Roteamento VPN [RESOLVIDO]

donabuba
(usa Fedora)

Enviado em 22/01/2010 - 15:26h

Boa tarde.

Estou montando uma estrutura VPN com uma matriz e uma filial, inicialmente.
A filial pinga todas as interfaces de rede da matriz, e tambem todas as redes internas da matriz tambem.
OU seja, o roteamento na matriz está funcionando perfeitamente.

O problema é a outra ponta.
Quando a matriz tenta pingar a filial, o faz somente na interface tun0. Mas não no resto das interfaces da filial. E mesmo conseguindo pingar na interface tun0 da filial, eu recebo uma mensagem de erro ao tentar adicionar uma rota usando essa interface.

[root@servidor ~]# route add -net 192.168.33.0/24 gw 10.83.2.6 dev tun0
SIOCADDRT: A rede está fora de alcance

Não sei mais o que fazer. É estranho um ping obter sucesso na ida e não conseguir na direção contrária.

Alguem tem alguma duvida ou macete para resolver esse problema?

sergito
(usa Debian)

Enviado em 23/01/2010 - 10:49h

se o pacote vai e não volta, quer dizer que ele não tem rota para o retorno no host destino..

na configuração da vpn da "filial" vc tem que add uma rota para ele saber que caminho a seguir e qual interface..

[]'s sergito
blog: http://www.layer8howto.net

donabuba
(usa Fedora)

Enviado em 25/01/2010 - 10:56h

Como eu disse, quando eu tento adicionar uma rota na filia, ele dá esse erro:

route add -net 192.168.33.0/24 gw 10.83.2.6
SIOCADDRT: A rede está fora de alcance

Ele não reconhece a outra ponta do tunel quando eu tento adicionar a rota, mas ele pinga, acessa por ssh e a porra toda. Só nao deixa adicionar como gateway.

donabuba
(usa Fedora)

Enviado em 26/01/2010 - 14:35h

Adicione a opção "client-config-dir ccd" e crie um diretório chamado ccd/ dentro do /etc/openvpn, e nele insira arquivos lojaxxx, e insira nele a rota para a rede interna da mesma, no estilo iroute 192.168.xxx.0 255.255.255.0.

Encontrei apenas um tutorial que explicasse corretamente o emprego dessa opção.
Funcionou que foi uma beleza.

Agora todas as maquinas dentro da rede local das filiais enxergam o servidor com o ip da rede interna, sem a necessidade de NAT ou outros Dirty Tricks.