OpenVpn - Rotas [Resolvido]

Iniciado por Leandr0, 21 de Dezembro de 2010, 23:55

tópico anterior - próximo tópico

Leandr0

Segue configuracoes do serve.conf (matriz)


proto udp
port 5200
dev tun
server 20.0.0.0 255.255.255.0
push "route 172.18.20.0 255.255.255.0"
comp-lzo
keepalive 10 120
persist-key
persist-tun
float
tls-server
dh /etc/openvpn/keys/dh1024.pem
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/servidor.crt
key /etc/openvpn/keys/servidor.key

Interface matriz
#Placa de rede internet
auto eth0
iface eth0 inet static

       address 10.18.1.10
       netmask 255.255.255.0
       network 10.18.1.0
       broadcast 10.18.1.255
       gateway 10.18.1.1

#Placa de rede interna
auto eth1
#iface eth1 inet dhcp
iface eth1 inet static
       address 172.18.20.253
       netmask 255.255.255.0
       network 172.18.20.0
       broadcast 172.18.20.255


ip ro servidor (matriz):

20.0.0.2 dev tun0  proto kernel  scope link  src 20.0.0.1
10.18.1.0/24 dev eth0  proto kernel  scope link  src 10.18.1.10
172.18.20.0/24 dev eth1  proto kernel  scope link  src 172.18.20.253
192.168.1.0/24 dev eth2  proto kernel  scope link  src 192.168.1.10
20.0.0.0/24 via 20.0.0.2 dev tun0
default via 10.18.1.1 dev eth0


e do teste.conf (filial)


remote teste.com.br

proto udp
port 5200
client
pull
dev tun0
comp-lzo
keepalive 10 120
persist-key
persist-tun
float
tls-client

dh /etc/openvpn/keys/dh1024.pem
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/teste.crt
key /etc/openvpn/keys/teste.key

Interface Filial

#Placa de rede internet GVT
auto eth0
#iface eth0 inet dhcp
iface eth0 inet static

       address 10.18.1.10
       netmask 255.255.255.0
       network 10.18.1.0
       broadcast 10.18.1.255
       gateway 10.18.1.1

#Placa de rede interna
auto eth1
#iface eth1 inet dhcp
iface eth1 inet static
       address 172.18.21.253
       netmask 255.255.255.0
       network 172.18.21.0
       broadcast 172.18.21.255

ip ro teste (filial)

20.0.0.1 via 20.0.0.5 dev tun0
20.0.0.5 dev tun0  proto kernel  scope link  src 20.0.0.6
10.18.1.0/24 dev eth0  proto kernel  scope link  src 10.18.1.10
172.18.20.0/24 via 20.0.0.5 dev tun0
172.18.21.0/24 dev eth1  proto kernel  scope link  src 172.18.21.253
default via 10.18.1.1 dev eth0

Considerações:

Tanto o Server (matriz) como o da filial atuam como servidor dhcp e gateway de rede e firewall

Desativei as configurações do Firewall e habilitei apenas o compartilhamento da internet para não ter problemas de bloqueio.

########################
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -F
iptables -t nat -F

## COMPARTILHAR CONEXAO DE INTERNET
## IP DINAMICO
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE


## ATIVAR ROTEAMENTO
echo "1" > /proc/sys/net/ipv4/ip_forward

## LIBERAR A PROPRIA MAQUINA LOOPBACK PARA ACESSO A INTERNET
iptables -A INPUT -i lo -j ACCEPT


Consigo pingar do teste (filial) em todas as maquinas da matriz. Através do console do Server, porem em qualquer maquina da rede da filial não consigo.


Já do Server.conf (mtz) não consigo pingar em nada apenas no ip do Tunel 20.0.0.6 mesmo.

Como faço para configurar as rotas ?? Para que as maquinas da rede da matriz/filial possam pingar e ter acesso entre si???

Obs: Uso essa vpn para acesso por funcionários também. (notebooks) e funciona perfeitamente.

O problema so esta entre a matriz e a filial.

Desde já agradeço a atenção.

zekkerj

Antes de entrar no assunto das rotas, deixa eu te dar uma idéia: não use esse endereço "20.0.0.0/24" nas pontas do túnel. A rede 20.0.0.0/24 existe, e está em algum lugar na internet. Pra isso há as redes privadas (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16). É só escolher uma rede privada livre, até mesmo "10.0.0.0/24", que vc não está usando.

Isto posto...

1. Você lembrou de ativar o roteamento nas duas máquinas? ("sudo sysctl net.ipv4.ip_forward=1")

2. O firewall das duas máquinas está configurado para permitir a passagem de pacodes de/para a rede remota?
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

Leandr0

Zekkerj

boa tarde!

já alterei a faixa de endereco para "10.0.0.0/24"

1) O roteamento ja esta ativo.

2) O firewall esta configurado conforme abaixo em ambas as maquinas (matriz/filial).Desativei as configurações do Firewall e habilitei apenas o compartilhamento da internet para não ter problemas de bloqueio.

########################
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -F
iptables -t nat -F

## COMPARTILHAR CONEXAO DE INTERNET
## IP DINAMICO
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE


## ATIVAR ROTEAMENTO
echo "1" > /proc/sys/net/ipv4/ip_forward

## LIBERAR A PROPRIA MAQUINA LOOPBACK PARA ACESSO A INTERNET
iptables -A INPUT -i lo -j ACCEPT


e agora ?

zekkerj

Qual endereço vc está tentando contactar, no lado oposto?
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

Leandr0

zek

resolvi!!!

Faltava informacoes na configuracao do servidor sobre a rede e rota da filial.
Adicionei as seguintes linhas na configuracao do servidor antes das linhas:
server 20.0.0.0 255.255.255.0
push "route 172.18.20.0 255.255.255.0"

# Criar no diretorio cdd/cliente a configuracao
# dele - ou uma invalida para trava-lo
client-config-dir ccd

# Rede da filial
route 172.18.21.0 255.255.255.0

Como o nome do certificado usado no cliente eh teste, no diretorio /etc/openvpn/ccd deve existir um arquivo com o nome: teste e dentro dele a seguinte linha:
iroute 172.18.21.0 255.255.255.0