Roteamento VPN

[lanmenezes]

Pessoal,
Fiz uma VPN entre a filial e a matriz. O servidor da filial pinga e acessa tanto o servidor quanto as maquinas da rede interna da matriz.
Mas não estou conseguindo fazer com que as máquinas Windows que estão atrás do servidor da filial acesse as máquinas ou os compartilhamentos no servidor da matriz. Fiz um traceroute de uma máquina da rede interna e o servidor (da filial) não está repassando os pacotes para a matriz.
Abaixo o arquivo de configuração da filial e as linhas do iptables que se referem à vpn.

Filial.conf:
#!/bin/bash
#Usa o modulo de interface tun carregado anteriormente
#dev tun
dev tap
#Ip remoto a conectar (matriz)
remote 200.xxx.xxx.xxx
proto udp
port 5002
client
pull
keepalive 10 120
float
tls-client
dh keys/dh1024.pem
ca keys/ca.crt
cert keys/xxs.crt
key keys/xxs.key

Iptables:
#!/bin/bash
#Habilita o repasse
echo 1 > /proc/sys/net/ipv4/ip_forward
#Carrega módulos
modprobe ip_tables
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ip_gre
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -s 10.1.1.0/24 -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -I PREROUTING -i eth1 -p tcp -d 200.171.222.93 --dport 86 -j ACCEPT

# Cria rotas VPN
ip route add 172.16.0.0/16 via 10.1.1.3

#Libera VPN
$IPTABLES -A TCP_IN_FORWARD -p UDP -i $LAN_IFACE --dport 5002 -j ACCEPT
$IPTABLES -A TCP_IN_FORWARD -p TCP -i $LAN_IFACE --dport 5002 -j ACCEPT
$IPTABLES -A TCP_IN_INPUT -p UDP -i $EXT_IFACE --dport 5002 -j ACCEPT
iptables -A INPUT -i tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -j ACCEPT
iptables -A INPUT -i tap0 -j ACCEPT
iptables -A FORWARD -i tap0 -j ACCEPT

Se alguém tiver uma dica, fico bastante agradecido, estou realmente precisando fazer isso funcionar logo.

[zenun]

Amigo...

De olhar seu arquivo de configuração imagino que esteja usando OpenVPN.

Para que essa topologia funcione você precisa adicionar do lado do servidor, no arquivo de configuração
do servidor da filial, o parâmetro "iroute" que indica a rede interna da filial e mais um parametro no arquivo do servidor
que não me lembro exatamente agora, mas no site da OpenVPN tem um exemplo... olha lá!

[zenun]

Hummm e mais uma coisa...
Quando você usa um dispositivo TAP, você indica uma VPN em modo bridge!
Se quiser que ela seja roteada é necessário usar TUN! Isso está descrito também na documentação disponível no site!
Falowww!!

[lanmenezes]

Opa, André. Obrigado.
Vou verificar. Te aviso se deu certo. É que só posso mexer no fim de semana.

[rootmaster]

Citação:

Postado Originalmente por zenun

Hummm e mais uma coisa...
Quando você usa um dispositivo TAP, você indica uma VPN em modo bridge!
Se quiser que ela seja roteada é necessário usar TUN! Isso está descrito também na documentação disponível no site!
Falowww!!

Isso Mesmo, Se vc usar como TUN vai precisar usar Rotas sim, mais para o Caso do TAP vc pode criar uma bridge, nesse caso não precisaria de Rotas, pois a rede será uma só.

FLW

[messiascolares]

trabalho com o linkfacil vpn custa R$ 2.000,00 as duas pontas mando os equipamento ja configurado e
se preferir vou au local instalo dou o treinamento de como usar os meus equipamentos poden interligar
70 redes em uma ponta com ipsec e 10 na utra ponta e ainda podem interligar 10 vpn pptp em cada ponta
não necessita de ip fixo basta ter uma internet banda larga em ambas as pontas produto com 6 meses de
garantia.
Amigo ja quebrei muito a cabeça com vpn mas agora meus clientes sempre estão tranquilo com o
link vpn é seguro, tem 70 tuneis ipsec e 10 pptp caso interesse mi ligue ou mande um email messias@ebce.com.br
31-33572799 ou visite o site www.ebce.com.br e saiba mais sobre o produto link vpn

[messiascolares]

trabalhei com vpn em linux e ainda trabalho mas é bom mas da um certo trabalho no site www.ebce.com.br tem uma solução vpn atravez de rard ja vem configurado e com suporte treinamento e é uma molesa usar muita gente esta
usando é facil de consigurar eficiente interliga redes com IPsec total transparencia se interliga ate 70 redes com
IPsec e 10 pptp em cada ponta da uma olhadinha la entre em serviços e linkfacil vpn,
quero deichar bem claro que não tenho intenção de te desanimar mas da uma olhada para ver se compensa

[zenun]

Olha minha opinião sobre este produto é a que eu NUNCA ouvi falar dele!
Você vai no site e não tem nada de referência de clientes que usam isso ai!
Pense que se existir algum BUG de segurança, quem vai dar suporte a isso?
Eu pelo menos não achei o site do fabricante!

Acho que vale a pena quebrar um pouco a cabeça com o OpenVPN pois tem suporte ATIVO
de uma empresa, desenvolvimento constante e muuuuuuita gente usa!
Cuidado com esses produtos que prometem muito e que não existe muitas referencias!

E olha o investimento pedido por isso! Se você quer um produto facil para configurar VPN recomendo o Untangle!
Da uma olhada ali! Permite criar seus links para acesso remoto desde seu computador ou conectar sites!
Tudo usando uma interface web facil e simples!

Pensem bem!!

Abraços,

André

[messiascolares]

Citação:

Postado Originalmente por zenun

Olha minha opinião sobre este produto é a que eu NUNCA ouvi falar dele!
Você vai no site e não tem nada de referência de clientes que usam isso ai!
Pense que se existir algum BUG de segurança, quem vai dar suporte a isso?
Eu pelo menos não achei o site do fabricante!

Acho que vale a pena quebrar um pouco a cabeça com o OpenVPN pois tem suporte ATIVO
de uma empresa, desenvolvimento constante e muuuuuuita gente usa!
Cuidado com esses produtos que prometem muito e que não existe muitas referencias!

E olha o investimento pedido por isso! Se você quer um produto facil para configurar VPN recomendo o Untangle!
Da uma olhada ali! Permite criar seus links para acesso remoto desde seu computador ou conectar sites!
Tudo usando uma interface web facil e simples!

o produto é novo e vem com garantia ese intereçar podem pedir referencia de cliente ja usando o produto
basta enviar emais para ebce@ebce.com.br que eles mandam os clientes para pedir referencia pois os clientes
concordam em dar referencia mas não autoriza colocar os nomes dos clientes aqui caso interesse envie o email
para este endereço acima que eles mandam os nomes dos clientes deles para dar referencia por falta de segurança
não deicha de usar o produto eu inclusive uso este produto
Pensem bem!!

Abraços,

André

o produto é novo e vem com garantia ese intereçar podem pedir referencia de cliente ja usando o produto
basta enviar emais para ebce@ebce.com.br que eles mandam os clientes para pedir referencia pois os clientes
concordam em dar referencia mas não autoriza colocar os nomes dos clientes aqui caso interesse envie o email
para este endereço acima que eles mandam os nomes dos clientes deles para dar referencia por falta de segurança
não deicha de usar o produto eu inclusive uso este produto

[zenun]

Olha amigo não contesto o fato de você usar esse produto ou de ele ser novo!
Estou com dúvidas sobre a segurança da implementação dos protocolos IPSec!
E no caso de se ter algum bug de segurança... quem dá suporte a isso?
Quem desenvolve o firmware deste produto?

Você disse que você não deixa de usar um produto mesmo que ela seja inseguro?
VPN é acesso direto a sua rede... é um ponto de acesso onde a segurança DEVE ser
presada e muito bem cuidada!

Abraço,

André