CLIENTEVPN CONECTA COM O SERVIDOR MAS, NÃO ACESSA MICROS DA REDE INTERNA [RESOLVIDO]

italo777
(usa CentOS)

Enviado em 02/07/2012 - 17:56h

Boa noite caros amigos do VOL
estou com um probleminha aqui ja está com algum tempo.
A situação é a seguinte.
Criei um servidor vpn usando o openvpn no sistema operacional debian6-squeeze e está funcionando direitinho (pelo menos aparentemente).

o meu cliente (Windows xp) se conecta normalmente a vpn e acessa todos os recursos do servidor, porém o cliente não acessa os micros da rede interna nem pinga quando tento acessar o servidor e seus recursos ele funciona normal...

Percebi que tanto nos logs do servidor quanto nos logs do cliente aparece a seguinte mensagem:


Jul 2 16:11:09 vpnserver ovpn-server[1287]: NOTE: OpenVPN 2.1 requires '--script-security 2'
or higher to call user-defined scripts or executables

tentei executar o comando mencionado na mensagem mas não funcionou de forma alguma. conto com a ajuda de vcs!!

ficarei no aguardo.

magnopeem_rj
(usa Ubuntu)

Enviado em 15/09/2012 - 23:35h

ja funciono???

italo777
(usa CentOS)

Enviado em 17/09/2012 - 10:35h

ainda não amigo... sempre da esse erro.

italo777
(usa CentOS)

Enviado em 17/09/2012 - 10:35h

eu ficaria muito grato se vc me ajudasse a colocar essa vpn para funcionar.

magnopeem_rj
(usa Ubuntu)

Enviado em 17/09/2012 - 10:42h

Caro colaborador bom dia..

pelo o que entendi no seu caso o problema e rota faz o seguinte.

cria um script que vai fazer essa ou efetuar outra transicao, como e debian faz assim.

touch /etc/init.d/roteamento

chmod +x /etc/init.d/roteamento

vi /etc/init.d/roteamento

e cola isso la dentro.

#!/bin/bash


iniciar(){


#Modulos
modprobe ip_tables
modprobe iptable_nat
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
echo "Modulos carregados!"


# Limpando as tabelas


iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -A FORWARD -j LOG
echo "Tabelas Limpas"


# Politica de Acesso
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT


iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
echo "Politicas Aplicadas"


##### regras da vpn######


echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -P FORWARD ACCEPT
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -A FORWARD -i tun0 -o tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT
iptables -A INPUT -p tcp --dport 1194 -j ACCEPT
iptables -A INPUT -p udp --dport 1194 -j ACCEPT
iptables -I INPUT -i tun+ -j ACCEPT
iptables -I OUTPUT -o tun+ -j ACCEPT
iptables -I FORWARD -i tun+ -j ACCEPT
iptables -I FORWARD -o tun+ -j ACCEPT
echo "Rede VPN ativada"


###########################


}


parar(){
iptables -F
iptables -t nat -F
echo "Regras de firewall e compartilhamento desativados"
}


case "$1" in
"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar ;;
*) echo "Use os parâtros start ou stop"
esac


########################### fim do arquivo ############################

e depois

update-rc.d roteamento defaults

/etc/init.d/roteamento start

italo777
(usa CentOS)

Enviado em 17/09/2012 - 10:54h

amigo nesse caso eu ja possuo um script de firewall que compartilha a internet e manda as requisições da porta 80 para a porta 3128 (squid)...
tem algum problemas se eu deixar dois scripts rodando ao mesmo tempo? (para a vpn funcionar vou ter que adicionar alguma regra no squid?)
vc poderia me informar quais regras seriam essam essas?

magnopeem_rj
(usa Ubuntu)

Enviado em 17/09/2012 - 10:58h

ae nesse caso voce so pega o que vai te servir , no script acima nao tem nada de mais so compartilha e libera o drive tun da vpn .

iptables -P FORWARD ACCEPT
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -A FORWARD -i tun0 -o tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT
iptables -A INPUT -p tcp --dport 1194 -j ACCEPT
iptables -A INPUT -p udp --dport 1194 -j ACCEPT
iptables -I INPUT -i tun+ -j ACCEPT
iptables -I OUTPUT -o tun+ -j ACCEPT
iptables -I FORWARD -i tun+ -j ACCEPT
iptables -I FORWARD -o tun+ -j ACCEPT
echo "Rede VPN ativada"

italo777
(usa CentOS)

Enviado em 17/09/2012 - 11:02h

então nesse caso eu preciso apenas adicionar as regras acima ao script de firewall que eu já possuo?
e quanto ao squid? vou ter que liberar algo?
lembrando que aqui eu possuo um sistemas de controle de acesso por mac e ip.


Muito obrigado pela atenção.

att
Italo Cavalcante.

magnopeem_rj
(usa Ubuntu)

Enviado em 17/09/2012 - 11:06h

neste caso a principio nao posso ser leviado pois nao tenho como le informa devido eu nao saber como esta sua infra mais a principio nao precisa pois a porta de uso so precisa liberar no modem ou roteador que voce esta usando para acesso a internet pois pelo o que voce falo ja esta liberado devido a voce ter acesso ao servidor ..

italo777
(usa CentOS)

Enviado em 17/09/2012 - 11:16h

entendo perfeitamente meu amigo mas vou te explicar como está a minha infra;

tenho um servidor debian 6 squeeze com duas placas de rede (eth0,eth0) o modem esta no modo bridge e estou usando o pppoe no servidor ou seja, além das interfaces eth0,eth1 e lopback eu possuo tbm a interface ppp0.

de forma resumida quem faz todo o gerenciamento da rede é o próprio servidor onde eu preciso instalar a vpn.
quanto a questão da porta da vpn (udp.1194) já está liberado porém estou na duvida se o squid pode atrapalhar em algo, tanto mais pq o proxy é transparente e possui um contyrole de acesso por mac e ip como mencionei anteriormente.

assim que eu finalizar a configuração da vpn eu vou postar o arquivo de configuração da mesma.

mais uma vez eu te agradeço muito pela sua atenção. Obrigado.

att
Italo Cavalcante

magnopeem_rj
(usa Ubuntu)

Enviado em 17/09/2012 - 11:29h

faz o seguinte me envia todas seus arquivos de configuracoes proxy squid dhcp etc para eu analizar e poder te ajudar mais..

email: [email protected]

italo777
(usa CentOS)

Enviado em 17/09/2012 - 11:32h

ta certo. muito obrigado