Re: VPN no slackware 10.1 urgente
segue abaixo a conf da minha vpn do servidor ..
# Exemplo de configuração do OpenVPN
# para a Matriz, usando o modo SSL/TLS e
# chaves RSA.
#
# '#' ou ';' são comentarios.
#
# Obs: Tradução livre do arquivo
# sample-config-files/tls-office.conf
# no diretorio de sources do OpenVPN.
# Usar como interface o driver tun.
dev tun
# 10.10.3.1 é o nosso IP local (matriz).
# 10.10.3.2 é o IP remoto (filial).
ifconfig 10.10.3.1 10.10.3.2
# Diretorio onde estão todas as configurações
cd /etc/openvpn
# No modo SSL/TLS a matriz irá
# assumir a parte do servidor,
# e a filial será o cliente.
tls-server
# Parametros Diffie-Hellman (apenas no servidor)
dh dh.pem
# Certificado da CA
ca my-ca.crt
# Certificado publico da Matriz
cert matriz.crt
# Certificado privado da Matriz
key matriz.key
# OpenVPN usa a porta 5000/UDP por padrão.
# Cada tunel do OpenVPN deve usar
# uma porta diferente.
# O padrão é a porta 5000
port 5001
# Mudar UID e GID para
# "nobody" depois de iniciado
# para uma segurança exta.
; user nobody
; group nobody
# Envia um ping via UDP para a parte
# remota a cada 15 segundos para manter
# a coneção em firewall statefull
# Muito recomendado, mesmo se você não usa
# um firewall baseado em statefull.
ping 15
# Nivel dos logs.
# 0 -- silencioso, exeto por erros fatais.
# 1 -- quase silencioso, mas mostra erros não fatais da rede.
# 3 -- médio, ideal para uso no dia-a-dia
# 9 -- barulhento, ideal para solução de problemas
verb 3
Re: VPN no slackware 10.1 urgente
Você está usando a porta 5001 ? É isso mesmo ? Outra coisa : como estão os confs da rede da loja ? Eu usei o OpenVPN seguindo o tutorial de www.altoriopreto.com.br instalado num Conectiva 8 e no começo andei apanhando. No nosso caso, a matriz tinha IP fixo e na filial era dinâmico. Mas depois com insistência e lendo artigos, acabei chegando lá. O OpenVPN é muito bom, mas é cheio de detalhezinhos que as vezes nos passam despercebido.
Um grande abraço ..... :-)
Re: VPN no slackware 10.1 urgente
Este conf e uns do que tenho configurado tenho outro usando a porta 5000
no meu caso e o seguinte: tanto a matriz quanto as lojas sao ips dinamicos . mais nas lojas eu coloco para o vpn procurar pelo o endereço que tenho cadastrado no no-ip.com pq ai qualquer ip que eu tiver as lojas estarao sempre achando o servidor matriz
eu segui tb este tutorial que vc me mandou e ate agora to quebrando a cabeça!!
nao deveria assim que levantar o openvpn aparecer a porta 5000 ou 5001 aberta ??
Re: VPN no slackware 10.1 urgente
Nas suas configurações de firewall vc usou a conf que ele cita?
#!/bin/bash
# Um exemplo de firewall amigavel ao OpenVPN.
# eth0 está conectada à internet.
# eth1 está conectada à rede interna.
# Troque a sub-rede para correponder a sua sub-rede interna.
# Casa irá usar 10.0.1.0/24 e o escritório irá usar 10.0.0.0/24.
PRIVATE=10.0.0.0/24
# Endereço loopback
LOOP=127.0.0.1
# Limpa todas as regras anteriores do iptables
# e bloqueia todo o tráfego temporariamente.
iptables -P OUTPUT DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -F
# Seta as politicas padrão
iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP
# Impede que pacotes destinados ao endereço loopback sejam recebidos pelas interfaces
iptables -A INPUT -i eth0 -s $LOOP -j DROP
iptables -A FORWARD -i eth0 -s $LOOP -j DROP
iptables -A INPUT -i eth0 -d $LOOP -j DROP
iptables -A FORWARD -i eth0 -d $LOOP -j DROP
# Qualquer coisa vinda da internet deve ter um endereço IP válido
iptables -A FORWARD -i eth0 -s 192.168.0.0/16 -j DROP
iptables -A FORWARD -i eth0 -s 172.16.0.0/12 -j DROP
iptables -A FORWARD -i eth0 -s 10.0.0.0/8 -j DROP
iptables -A INPUT -i eth0 -s 192.168.0.0/16 -j DROP
iptables -A INPUT -i eth0 -s 172.16.0.0/12 -j DROP
iptables -A INPUT -i eth0 -s 10.0.0.0/8 -j DROP
# Bloqueia tráfego NetBios de saída (se você tiver maquinas windows
# na rede interna). Isso não impede qualquer tipo de tráfego NetBios
# pelo túnel VPN, mas irá impedir que as maquinas windows
# da rede interna se comuniquem via NetBios pela internet
iptables -A FORWARD -p tcp --sport 137:139 -o eth0 -j DROP
iptables -A FORWARD -p udp --sport 137:139 -o eth0 -j DROP
iptables -A OUTPUT -p tcp --sport 137:139 -o eth0 -j DROP
iptables -A OUTPUT -p udp --sport 137:139 -o eth0 -j DROP
# Checa o endereço de origem dos pacotes que irão para a internet
iptables -A FORWARD -s ! $PRIVATE -i eth1 -j DROP
# Permite comunicação via loopback
iptables -A INPUT -s $LOOP -j ACCEPT
iptables -A INPUT -d $LOOP -j ACCEPT
# Permite que a maquina responda PINGs (pode ser desativado)
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
# Permite serviços como www e ssh (pode ser desativado)
iptables -A INPUT -p tcp --dport http -j ACCEPT
iptables -A INPUT -p tcp --dport ssh -j ACCEPT
# Permite que pacotes do OpenVPN entrem.
# Duplique a linha a seguir para cada
# cada tunel OpenVPN, trocando a opção --dport
# para a porta usada no tunel.
#
# No OpenVPN o número da porta é
# controlado pela opção --port n.
# Se você colocar essa opção no arquivo de
# configuração, você pode remover o '--'
#
# Se você está usando stateful firewall,
# pode comentar essa linha.
iptables -A INPUT -p udp --dport 5000 -j ACCEPT
# Permite que pacotes vindo de uma interface
# TUN/TAP entrem na rede.
# Quando o OpenVPN é iniciado em modo seguro,
# ele irá autenticar os pacotes antes de
# permitir a sua entrada na interface TUN/TAP.
# interface. Portanto, não é necessario adicionar
# qualquer filtro aqui, a menos que você queira
# restringir o tráfego que pode passar pelo seu túnel.
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A INPUT -i tap+ -j ACCEPT
iptables -A FORWARD -i tap+ -j ACCEPT
# Permite pacotes originados da rede local.
eu to na mesma situacao aqui a minha eth0 e que ta na internet e a ath1 e que ta na rede
lembrando que este servidor que tenho roda ftp, samba, apache e mysql
valew
Re: VPN no slackware 10.1 urgente
minha pergunta pode parecer iguinorante, mas....
Qual modem adsl vc usa? Está roteando a porta pro ip do servidor?
qual o ip da sua empresa?
creio que não importe o ip de casa pois o ipforward vai apontar pra qq q seja o ip.
me corrijam se eu estiver errado.