vpn entre matriz-filial [RESOLVIDO]

renato_pacheco
(usa Debian)

Enviado em 11/05/2012 - 14:44h

ponto-a-ponto - interliga apenas 2 máquinas d forma direta.

site-a-site - interliga duas redes LAN distintas.

thiagojrchaves
(usa Ubuntu)

Enviado em 11/05/2012 - 15:00h

A estrutura da rede está da seguinte forma: http://img813.imageshack.us/img813/8114/esquema.png

As configurações de rota são as seguintes:

[Matriz]
Digitei os comandos no servidor:
> echo 1 > /proc/sys/net/ipv4/ip_forward
> iptables -t nat -s 10.0.0.2 -A POSTROUTING -o eth0
> route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.0.0.2 dev tun0

Coloquei no modem(gateway):
Destino: 192.168.1.0
Máscara: 255.255.255.0
Gateway: 192.168.0.103


[Filial]
Digitei os comandos no servidor:
> echo 1 > /proc/sys/net/ipv4/ip_forward
> iptables -t nat -s 10.0.0.1 -A POSTROUTING -o eth1
> route add -net 192.168.0.0 netmask 255.255.255.0 gw 10.0.0.1 dev tun0

Coloquei no modem(gateway):
Destino: 192.168.0.0
Máscara: 255.255.255.0
Gateway: 192.168.1.103


Lembrando que:
Do jeito que está essa configuração, os desktops da matriz conseguem pingar os desktops e o servidor da filial, e vive-versa. O problema é que os servidores, tanto da matriz como da filial, não conseguem pingar os outros desktops. Tipo... o servidor da matriz consegue pingar o servidor da filial, mas não consegue pingar os outros desktops da filial.

Os modems estão em modo router. Eles que fazem a ligação(discam) com a internet.
Os firewalls foram desativados para realizar testes.

renato_pacheco
(usa Debian)

Enviado em 11/05/2012 - 15:19h

Ok... faltou as rotas d cada servidor VPN. Veja com o comando route -n.

thiagojrchaves
(usa Ubuntu)

Enviado em 11/05/2012 - 15:29h

Na matriz:
> route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.0.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.1.0 10.0.0.2 255.255.255.0 UG 0 0 0 tun0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0
0.0.0.0 192.168.0.1 0.0.0.0 UG 0 0 0 eth0

Na filial:
> route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.0.0.1 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
192.168.0.0 10.0.0.1 255.255.255.0 UG 0 0 0 tun0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth1
0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 eth1

Desculpe pelo resultado sair assim. Tentei editar para organizar, mas só fica assim, tudo colado.

renato_pacheco
(usa Debian)

Enviado em 11/05/2012 - 16:07h

Faça outro teste. Use o traceroute do seu servidor VPN para um dos desktops. Realize-o nos dois servidores e poste o resultado aki. Se quiser colocar saída d comando pra ficar mais organizado o post, use as tags "["code"]" (sem as aspas). Ex.:

comando 1

comando2

...

 

thiagojrchaves
(usa Ubuntu)

Enviado em 11/05/2012 - 16:19h

Servidor da filial pingando um desktop da matriz:

> traceroute 192.168.0.113

traceroute to 192.168.0.113 (192.168.0.113), 30 hops max, 40 byte packets

 1  10.0.0.1 (10.0.0.1)  73.330 ms * 10.0.0.1 (10.0.0.1)  78.235 ms

 2  * * *

 3  * * *

 4  * * *

 5  * * *

 6  * * *

 7  * * *

 8  * * *

 9  * * *

10  * * *

11  * * *

12  * * *

13  * * *

14  * * *

15  * * *

16  * * *

17  * * *

18  * * *

19  * * *

20  * * *

21  * * *

22  * * *

23  * * *

24  * * *

25  * * *

26  * * *

27  * * *

28  * * *

29  * * *

30  * * *

 

Lembrando que o servidor só consegue pingar o outro servidor. Não consegue pingar os desktops

renato_pacheco
(usa Debian)

Enviado em 11/05/2012 - 16:27h

Nos servidores, tente digitar o comando:

iptables -t nat -s 10.0.0.0/24 -A POSTROUTING -o eth1 -j MASQUERADE

 

thiagojrchaves
(usa Ubuntu)

Enviado em 11/05/2012 - 16:34h

Continua pingando o outro servidor, mas não pinga os desktops

renato_pacheco
(usa Debian)

Enviado em 11/05/2012 - 16:38h

Desculpe, errei o comando. O certo é:

iptables -t nat -s 10.0.0.0/24 -A POSTROUTING -j MASQUERADE

 

Não se esqueça d limpar a tabela antes d inserir a nova regra.

thiagojrchaves
(usa Ubuntu)

Enviado em 11/05/2012 - 16:48h

Nada. A rede continuou com o mesmo comportamento.

renato_pacheco
(usa Debian)

Enviado em 11/05/2012 - 16:55h

Hum... outro teste. Pegue um dos desktop e faça o tracert pro desktop da outra rede VPN. Poste o resultado aki.

thiagojrchaves
(usa Ubuntu)

Enviado em 11/05/2012 - 17:07h

Pegou!!! Eu dei uma reiniciada nos servidores e, ao invés de adicionar "iptables -t nat -s 10.0.0.1 -A POSTROUTING -o eth1" como estava fazendo antes, adicionei a regra que você me informou. Será que o problema era o "-j MASQUERADE"?

Valeu mesmo pela ajuda e atenção. :)