Página 1 de 3 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. Segue configuracoes do serve.conf (matriz)


    proto udp
    port 5200
    dev tun
    server 20.0.0.0 255.255.255.0
    push "route 172.18.20.0 255.255.255.0"
    comp-lzo
    keepalive 10 120
    persist-key
    persist-tun
    float
    tls-server
    dh /etc/openvpn/keys/dh1024.pem
    ca /etc/openvpn/keys/ca.crt
    cert /etc/openvpn/keys/servidor.crt
    key /etc/openvpn/keys/servidor.key

    Interface matriz
    #Placa de rede internet
    auto eth0
    iface eth0 inet static

    address 10.18.1.10
    netmask 255.255.255.0
    network 10.18.1.0
    broadcast 10.18.1.255
    gateway 10.18.1.1

    #Placa de rede interna
    auto eth1
    #iface eth1 inet dhcp
    iface eth1 inet static
    address 172.18.20.253
    netmask 255.255.255.0
    network 172.18.20.0
    broadcast 172.18.20.255


    ip ro servidor (matriz):

    20.0.0.2 dev tun0 proto kernel scope link src 20.0.0.1
    10.18.1.0/24 dev eth0 proto kernel scope link src 10.18.1.10
    172.18.20.0/24 dev eth1 proto kernel scope link src 172.18.20.253
    192.168.1.0/24 dev eth2 proto kernel scope link src 192.168.1.10
    20.0.0.0/24 via 20.0.0.2 dev tun0
    default via 10.18.1.1 dev eth0


    e do teste.conf (filial)


    remote teste.com.br

    proto udp
    port 5200
    client
    pull
    dev tun0
    comp-lzo
    keepalive 10 120
    persist-key
    persist-tun
    float
    tls-client

    dh /etc/openvpn/keys/dh1024.pem
    ca /etc/openvpn/keys/ca.crt
    cert /etc/openvpn/keys/teste.crt
    key /etc/openvpn/keys/teste.key

    Interface Filial

    #Placa de rede internet GVT
    auto eth0
    #iface eth0 inet dhcp
    iface eth0 inet static

    address 10.18.1.10
    netmask 255.255.255.0
    network 10.18.1.0
    broadcast 10.18.1.255
    gateway 10.18.1.1

    #Placa de rede interna
    auto eth1
    #iface eth1 inet dhcp
    iface eth1 inet static
    address 172.18.21.253
    netmask 255.255.255.0
    network 172.18.21.0
    broadcast 172.18.21.255

    ip ro teste (filial)

    20.0.0.1 via 20.0.0.5 dev tun0
    20.0.0.5 dev tun0 proto kernel scope link src 20.0.0.6
    10.18.1.0/24 dev eth0 proto kernel scope link src 10.18.1.10
    172.18.20.0/24 via 20.0.0.5 dev tun0
    172.18.21.0/24 dev eth1 proto kernel scope link src 172.18.21.253
    default via 10.18.1.1 dev eth0

    Considerações:

    Tanto o Server (matriz) como o da filial atuam como servidor dhcp e gateway de rede e firewall

    Desativei as configurações do Firewall e habilitei apenas o compartilhamento da internet para não ter problemas de bloqueio.

    ########################
    iptables -P INPUT ACCEPT
    iptables -P FORWARD ACCEPT
    iptables -P OUTPUT ACCEPT
    iptables -t nat -P PREROUTING ACCEPT
    iptables -t nat -P POSTROUTING ACCEPT
    iptables -F
    iptables -t nat -F

    ## COMPARTILHAR CONEXAO DE INTERNET
    ## IP DINAMICO
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE


    ## ATIVAR ROTEAMENTO
    echo "1" > /proc/sys/net/ipv4/ip_forward

    ## LIBERAR A PROPRIA MAQUINA LOOPBACK PARA ACESSO A INTERNET
    iptables -A INPUT -i lo -j ACCEPT


    Consigo pingar do teste (filial) em todas as maquinas da matriz. Através do console do Server, porem em qualquer maquina da rede da filial não consigo.


    Já do Server.conf (mtz) não consigo pingar em nada apenas no ip do Tunel 20.0.0.6 mesmo.

    Como faço para configurar as rotas ?? Para que as maquinas da rede da matriz/filial possam pingar e ter acesso entre si???

    Obs: Uso essa vpn para acesso por funcionários também. (notebooks) e funciona perfeitamente.

    O problema so esta entre a matriz e a filial.

    Desde já agradeço a atenção.
    Última edição por sowbra; 30-12-2010 às 15:45.

  2. Falta informacoes na configuracao do servidor sobre a rede e rota da filial.
    Adicione as seguintes linhas na configuracao do servidor antes das linhas:
    server 20.0.0.0 255.255.255.0
    push "route 172.18.20.0 255.255.255.0"

    # Criar no diretorio cdd/cliente a configuracao
    # dele - ou uma invalida para trava-lo
    client-config-dir ccd

    # Rede da filial
    route 172.18.21.0 255.255.255.0

    Como o nome do certificado usado no cliente eh teste, no diretorio /etc/openvpn/ccd deve existir um arquivo com o nome: teste e dentro dele a seguinte linha:
    iroute 172.18.21.0 255.255.255.0

    Observacoes:
    * O nome do arquivo no diretorio ccd tem que ser o mesmo da entidade usada na geracao do certificado do cliente. No caso estou assumindo que vc nomeou a entidade como teste e colocou o nome do certificado tambem de teste.crt
    * Prestar atencao que no arquivo dentro do ccd o comando eh iroute e nao route



  3. Amaia

    Funcionou perfeitamente.

    Muito obrigado.

    Agora preciso que as duas redes possam se comunicar atraves do TS ( porta 3389).

    Como que ficaria a regra no firewall?


    Desde ja agradeco sua atencao.

  4. Adicione no seu script de firewall da matriz:
    iptables -t nat -A POSTROUTING ! -d 172.18.21.0/24 -j MASQUERADE
    ( este comando evita que o nat quando o destino de pacotes for a filial )
    No filial coloque:
    iptables -t nat -A POSTROUTING ! -d 172.18.20.0/24 -j MASQUERADE
    ( este comando evita que o nat quando o destino de pacotes for a matriz )

    No script de firewall da matriz e da filial acrescente tambem:
    iptables -A INPUT -i tun+ -j ACCEPT
    ( este comando ira permitir todo trafego de entrada e saida entre as partes da VPN).

    Com isto acho que o seu problema de TS sera resolvido.



  5. Coloquei as alteracoes que voce sugeriu e nao funcionou.

    Gostaria que entre matriz e filial ficasse liberado o acesso tanto, por TS como por SSH... etc... que nao houvesse nenhum tipo de bloqueio entre a filial e a matriz e vice-versa

    Alterei a faixa de IP para 172.18.0.0/24 para que caso acrescente + uma filial nao preciso add uma nova faixa de ip nesse range. Fica correto ?

    EX: matriz 172.18.20.0
    Filial1 172.18.21.0
    Filial2 172.18.22.0
    Filal3 172.18.23.0
    ..............

    Segue a configuracao do meu firewal que é o mesmo da filial mudando apenas a faixa de ip.


    Código bash:
    ## INDICAR O INICIO/REINICIO DO FIREWALL
    case $1 in
    start|restart)
    echo "Firewall - "
    ## VARIAVEIS DAS PLACAS DE REDE
    NET=eth0
    RLOCAL=eth1
    REDE="172.18.0.0/24"
    VPN='10.0.0.0/24'
    ## CARREGAR MODULOS
    modprobe ip_tables
    modprobe iptable_nat
    modprobe iptable_filter
    modprobe ip_conntrack
    modprobe ip_nat_ftp
    modprobe ip_conntrack_ftp
    modprobe ipt_MASQUERADE
    modprobe ipt_LOG
    ## LIMPAR REGRAS ANTERIORES
    iptables -F
    iptables -t nat -F
    iptables -X
    iptables -F -t nat
    iptables -X -t nat
    iptables -F -t mangle
    iptables -X -t mangle
     
    # DEFINIR POLITICA PADRAO (NEGAR TUDO)
    iptables -P INPUT DROP
    iptables -P OUTPUT DROP
    iptables -P FORWARD DROP
    ## COMPARTILHAR CONEXAO DE INTERNET
    ## IP DINAMICO
    iptables -t nat -A POSTROUTING -o $NET -j MASQUERADE
    ## ATIVAR ROTEAMENTO
    echo "1" > /proc/sys/net/ipv4/ip_forward
    ## LIBERAR A PROPRIA MAQUINA LOOPBACK PARA ACESSO A INTERNET
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A OUTPUT -o lo -j ACCEPT
    ### Aceita entrada DNS ###
    iptables -A OUTPUT -o $NET -p UDP --dport 53 -j ACCEPT
    ## LIBERAR/BLOQUEAR A REDE LOCAL
    iptables -A INPUT -s 172.18.0.0/24 -j ACCEPT
    ####################Protege contra pacotes danificados
    #Portscanners, Ping of Death, ataques DoS, Syb-flood e Etc
    iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
    ### VPN 
    iptables -A INPUT -i $NET -p UDP --dport 5200 -j ACCEPT
    iptables -A INPUT -i tun+ -j ACCEPT
    iptables -A FORWARD -i tun+ -j ACCEPT
    iptables -A OUTPUT -o tun+ -j ACCEPT
    #IP 200.241.32.197
    iptables -t nat -I PREROUTING -p tcp --dport 443 -s $REDE -d 200.241.32.197 -j ACCEPT
    iptables -t nat -A PREROUTING -p tcp -d 200.241.32.197 -j ACCEPT
    iptables -A FORWARD -p tcp -d 200.241.32.197 -j ACCEPT
    #IP 201.49.164.105
    iptables -t nat -I PREROUTING -p tcp --dport 443 -s $REDE -d 201.49.164.105 -j ACCEPT
    iptables -t nat -A PREROUTING -p tcp -d 201.49.164.105 -j ACCEPT
    iptables -A FORWARD -p tcp -d 201.49.164.105 -j ACCEPT
    ## Download 8081
    iptables -A OUTPUT -o $NET -p TCP --dport 8081 -j ACCEPT
    iptables -A OUTPUT -o $NET -p TCP --dport 8084 -j ACCEPT
    iptables -A OUTPUT -o $NET -p TCP --dport 8090 -j ACCEPT
    ### Libera trafego ping rede externa ###
    iptables -A INPUT -i $NET -p icmp -j ACCEPT
    iptables -A OUTPUT -o $NET -p icmp -j ACCEPT 
    iptables -A FORWARD -o $NET -p icmp -j ACCEPT 
     
    ### Libera trafego ping rede interna ###
    iptables -A INPUT -i $RLOCAL -p icmp -j ACCEPT
    iptables -A OUTPUT -o $RLOCAL -p icmp -j ACCEPT 
    iptables -A FORWARD -o $RLOCAL -p icmp -j ACCEPT
    ## Servidor de E-mail SMTP (25) POP3 (110)##
    iptables -A FORWARD -o $NET -p TCP --dport 25 -j ACCEPT
    iptables -A FORWARD -o $NET -p TCP --dport 110 -j ACCEPT
    ## Servidor TS
    iptables -A FORWARD -o $NET -p TCP --dport 3389 -j ACCEPT
    iptables -A FORWARD -o $RLOCAL -p TCP --dport 3389 -j LOG
    iptables -A FORWARD -o $RLOCAL -p TCP --dport 3389 -j ACCEPT
    ##Porta 8080
    iptables -A FORWARD -o $RLOCAL -p TCP --dport 8080 -j ACCEPT
    ## Servidor SSH 22
    iptables -A FORWARD -o $NET -p TCP --dport 22 -j ACCEPT
    iptables -A FORWARD -o $RLOCAL -p TCP --dport 22 -j ACCEPT
    ## Servidor VPN 5200
    iptables -A FORWARD -o $NET -p UDP --dport 5200 -j ACCEPT
    iptables -A FORWARD -o $RLOCAL -p UDP --dport 5200 -j ACCEPT
    ### Entrada Rede Interna ###
    ## Protocolo UDP entrada ##
    iptables -A INPUT -i $RLOCAL -p UDP -s $REDE -d $REDE -j ACCEPT 
    ## Protocolo TCP entrada ##
    iptables -A INPUT -i $RLOCAL -p TCP -s $REDE -d $REDE -j ACCEPT 
     
    ## Protocolo UDP saida ##
    iptables -A OUTPUT -o $RLOCAL -p UDP -s $REDE -d $REDE -j ACCEPT 
     
    ## Protocolo TCP saida ##
    iptables -A OUTPUT -o $RLOCAL -p TCP -s $REDE -d $REDE -j ACCEPT 
    # LIBERAR A PORTA 3128 
    iptables -t nat -A PREROUTING -i $RLOCAL -p tcp --dport 80 -j REDIRECT --to-port 3128
     
    ## Estabilizar conexoes
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    #Se nao entrar em nenhuma regra acima rejeita tudo!
    iptables -A INPUT -i $NET -p tcp --syn -j DROP
    #Fechar todas as portas abaixo de 32000
    iptables -A INPUT -i $NET -p tcp --dport :32000 -j DROP
     
    ;;
    stop)
    echo "CUIDADO SUA MAQUINA ESTA SEM FIREWALL - ATENCAO!!!..."
     
    ;;
    *)
    echo "Digite start, restart ou stop para ativar/reativar/desativar"
    exit 1
    ;;
    esac

    Att.

    Leandr0
    Última edição por osmano807; 23-12-2010 às 13:58.






Tópicos Similares

  1. Open VPN com 3 lojas com ip dinâmico
    Por Submundo no fórum Servidores de Rede
    Respostas: 10
    Último Post: 22-03-2007, 22:55
  2. Open VPN
    Por morenocm no fórum Servidores de Rede
    Respostas: 1
    Último Post: 11-03-2006, 13:15
  3. .::Rotas para um VPN::.
    Por budairc no fórum Servidores de Rede
    Respostas: 4
    Último Post: 22-09-2004, 13:29
  4. Vpn - rota - urgente!!!
    Por tonyx no fórum Servidores de Rede
    Respostas: 0
    Último Post: 21-10-2003, 11:53
  5. Rotas para servidor VPN
    Por no fórum Servidores de Rede
    Respostas: 0
    Último Post: 03-09-2003, 11:16

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L