vpn entre matriz-filial [RESOLVIDO]

thiagojrchaves
(usa Ubuntu)

Enviado em 08/07/2011 - 17:15h

Olá pessoal,

Estou montando uma VPN entre uma matriz e uma filial. A infraestrutura da rede está descrito nesse desenho: http://img813.imageshack.us/img813/8114/esquema.png
Segui o tutorial http://www.vivaolinux.com.br/artigo/VPN-em-Linux-com-OpenVPN/?pagina=1
Quando fui testar a comunicação entre a matriz e a filial, somente os servidores conseguiram se comunicar

Problema: O que preciso fazer para que todos os computadores(pcs e servidor) da matriz se comuniquem com a todos os computadores(pcs e servidores) da filial, e vice-versa?

Só lembrando que:
- são os modens que fazem a ligação(discam) com a internet. No caso, está em modo router
- todos os firewalls(servidores e pcs) foram desligados para o teste

Estou achando que preciso configurar algo no modem

Alguém poderia me ajudar?


Agradecendo desde já pela atenção,
Thiago Chaves

renato_pacheco
(usa Debian)

Enviado em 08/07/2011 - 17:30h

Os artigos q tratam sobre openVPN, em sua maioria, só mostram como configura no modo ponto-a-ponto. Pra vc fazer com q todos enxerguem todos, vc deve configurá-lo no modo site-a-site, com a interface tap0, tap1 etc., e não com a tun0 (ponto-a-ponto). Outra forma tb é fazer com q as VPN's fiquem na ponta da rota (junto com o roteador). Dae é só mencionar o gateway nas configs q ele vai reconhecer (pq o roteador possuirá as tabelas d rota).

thiagojrchaves
(usa Ubuntu)

Enviado em 08/07/2011 - 17:46h

Eu li aqui mesmo no VOL uns 3 artigos praticamente idênticos usando tun. Neles diziam que era possível a comunicação entre os computadores da matriz com os computadores da filial. E pelos comentários do pessoal nos artigos, parece que realmente funcionaram para eles. Acho que funcionou com as outras pessoas porque o servidor vpn delas é o mesmo servidor que conecta(disca) com a internet.
Bom... se for para eu usar tap, é tranquilo, mas se for pra modificar a infraestrutura da rede, vai ficar complicado porque a filial fica uns 100km da matriz.
Eu acredito que com um esquema de roteamento dá pra conseguir, pois quando coloquei o comando iptables -t nat -s 10.0.0.2 -A POSTROUTING -o eth0 -j MASQUERADE no servidor da matriz, o servidor da filial conseguiu pingar todos os computadores da matriz.

fs.schmidt
(usa CentOS)

Enviado em 08/07/2011 - 17:59h

Olá amigo, veja se esse tutorial ajuda: http://www.vivaolinux.com.br/artigo/Criando-VPN-sitetosite-conectando-diversas-filiais-a-matriz-com-...

Você criou as rotas para a rede da outra ponta em cada servidor? Você terá que habilitar o encaminhamento de pacotes no servidor, mas nada de maquerade...ele irá "esconder" os ips do clientes.......somente o encaminhamento de pacotes resolve.

fs.schmidt
(usa CentOS)

Enviado em 08/07/2011 - 18:00h

obs.: quem é o gateway default das estações, o modem?

thiagojrchaves
(usa Ubuntu)

Enviado em 08/07/2011 - 18:05h

Olá fs.schmidt

Esse seu artigo foi um dos que eu li para fazer a VPN :)
Os gateway são os modens(192.168.0.1 e 192.168.1.1)
Como devo fazer a configuração?

fs.schmidt
(usa CentOS)

Enviado em 08/07/2011 - 18:32h

Certo, se os modens são os gateways, voce deve criar a rota para a rede da outra ponta apontando para o ip do seu servidor vpn !

exemplo na matriz, rota para a rede 192.168.1.x apontando para o servidor 192.168.0.3

thiagojrchaves
(usa Ubuntu)

Enviado em 08/07/2011 - 20:46h

Fala fs.schmidt ,

Consegui fazer as redes se comunicarem :)
Obrigado pela dica do gateway. Eu tinha quase certeza que era algo no modem(gateway) :P

Fiz o seguinte:

[Matriz]
Digitei os comandos no servidor VPN:
> echo 1 > /proc/sys/net/ipv4/ip_forward
> iptables -t nat -s 10.0.0.2 -A POSTROUTING -o eth0 -j MASQUERADE
> route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.0.0.2 dev tun0

Coloquei no modem(gateway):
Destino: 192.168.1.0
Máscara: 255.255.255.0
Gateway: 192.168.0.103


[Filial]
Digitei os comandos no servidor VPN:
> echo 1 > /proc/sys/net/ipv4/ip_forward
> iptables -t nat -s 10.0.0.1 -A POSTROUTING -o eth1 -j MASQUERADE
> route add -net 192.168.0.0 netmask 255.255.255.0 gw 10.0.0.1 dev tun0

Coloquei no modem(gateway):
Destino: 192.168.0.0
Máscara: 255.255.255.0
Gateway: 192.168.1.103


Muito obrigado pela ajuda. Agora sim posso dormir :)

fs.schmidt
(usa CentOS)

Enviado em 08/07/2011 - 22:53h

Perfeito amigo ! Essa á vida de TI..rsrs

ALERTA: Você não precisa e não deve usar o maquerade como colocou nas regras, somente habilite o encaminhamento de pacotes ok? Pode excluir a regra do masquerade e verás que o roteamento continua sendo feito, desta forma você está ocultando o ip das estações do outro lado....

thiagojrchaves
(usa Ubuntu)

Enviado em 11/05/2012 - 12:08h

Pessoal, preciso da ajuda novamente. Para vocês que sabem Linux deve ser fácil, mas eu já quebrei bastante a cabeça e não consegui resolver.

Seguinte... Os desktops da matriz consegue pingar os desktops e o servidor da filial, e vive-versa. O problema é que os servidores, tanto da matriz como da filial, não conseguem pingar os outros desktops. Tipo... o servidor da matriz consegue pingar o servidor da filial, mas não consegue pingar os outros desktops da filial.

OBS: A estrutura da rede e as configurações(tanto dos servidores quanto dos modem´s) descrita no decorrer das mensagens continuam iguais.

Fico no aguardo.

renato_pacheco
(usa Debian)

Enviado em 11/05/2012 - 13:25h

Problema d rota! Explique como está estruturada a sua rede a outra rede pra entendermos o esquema. Não deixe nenhum detalhe passar batido, pois será importante na criação da rota. Ah! Mostre a rota das duas pontas do VPN.

removido
(usa Nenhuma)

Enviado em 11/05/2012 - 14:34h

Qual a diferença da vpn ponto-a-ponto e site-a-site ?

obrigado