use o nmap para ver se ta open o servico
Versão Imprimível
use o nmap para ver se ta open o servico
Para adicionar mais de uma filial colocar no openvpn.conf:
# Rede da filial 1
route 172.18.21.0 255.255.255.0
# Rede da filial 2
route 172.18.22.0 255.255.255.0
# Rede da filial 3
route 172.18.23.0 255.255.255.0
No diretorio /etc/openvpn/ccd
arquivo com o nome filial1 contendo
iroute 172.18.21.0 255.255.255.0
arquivo com o nome filial2 contendo
iroute 172.18.22.0 255.255.255.0
arquivo com o nome filial3 contendo
iroute 172.18.23.0 255.255.255.0
*Criar os certificados para a filial1, filial2, e filial3 usando o nome de entidade de cada certificado diferente pois este nome eh que sera usado no diretorio /etc/openvpn/ccd
No script de firewall corrigir as linhas:
REDE="172.18.0.0/24" para REDE="172.18.0.0/16"
iptables -t nat -A POSTROUTING -o $NET -j MASQUERADE
para
iptables -t nat -A POSTROUTING -o $NET ! -d $REDE -j MASQUERADE
ptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A OUTPUT -o tun+ -j ACCEPT
para
ptables -I INPUT -i tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -j ACCEPT
iptables -I OUTPUT -o tun0 -j ACCEPT
Isto assumindo que a interface do tunel seja a tun0, caso contrario colocar a interface do tunel.
Amaia
BOm dia!
Antes de ver suas sugestoes eu tinha trocado a seguinte config no firewall:
### VPN
iptables -A INPUT -i $NET -p UDP --dport 5200 -j ACCEPT
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A OUTPUT -o tun+ -j ACCEPT
para
iptables -A FORWARD -o tun+ -j ACCEPT
e funcionou perfeitamente......
Qual a diferenca em fazer as alteracoes que vc sugeriu?
No script de firewall corrigir as linhas:
REDE="172.18.0.0/24" para REDE="172.18.0.0/16"
iptables -t nat -A POSTROUTING -o $NET -j MASQUERADE
para
iptables -t nat -A POSTROUTING -o $NET ! -d $REDE -j MASQUERADE
ptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A OUTPUT -o tun+ -j ACCEPT
para
ptables -I INPUT -i tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -j ACCEPT
iptables -I OUTPUT -o tun0 -j ACCEPT
Em relacao a rede que fiquei com a seguinte duvida...
REDE="172.18.0.0/24" para REDE="172.18.0.0/16"
Pq essa alteracao??
Quanto a ingresso de novas filiais entendi perfeitamente.
Obrigado!!!
Com esta definicao:
REDE="172.18.0.0/24"
Vc esta dizendo que a rede vai de 172.18.0.0 ate 172.18.0.255, sendo o 172.18.0.0 network e 172.18.0.255 o broadcast
Usando REDE="172.18.0.0/16"
Vc esta dizendo que a rede vai de 172.18.0.0 ate 172.18.255.255, sendo o 172.18.0.0 network e 172.18.255.255 o broadcast
No comando abaixo:
iptables -t nat -A POSTROUTING -o $NET ! -d $REDE -j MASQUERADE
Pode ser interpretado da seguinte maneira:
faca o mascaramento de saida na interface $NET que nao seja destinada a algum endereco da $REDE
Sobre as regras do iptables usando:
iptables -A para iptables -I
eh que iptables -A adiciona a regra abaixo da ultima regra
iptables -I adiciona a regra antes da primeira regra, ou seja no caso a regra para interface tun0 seria a primeira regra fazendo com que tudo que chegasse por esta regra fosse aceita de imediato.
No caso da chain FORWARD eh preciso tanto regra de entrada como regra de saida
iptables -A FORWARD -o tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
Amaia
Resumindo essas suas consideções melhoraria a performance da rede?
iptables -t nat -A POSTROUTING -o $NET ! -d $REDE -j MASQUERADE
iptables -I INPUT -i tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -j ACCEPT
iptables -I OUTPUT -o tun0 -j ACCEPT