1. VPN não acessa a lan [RESOLVIDO]

root
rootss

(usa Outra)

Enviado em 27/08/2013 - 14:45h

Boa tarde pessoal, estou com o seguinte problema:
Tenho um servidor CentOS 5.9 rodando o OpenVPN Server, e o cliente é um windows XP instalado o OpenVPN cliente para windows claro. Gerei as chaves no servidor copiei para o cliente e a VPN conecta normalmente tudo ok pinga no ip do túnel 10.0.0.1 server e 10.0.0.6 cliente um pingando no outro normalmente, porém não passa disso, pois não acessa a Lan que é o objetivo da VPN não consigo acessar a rede interna. Também aparece em /var/log/messages "kernel: tun0: Disabled Privacy Extensions", não sei se tem algo haver com o problema. Desde já peço desculpas pela ignorância no assunto e agradeço pela atenção de todos.
Segue abaixo o arquivo de configuração do servidor e cliente:

#server.conf
proto udp # protocolo usando na conexã pode ser udp ou tcp.
port 1194 # porta do serviç pode ser outra porta que estiver aberta para este tipo de comunicaç.
dev tun
ifconfig 10.0.0.1 10.0.0.6
server 10.0.0.0 255.255.255.0 # rede de ip que seráistribuindo para os clientes vpns.
push "route 192.168.1.0 255.255.255.0" #faz com que haja roteamento do ip local para o IP do t
push "dhcp-option DNS 200.192.xx.xxx"
route 10.0.0.0 255.255.255.252 # roteamento do cliente
comp-lzo # éecessáo um software que faça compactaç dos dados que sãpassados na rede.
keepalive 10 120 # o nú 10 é intervalo de ping, 120 é tempo em que a vpn éeiniciada, faz o monitoramento da conexãentre servidor e cliente.
float # serve para IP dinâco, para que o túcontinue aberto mesmo que o IP mude.
ifconfig-pool-persist /etc/openvpn/ipp.txt # énde fica armazenado a lista de IP´s, e a mesma maquina sempre vai ter o mesmo IP.
max-clients 10 # mámo de clientes acessando no mesmo momento.
persist-key # mantéas chaves disponíis, mesmo que o serviçda VPN seja reiniciado.
persist-tun # mantéa interface TUN aberta, mesmo quando a VPN éeiniciada.
log-append /var/log/openvpn.log # local onde estármazenado o log da VPN.
verb 6 # permite gerar logs da operaç, ajuda o administrador a visualizar eventuais erros ou problemas da VPN, entãpossui níis de informaç, qudo 0 ao 11.
tls-server # protocolo TLS para criptografia.
dh /etc/openvpn/Keys/dh1024.pem # caminho da chave que foi criada anteriormente.
ca /etc/openvpn/Keys/ca.crt # caminho da chave que foi criada anteriormente.
cert /etc/openvpn/Keys/vpn.crt # caminho da chave que foi criada anteriormente.
key /etc/openvpn/Keys/vpn.key # caminho da chave que foi criada anteriormente.
tls-auth /etc/openvpn/Keys/chave.key # caminho da chave que foi criada anteriormente.
status /var/log/openvpn.stats # caminho onde o log de status da VPN se encontra.


##cliente.ovpn
dev tun # driver utilizado para a comunicação da interface virtual do cliente.
proto udp # protocolo utilizado para o trafego de pacotes, no qual pode ser udp ou tcp.
remote 200.192.xx.xxx # IP fixo da sua rede, sendo compatível com a da configuração da matriz.
port 1194 # porta por onde haverá a comunicação dos dados.
pull # Significa puxar as configurações do servidor, ou seja, obter os dados para conciliar na conexão.
comp-lzo # software que será utilizado para criptografar os dados, deve ser igual a configuração do servidor.
keepalive 10 120 # 10 Intervalo de pings de comunicação da rede, 120 tempo de resposta da VPN, caso ela seja reiniciada, assim não perderá a comunicação.
float # Para IP´s dinâmico, caso o IP seja mudado o túnel ficará aberto.
tls-client # protocolo TLS que criptografará os dados do cliente até o servidor, para isso foi instalado o software livre OpenSSL que contém este protocolo de criptografia.
persist-tun # Força a interface TUN para que fique aberta, mesmo quando o VPN é reiniciado.
persist-key # Faz com que as chaves fiquem disponíveis, mesmo quando o VPN é reiniciado, facilita na reconexão do VPN.
remote-cert-tls server # Certificado de acesso remoto do cliente ao servidor, utilizando o protocolo TLS, para permitir o acesso do cliente com segurança.
dh keys/dh1024.pem # Chave de segurança que deve está na diretório ‘keys’ na maquina do cliente.
ca keys/ca.crt # Chave de segurança que deve está na diretório ‘keys’ na maquina do cliente.
cert keys/server.crt # Chave de segurança que deve está na diretório ‘keys’ na maquina do cliente.
key keys/server.key # Chave de segurança que deve está na diretório ‘keys’ na maquina do cliente.
tls-auth keys/chave.key # Chave de segurança que deve está na diretório ‘keys’ na maquina do cliente.
route-method exe
route-delay 2




  


2. MELHOR RESPOSTA

Reginaldo de Matias
saitam

(usa Slackware)

Enviado em 27/08/2013 - 17:41h

Como estão as regras do seu Firewall ?

Se possível, poste o script Shell com as regras iptables.

Se o seu firewall for também gateway, além da regra que compartilha conexão fazendo NAT na rede local, deve fazer o mesmo para acesso VPN com LAN.

iptables -t nat -A POSTROUTING -o <interface_internet> -j MASQUERADE

iptables -t nat -A POSTROUTING -o <interface_vpn> -j MASQUERADE

Assim, que acessar VPN terá acesso a LAN.

3. Re: VPN não acessa a lan [RESOLVIDO]

Bruna Pierri
brunarega

(usa Slackware)

Enviado em 27/08/2013 - 18:16h

push "route 192.168.1.0 255.255.255.0"

este parâmetro esta incompleto. Da uma olhada nesse artigo, acredito que tem coisa desnecessária neste arquivo.
http://www.vivaolinux.com.br/artigo/Parametros-de-configuracao-de-VPN/


4. Re: VPN não acessa a lan [RESOLVIDO]

root
rootss

(usa Outra)

Enviado em 05/09/2013 - 19:17h

saitam escreveu:

Como estão as regras do seu Firewall ?

Se possível, poste o script Shell com as regras iptables.

Se o seu firewall for também gateway, além da regra que compartilha conexão fazendo NAT na rede local, deve fazer o mesmo para acesso VPN com LAN.

iptables -t nat -A POSTROUTING -o <interface_internet> -j MASQUERADE

iptables -t nat -A POSTROUTING -o <interface_vpn> -j MASQUERADE

Assim, que acessar VPN terá acesso a LAN.



Realmente eram só essas regras que estavam faltando, adicionei elas no firewall e funcionou perfeitamente.
Obrigado pela dica!



5. Re: VPN não acessa a lan [RESOLVIDO]

root
rootss

(usa Outra)

Enviado em 05/09/2013 - 19:18h

brunarega escreveu:

push "route 192.168.1.0 255.255.255.0"

este parâmetro esta incompleto. Da uma olhada nesse artigo, acredito que tem coisa desnecessária neste arquivo.
http://www.vivaolinux.com.br/artigo/Parametros-de-configuracao-de-VPN/


Obrigado pelo Link cara foi muito útil. Com ele entendi melhor algumas confs do OpenVPN!