Página 1 de 3 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. Bom Dia!
    Estou tentando configurar uma VPN com o openvpn, as filiais veem a toda a rede matriz mas a matriz não vê as filiais.
    A Matriz o servidor é um Debian 5 com IP real, as filiais são Windows XP e 7
    Rede Matriz:
    Faixa IP Interno 192.168.0.0
    Servidor IP Interno 192.168.0.1
    Servidot IP Externo 200.201.202.203
    IP Tun0 10.0.0.1

    Filial
    Faixa IP Interno 192.168.2.0
    IP Externo ADSL
    IP tun varia com a conexao (DHCP)

    Segue o arquivo de config do serv:
    Código :
    ##Protocolo de conexão
    #proto tcp / proto udp
    proto udp
     
    # Porta do servico
    port 1194
     
    # Drive da interface
    dev tun
     
    cd /etc/openvpn 
     
    # Atribui enderecos dinamicos a varios clientes, ips para o túnel VPN
    server 10.0.0.0 255.255.255.0
     
    # Acrescenta rotas aos clientes, informações da rede local
    push "route 192.168.0.0 255.255.255.0"
     
    #segundo um outro post isso poderia funcionar, mas nada
    push "route 192.168.2.0 255.255.255.0"
     
    # Configuracoes adicionais no cliente
    push "ping 10"
    push "ping-restart 60"
     
    # Rotas do servidor
    route 10.0.0.0 255.255.255.0
     
    # Compactacao lib LZO
    comp-lzo
    keepalive 10 120
    float
     
     
    max-clients 10
    persist-key
    persist-tun
     
    log-append /var/log/openvpn/openvpn.log
    status /var/log/openvpn/status.log
     
    verb 3
     
    # Servidor TLS
    tls-server
     
    # Chaves necessarias
    dh /etc/openvpn/keys/dh1024.pem
    ca /etc/openvpn/keys/ca.crt
    cert /etc/openvpn/keys/server.crt
    key /etc/openvpn/keys/server.key
     
    # Chave secreta do servidor
    tls-auth /etc/openvpn/keys/chave.key
     
    status /var/log/openvpn/stats.log
    Config do cliente windows :
    Código :
    client
    dev tun
    proto udp
    remote 200.201.202.203
    port 1194
    pull
    comp-lzo
    keepalive 10 120
    float
    tls-client
    persist-tun
    persist-key
     
    dh dh1024.pem
    ca ca.crt
    cert filial01.crt
    key filial01.key
    tls-auth chave.key
     
    route-method exe
    route-delay 2
    no Servidor acrescentei as seguintes regras no firewall:
    Código :
     
    #OPENVPN
    iptables -t filter -A INPUT -p udp --dport 1194 -j ACCEPT
    iptables -t filter -A FORWARD -p udp -s 192.168.0.0/24 --dport 1194 -j ACCEPT
    iptables -t filter -A FORWARD -p udp -d 192.168.0.0/24 --sport 1194 -j ACCEPT
    iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 10.0.0.0/24 -j ACCEPT
    iptables -t nat -A POSTROUTING -d 192.168.0.0/24 -s 10.0.0.0/24 -j ACCEPT
    iptables -t nat -I POSTROUTING -s 10.0.0.0/24 -o eth1 -j MASQUERADE
    tentei adicionar no servidor a seguinte rota, mas não surtiu efeito:
    route del -net 192.168.2.0 netmask 255.255.255.0 gw 10.0.0.1 dev tun0
    Última edição por xvktr; 06-01-2011 às 09:41.

  2. da uma olhada neste post:

    https://under-linux.org/f176/open-vpn-rotas-144139/

    Utilize essa configuracao que o amaia sugeriu que funciona que é uma blz...

    Falta informacoes na configuracao do servidor sobre a rede e rota da filial.
    Adicione as seguintes linhas na configuracao do servidor antes das linhas:
    server 20.0.0.0 255.255.255.0
    push "route 172.18.20.0 255.255.255.0"

    # Criar no diretorio cdd/cliente a configuracao
    # dele - ou uma invalida para trava-lo
    client-config-dir ccd

    # Rede da filial
    route 172.18.21.0 255.255.255.0

    Como o nome do certificado usado no cliente eh teste, no diretorio /etc/openvpn/ccd deve existir um arquivo com o nome: teste e dentro dele a seguinte linha:
    iroute 172.18.21.0 255.255.255.0

    Observacoes:
    * O nome do arquivo no diretorio ccd tem que ser o mesmo da entidade usada na geracao do certificado do cliente. No caso estou assumindo que vc nomeou a entidade como teste e colocou o nome do certificado tambem de teste.crt
    * Prestar atencao que no arquivo dentro do ccd o comando eh iroute e nao route


    quanto as regras para liberacao eu utilizo esta:
    ### VPN
    iptables -A INPUT -i $NET -p UDP --dport 5200 -j ACCEPT
    iptables -I INPUT -i tun+ -j ACCEPT
    iptables -I FORWARD -i tun+ -j ACCEPT
    iptables -I FORWARD -o tun+ -j ACCEPT
    iptables -I OUTPUT -o tun+ -j ACCEPT

    $NET = ETH0(ADSL)
    $RLOCAL = ETH1 (rede interna)

    ## Servidor VPN 5200
    iptables -A FORWARD -o $NET -p UDP --dport 5200 -j ACCEPT
    iptables -A OUTPUT -o $NET -p UDP --dport 5200 -j ACCEPT
    Última edição por sowbra; 07-01-2011 às 09:57.



  3. Não Funcionou.
    ao tentar pingar o IP do micro da filial, pelo servidor dá a seg msg

    Código :
    ping 192.168.2.2 // IP interno da filial
    PING 192.168.2.2 (192.168.2.2) 56(84) bytes of data.
    From 200.192.248.9 icmp_seq=2 Destination Host Unreachable
    verifiquei e o IP 200.192.248.9 é o IP do modem ADSL da filial.
    as maquinas windows da matriz não conseguem pingar ou acessar a filial.
    Troquei as regras fo firewall para as indicadsd, mas nada.
    criei o dir ccd e dentro criei um arquivo arquivo com o nome da entidade do certificado (sem com.br), e inseri a linha iroute 192.168.2.0 255.255.255.0

  4. Posta aqui o arquivo interface de ambas as maquinas: (servidor e filial)



  5. Servidor(matriz):
    Config de rede
    Código :
    # This file describes the network interfaces available on your system
    # and how to activate them. For more information, see interfaces(5).
     
    # The loopback network interface
    auto lo
    iface lo inet loopback
     
    # The primary network interface
    allow-hotplug eth1
    iface eth1 inet static
        address 192.168.0.1
        netmask 255.255.255.0
        network 192.168.0.0
        broadcast 192.168.0.255
        #gateway 192.168.0.1
        # dns-* options are implemented by the resolvconf package, if installed
     
     
    # The primary network interface
    allow-hotplug eth2
    iface eth2 inet static
        address 201.200.183.83
        netmask 255.255.255.252
        network 201.200.183.0
        broadcast 201.200.183.255
        gateway 201.200.183.81
        # dns-* options are implemented by the resolvconf package, if installed
        dns-nameservers 200.219.150.4
        dns-search nomeempresa.com.br
    Config OpenVPN
    Código :
    ##Protocolo de conexão
    #proto tcp / proto udp
    proto udp
    # Porta do servico
    port 1194
    # Drive da interface
    dev tun
    cd /etc/openvpn 
    client-config-dir ccd
    # Atribui enderecos dinamicos a varios clientes, ips para o túnel VPN
    server 10.0.0.0 255.255.255.0
     
    # Acrescenta rotas aos clientes, informações da rede local
    push "route 192.168.0.0 255.255.255.0"
    # Configuracoes adicionais no cliente
    push "ping 10"
    push "ping-restart 60"
     
    # Rotas do servidor
    route 10.0.0.0 255.255.255.0
    # Compactacao lib LZO
    comp-lzo
    keepalive 10 120
    float
    ifconfig-pool-persist ipp.txt
    max-clients 10
    persist-key
    persist-tun
    log-append /var/log/openvpn/openvpn.log
    status /var/log/openvpn/status.log
    verb 9
    # Servidor TLS
    tls-server
    # Chaves necessarias
    dh /etc/openvpn/keys/dh1024.pem
    ca /etc/openvpn/keys/ca.crt
    cert /etc/openvpn/keys/nomeempresa.crt
    key /etc/openvpn/keys/nomeempresa.key
    # Chave secreta do servidor
    tls-auth /etc/openvpn/keys/chave.key
    status /var/log/openvpn/stats.log
    arquivo ccd/nomeempresa
    Código :
    iroute 192.168.2.0 255.255.255.0
    Comando ifconfig
    Código :
    eth1      Link encap:Ethernet  Endereço de HW 00:23:cd:b0:9f:cb  
              inet end.: 192.168.0.1  Bcast:192.168.0.255  Masc:255.255.255.0
              endereço inet6: fe80::223:cdff:feb0:9fcb/64 Escopo:Link
              UP BROADCASTRUNNING MULTICAST  MTU:1500  Métrica:1
              RX packets:5515069 errors:0 dropped:0 overruns:0 frame:0
              TX packets:3956053 errors:0 dropped:0 overruns:0 carrier:0
              colisões:0 txqueuelen:1000 
              RX bytes:695268834 (663.0 MiB)  TX bytes:1384653984 (1.2 GiB)
              IRQ:19 Endereço de E/S:0xac00 
     
    eth2      Link encap:Ethernet  Endereço de HW 00:1a:3f:52:09:9e  
              inet end.: 201.200.183.82  Bcast:201.200.183.255  Masc:255.255.255.252
              endereço inet6: fe80::21a:3fff:fe52:99e/64 Escopo:Link
              UP BROADCASTRUNNING MULTICAST  MTU:1500  Métrica:1
              RX packets:1751151 errors:495 dropped:0 overruns:0 frame:0
              TX packets:1893200 errors:0 dropped:0 overruns:0 carrier:0
              colisões:0 txqueuelen:1000 
              RX bytes:882281577 (841.4 MiB)  TX bytes:595659655 (568.0 MiB)
              IRQ:16 Endereço de E/S:0xc800 
     
    lo        Link encap:Loopback Local  
              inet end.: 127.0.0.1  Masc:255.0.0.0
              endereço inet6: ::1/128 Escopo:Máquina
              UP LOOPBACKRUNNING  MTU:16436  Métrica:1
              RX packets:1538873 errors:0 dropped:0 overruns:0 frame:0
              TX packets:1538873 errors:0 dropped:0 overruns:0 carrier:0
              colisões:0 txqueuelen:0 
              RX bytes:958739795 (914.3 MiB)  TX bytes:958739795 (914.3 MiB)
     
    tun0      Link encap:Não Especificado  Endereço de HW 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
              inet end.: 10.0.0.1  P-a-P:10.0.0.2  Masc:255.255.255.255
              UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Métrica:1
              RX packets:1005 errors:0 dropped:0 overruns:0 frame:0
              TX packets:965 errors:0 dropped:0 overruns:0 carrier:0
              colisões:0 txqueuelen:100 
              RX bytes:181103 (176.8 KiB)  TX bytes:409910 (400.3 KiB)
    Cliente (Filial)
    o modem da filial é ADSL (IP dinamico)
    ADSL --> PC Windows XP
    IP Interno Modem ADSL: 192.168.2.1
    Rede PC Windows XP (ipconfig)
    Código :
    Adaptador Ethernet Rede:
            Sufixo DNS específico de conexão  . : 
            Endereço IP . . . . . . . . . . . . : 192.168.2.2
            Máscara de sub-rede . . . . . . . . : 255.255.255.0
            Gateway padrão. . . . . . . . . . . : 192.168.2.1
    Adaptador Ethernet VPN:
            Sufixo DNS específico de conexão  . : 
            Endereço IP . . . . . . . . . . . . : 10.0.0.30
            Máscara de sub-rede . . . . . . . . : 255.255.255.252
            Gateway padrão. . . . . . . . . . . :






Tópicos Similares

  1. Filias enchergam Matriz , mas Matriz não enxerga filiais.
    Por rodrigomezetti no fórum Servidores de Rede
    Respostas: 0
    Último Post: 19-09-2007, 15:23
  2. Respostas: 3
    Último Post: 06-06-2007, 23:02
  3. Respostas: 17
    Último Post: 13-09-2006, 10:57
  4. Net logon carrega mas não fecha !!
    Por no fórum Servidores de Rede
    Respostas: 0
    Último Post: 17-03-2003, 08:48
  5. script perl conecta no Oracle 8 mas nao no 9
    Por clever no fórum Servidores de Rede
    Respostas: 0
    Último Post: 07-01-2003, 13:56

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L