Windows não Pinga em Vpn

Olá pessoal. Graça a Deus e a comunidade linux estou com uma Vpn comunicando entre duas lojas. Como sei que estão comunicando ?
O meu tunel Matriz : 10.1.2.1
O meu tunel Filial : 10.1.1.1
Dentro do servidor da Matriz se executar o comando : ping 10.1.1.1

Tenho resposta.
Dentro do servidor da Filial se executar do comando 10.1.2.1
Tenho resposta também.
Se eu parar uma das pontas , o ping não responde, é mais um prova que está funcionando.
Consigo até mesmo pingar em outros computadores dentro da Matriz e filial
Vale lembrar que isso tudo foi feito diretamente nos servidores.
Se eu for em uma estação windows da filial e der um ping no servidor linux da Matriz ping 10.1.2.31 ,ou em qualquer outra estação, ele não responde.
Teoricamente deveria responder, ou estou errado ?
Alguém tem ideia do que pode ser ?

Me parece que seus servidores de VPN não estão roteando os pacotes de uma rede pra outra, ou então estão sendo barrados por firewall.

Você poderia postar mais detalhes sobre os testes que você fez para que possamos ter uma idéia melhor do que está acontecendo.

Mais dados sobre minha configuração :

Matriz.conf

dev tun
ifconfig 192.168.1.1 192.168.2.1
cd /etc/openvpn
secret key
port 1194
user nobody
comp-lzo
ping 10
verb 3

Filial.conf
dev tun
ifconfig 192.168.2.1 192.168.1.1
remote 189.15.195.218
cd /etc/openvpn
secret key
port 1194
user openvpn
comp-lzo
ping 10
verb 3

// Comandos executados para Roteamento matriz:

echo 1 > /proc/sys/net/ipv4/ip_forward
echo "Starting OpenVPN MATRIZ Tunel Linux"
openvpn --config /etc/openvpn/matriz.conf --daemon
route add -net 10.1.2.0/24 gw 192.168.2.1
VPN=tun0
iptables -I INPUT -j ACCEPT -p udp -s 192.168.2.1 --dport 1194
iptables -A FORWARD -d 192.168.2.1 -p udp --dport 1194 -j ACCEPT
iptables -A FORWARD -s 192.168.2.1 -p udp --dport 1194 -j ACCEP

//Comandos executados para Roteamento Filial

echo 1 > /proc/sys/net/ipv4/ip_forward
echo "Starting OpenVPN FILIAL Tunel Linux"
openvpn --config /etc/openvpn/filial.conf --daemon
route add -net 10.1.1.0/24 gw 192.168.1.1
VPN=tun0
iptables -I INPUT -j ACCEPT -p udp -s 192.168.1.1 --dport 1194
iptables -A FORWARD -d 192.168.1.1 -p udp --dport 1194 -j ACCEPT
iptables -I INPUT -j ACCEPT -p udp -s 192.168.1.1 --dport 1194

o interessante é que de dentro dos servidores eu consigo fazer o ping sem problema. Até para outros computadores que não são os dois servidores. Note :

Da matriz para filial :

ping 10.1.1.15
PING 10.1.1.15 (10.1.1.15): 56 data bytes
64 bytes from 10.1.1.15: icmp_seq=0 ttl=128 time=1.8 ms
64 bytes from 10.1.1.15: icmp_seq=1 ttl=128 time=1.3 ms
64 bytes from 10.1.1.15: icmp_seq=2 ttl=128 time=1.3 ms

Da filial para Matriz:

ping 10.1.1.15
PING 10.1.1.15 (10.1.1.15): 56 data bytes
64 bytes from 10.1.1.15: icmp_seq=0 ttl=127 time=64.1 ms
64 bytes from 10.1.1.15: icmp_seq=1 ttl=127 time=51.5 ms

Bem, qual é a politica padrão do iptables? está deixando passar tudo?

Depois da VPN levantada, você conferiu as rotas? Levante a VPN e depois execute o comando "route" nas duas maquinas e poste aqui para podermos conferir como ficou.

ate+

Vpn não ping nos desktops

Agradeço muito a sua atenção que tem dados. Cara, praticamente está pronto pois pelos servidores o ping funciona. Eu uso squid autenticado, mas creio que isso não iria dar problema.

segue tabelas de rotas

Matriz
Tabela de Roteamento IP do Kernel
Destino Roteador MáscaraGen. Opções Métrica Ref Uso Iface
200-225-196-206 * 255.255.255.255 UH 0 0 0 ppp0
192.168.2.1 * 255.255.255.255 UH 0 0 0 tun0
192.168.0.0 * 255.255.255.0 U 0 0 0 eth1
10.1.2.0 192.168.2.1 255.255.255.0 UG 0 0 0 tun0
192.168.0.0 10.1.1.1 255.255.0.0 UG 0 0 0 eth0
10.0.0.0 * 255.0.0.0 U 0 0 0 eth0
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default 200-225-196-206 0.0.0.0 UG 0 0 0 ppp0
Filial
Tabela de Roteamento IP do Kernel
Destino Roteador MáscaraGen. Opções Métrica Ref Uso Iface
192.168.1.1 * 255.255.255.255 UH 0 0 0 tun0
200-225-196-206 * 255.255.255.255 UH 0 0 0 ppp0
192.168.1.0 10.1.2.31 255.255.255.0 UG 0 0 0 eth0
10.1.1.0 192.168.1.1 255.255.255.0 UG 0 0 0 tun0
192.168.254.0 * 255.255.255.0 U 0 0 0 eth1
192.168.0.0 10.1.2.31 255.255.0.0 UG 0 0 0 eth0
192.168.0.0 10.1.2.3 255.255.0.0 UG 0 0 0 eth0
192.168.0.0 10.1.2.1 255.255.0.0 UG 0 0 0 eth0
10.0.0.0 * 255.0.0.0 U 0 0 0 eth0
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default 200-225-196-206 0.0.0.0 UG 0 0 0 ppp0

Moleza.... se essa tabela de roteamento que voce postou estiver correta (visto que ambas default route sao iguais).

Pelo que da para notar que ambas as suas redes sao 10.0.0.0/8 so que em uma voce usa 10.1.2.1 e na outra 10.1.1.1, então é uma questão de endereçamento de rede, por isso que nao funciona. Experimente fazer um traceroute de alguma maquina cliente para voce ver que ele nem envia para o servidor de VPN. (Que é o unico que apresenta a rota correta para a outra ponta)

Bem, pelo que eu vi sua configuração é a seguinte:
Ips Matriz:
10.1.2.1 eth0
192.168.2.1 eth1

IPs Filial:
10.1.1.1 eth0
192.168.1.1 eth1

Nas suas rotas da matriz tem:
10.1.2.0 192.168.2.1 255.255.255.0 UG 0 0 0 tun0

Se não estou enganado, aqui você diz que se o pacote tiver destino para a rede 10.1.2.0/24 ele vai jogar para a VPN, mas isso não é verdade a rota deve ser trocada para se o destino for 10.1.1.0/24 jogar para a VPN. O mesmo acontece com a Filial.

Como eu suspeitava é só problema de roteamento, brinque um pouco com essas rotas que você vai resolver o problema.

ate+

Citação:

Postado originalmente por rmaximo

Bem, pelo que eu vi sua configuração é a seguinte:
Ips Matriz:
10.1.2.1 eth0
192.168.2.1 eth1

IPs Filial:
10.1.1.1 eth0
192.168.1.1 eth1

Nas suas rotas da matriz tem:
10.1.2.0 192.168.2.1 255.255.255.0 UG 0 0 0 tun0

Se não estou enganado, aqui você diz que se o pacote tiver destino para a rede 10.1.2.0/24 ele vai jogar para a VPN, mas isso não é verdade a rota deve ser trocada para se o destino for 10.1.1.0/24 jogar para a VPN. O mesmo acontece com a Filial.

Como eu suspeitava é só problema de roteamento, brinque um pouco com essas rotas que você vai resolver o problema.

ate+

Voce está quase certo amigo.. quase certo... se voce notar melhor na tabela de rotas voce vai ver que ele usa rede 10.0.0.0/8.