+ Responder ao Tópico



  1. #1

    Padrão Filial ve matriz mas não ao contrário

    Bom Dia!
    Estou tentando configurar uma VPN com o openvpn, as filiais veem a toda a rede matriz mas a matriz não vê as filiais.
    A Matriz o servidor é um Debian 5 com IP real, as filiais são Windows XP e 7
    Rede Matriz:
    Faixa IP Interno 192.168.0.0
    Servidor IP Interno 192.168.0.1
    Servidot IP Externo 200.201.202.203
    IP Tun0 10.0.0.1

    Filial
    Faixa IP Interno 192.168.2.0
    IP Externo ADSL
    IP tun varia com a conexao (DHCP)

    Segue o arquivo de config do serv:
    Código :
    ##Protocolo de conexão
    #proto tcp / proto udp
    proto udp
     
    # Porta do servico
    port 1194
     
    # Drive da interface
    dev tun
     
    cd /etc/openvpn 
     
    # Atribui enderecos dinamicos a varios clientes, ips para o túnel VPN
    server 10.0.0.0 255.255.255.0
     
    # Acrescenta rotas aos clientes, informações da rede local
    push "route 192.168.0.0 255.255.255.0"
     
    #segundo um outro post isso poderia funcionar, mas nada
    push "route 192.168.2.0 255.255.255.0"
     
    # Configuracoes adicionais no cliente
    push "ping 10"
    push "ping-restart 60"
     
    # Rotas do servidor
    route 10.0.0.0 255.255.255.0
     
    # Compactacao lib LZO
    comp-lzo
    keepalive 10 120
    float
     
     
    max-clients 10
    persist-key
    persist-tun
     
    log-append /var/log/openvpn/openvpn.log
    status /var/log/openvpn/status.log
     
    verb 3
     
    # Servidor TLS
    tls-server
     
    # Chaves necessarias
    dh /etc/openvpn/keys/dh1024.pem
    ca /etc/openvpn/keys/ca.crt
    cert /etc/openvpn/keys/server.crt
    key /etc/openvpn/keys/server.key
     
    # Chave secreta do servidor
    tls-auth /etc/openvpn/keys/chave.key
     
    status /var/log/openvpn/stats.log
    Config do cliente windows :
    Código :
    client
    dev tun
    proto udp
    remote 200.201.202.203
    port 1194
    pull
    comp-lzo
    keepalive 10 120
    float
    tls-client
    persist-tun
    persist-key
     
    dh dh1024.pem
    ca ca.crt
    cert filial01.crt
    key filial01.key
    tls-auth chave.key
     
    route-method exe
    route-delay 2
    no Servidor acrescentei as seguintes regras no firewall:
    Código :
     
    #OPENVPN
    iptables -t filter -A INPUT -p udp --dport 1194 -j ACCEPT
    iptables -t filter -A FORWARD -p udp -s 192.168.0.0/24 --dport 1194 -j ACCEPT
    iptables -t filter -A FORWARD -p udp -d 192.168.0.0/24 --sport 1194 -j ACCEPT
    iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 10.0.0.0/24 -j ACCEPT
    iptables -t nat -A POSTROUTING -d 192.168.0.0/24 -s 10.0.0.0/24 -j ACCEPT
    iptables -t nat -I POSTROUTING -s 10.0.0.0/24 -o eth1 -j MASQUERADE
    tentei adicionar no servidor a seguinte rota, mas não surtiu efeito:
    route del -net 192.168.2.0 netmask 255.255.255.0 gw 10.0.0.1 dev tun0
    Última edição por xvktr; 06-01-2011 às 10:41.

  2. #2

    Padrão Re: Filial ve matriz mas não ao contrário

    da uma olhada neste post:

    https://under-linux.org/f176/open-vpn-rotas-144139/

    Utilize essa configuracao que o amaia sugeriu que funciona que é uma blz...

    Falta informacoes na configuracao do servidor sobre a rede e rota da filial.
    Adicione as seguintes linhas na configuracao do servidor antes das linhas:
    server 20.0.0.0 255.255.255.0
    push "route 172.18.20.0 255.255.255.0"

    # Criar no diretorio cdd/cliente a configuracao
    # dele - ou uma invalida para trava-lo
    client-config-dir ccd

    # Rede da filial
    route 172.18.21.0 255.255.255.0

    Como o nome do certificado usado no cliente eh teste, no diretorio /etc/openvpn/ccd deve existir um arquivo com o nome: teste e dentro dele a seguinte linha:
    iroute 172.18.21.0 255.255.255.0

    Observacoes:
    * O nome do arquivo no diretorio ccd tem que ser o mesmo da entidade usada na geracao do certificado do cliente. No caso estou assumindo que vc nomeou a entidade como teste e colocou o nome do certificado tambem de teste.crt
    * Prestar atencao que no arquivo dentro do ccd o comando eh iroute e nao route


    quanto as regras para liberacao eu utilizo esta:
    ### VPN
    iptables -A INPUT -i $NET -p UDP --dport 5200 -j ACCEPT
    iptables -I INPUT -i tun+ -j ACCEPT
    iptables -I FORWARD -i tun+ -j ACCEPT
    iptables -I FORWARD -o tun+ -j ACCEPT
    iptables -I OUTPUT -o tun+ -j ACCEPT

    $NET = ETH0(ADSL)
    $RLOCAL = ETH1 (rede interna)

    ## Servidor VPN 5200
    iptables -A FORWARD -o $NET -p UDP --dport 5200 -j ACCEPT
    iptables -A OUTPUT -o $NET -p UDP --dport 5200 -j ACCEPT
    Última edição por sowbra; 07-01-2011 às 10:57.



  3. #3

    Padrão Re: Filial ve matriz mas não ao contrário

    Não Funcionou.
    ao tentar pingar o IP do micro da filial, pelo servidor dá a seg msg

    Código :
    ping 192.168.2.2 // IP interno da filial
    PING 192.168.2.2 (192.168.2.2) 56(84) bytes of data.
    From 200.192.248.9 icmp_seq=2 Destination Host Unreachable
    verifiquei e o IP 200.192.248.9 é o IP do modem ADSL da filial.
    as maquinas windows da matriz não conseguem pingar ou acessar a filial.
    Troquei as regras fo firewall para as indicadsd, mas nada.
    criei o dir ccd e dentro criei um arquivo arquivo com o nome da entidade do certificado (sem com.br), e inseri a linha iroute 192.168.2.0 255.255.255.0

  4. #4

    Padrão Re: Filial ve matriz mas não ao contrário

    Posta aqui o arquivo interface de ambas as maquinas: (servidor e filial)



  5. #5

    Padrão Re: Filial ve matriz mas não ao contrário

    Servidor(matriz):
    Config de rede
    Código :
    # This file describes the network interfaces available on your system
    # and how to activate them. For more information, see interfaces(5).
     
    # The loopback network interface
    auto lo
    iface lo inet loopback
     
    # The primary network interface
    allow-hotplug eth1
    iface eth1 inet static
        address 192.168.0.1
        netmask 255.255.255.0
        network 192.168.0.0
        broadcast 192.168.0.255
        #gateway 192.168.0.1
        # dns-* options are implemented by the resolvconf package, if installed
     
     
    # The primary network interface
    allow-hotplug eth2
    iface eth2 inet static
        address 201.200.183.83
        netmask 255.255.255.252
        network 201.200.183.0
        broadcast 201.200.183.255
        gateway 201.200.183.81
        # dns-* options are implemented by the resolvconf package, if installed
        dns-nameservers 200.219.150.4
        dns-search nomeempresa.com.br
    Config OpenVPN
    Código :
    ##Protocolo de conexão
    #proto tcp / proto udp
    proto udp
    # Porta do servico
    port 1194
    # Drive da interface
    dev tun
    cd /etc/openvpn 
    client-config-dir ccd
    # Atribui enderecos dinamicos a varios clientes, ips para o túnel VPN
    server 10.0.0.0 255.255.255.0
     
    # Acrescenta rotas aos clientes, informações da rede local
    push "route 192.168.0.0 255.255.255.0"
    # Configuracoes adicionais no cliente
    push "ping 10"
    push "ping-restart 60"
     
    # Rotas do servidor
    route 10.0.0.0 255.255.255.0
    # Compactacao lib LZO
    comp-lzo
    keepalive 10 120
    float
    ifconfig-pool-persist ipp.txt
    max-clients 10
    persist-key
    persist-tun
    log-append /var/log/openvpn/openvpn.log
    status /var/log/openvpn/status.log
    verb 9
    # Servidor TLS
    tls-server
    # Chaves necessarias
    dh /etc/openvpn/keys/dh1024.pem
    ca /etc/openvpn/keys/ca.crt
    cert /etc/openvpn/keys/nomeempresa.crt
    key /etc/openvpn/keys/nomeempresa.key
    # Chave secreta do servidor
    tls-auth /etc/openvpn/keys/chave.key
    status /var/log/openvpn/stats.log
    arquivo ccd/nomeempresa
    Código :
    iroute 192.168.2.0 255.255.255.0
    Comando ifconfig
    Código :
    eth1      Link encap:Ethernet  Endereço de HW 00:23:cd:b0:9f:cb  
              inet end.: 192.168.0.1  Bcast:192.168.0.255  Masc:255.255.255.0
              endereço inet6: fe80::223:cdff:feb0:9fcb/64 Escopo:Link
              UP BROADCASTRUNNING MULTICAST  MTU:1500  Métrica:1
              RX packets:5515069 errors:0 dropped:0 overruns:0 frame:0
              TX packets:3956053 errors:0 dropped:0 overruns:0 carrier:0
              colisões:0 txqueuelen:1000 
              RX bytes:695268834 (663.0 MiB)  TX bytes:1384653984 (1.2 GiB)
              IRQ:19 Endereço de E/S:0xac00 
     
    eth2      Link encap:Ethernet  Endereço de HW 00:1a:3f:52:09:9e  
              inet end.: 201.200.183.82  Bcast:201.200.183.255  Masc:255.255.255.252
              endereço inet6: fe80::21a:3fff:fe52:99e/64 Escopo:Link
              UP BROADCASTRUNNING MULTICAST  MTU:1500  Métrica:1
              RX packets:1751151 errors:495 dropped:0 overruns:0 frame:0
              TX packets:1893200 errors:0 dropped:0 overruns:0 carrier:0
              colisões:0 txqueuelen:1000 
              RX bytes:882281577 (841.4 MiB)  TX bytes:595659655 (568.0 MiB)
              IRQ:16 Endereço de E/S:0xc800 
     
    lo        Link encap:Loopback Local  
              inet end.: 127.0.0.1  Masc:255.0.0.0
              endereço inet6: ::1/128 Escopo:Máquina
              UP LOOPBACKRUNNING  MTU:16436  Métrica:1
              RX packets:1538873 errors:0 dropped:0 overruns:0 frame:0
              TX packets:1538873 errors:0 dropped:0 overruns:0 carrier:0
              colisões:0 txqueuelen:0 
              RX bytes:958739795 (914.3 MiB)  TX bytes:958739795 (914.3 MiB)
     
    tun0      Link encap:Não Especificado  Endereço de HW 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
              inet end.: 10.0.0.1  P-a-P:10.0.0.2  Masc:255.255.255.255
              UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Métrica:1
              RX packets:1005 errors:0 dropped:0 overruns:0 frame:0
              TX packets:965 errors:0 dropped:0 overruns:0 carrier:0
              colisões:0 txqueuelen:100 
              RX bytes:181103 (176.8 KiB)  TX bytes:409910 (400.3 KiB)
    Cliente (Filial)
    o modem da filial é ADSL (IP dinamico)
    ADSL --> PC Windows XP
    IP Interno Modem ADSL: 192.168.2.1
    Rede PC Windows XP (ipconfig)
    Código :
    Adaptador Ethernet Rede:
            Sufixo DNS específico de conexão  . : 
            Endereço IP . . . . . . . . . . . . : 192.168.2.2
            Máscara de sub-rede . . . . . . . . : 255.255.255.0
            Gateway padrão. . . . . . . . . . . : 192.168.2.1
    Adaptador Ethernet VPN:
            Sufixo DNS específico de conexão  . : 
            Endereço IP . . . . . . . . . . . . : 10.0.0.30
            Máscara de sub-rede . . . . . . . . : 255.255.255.252
            Gateway padrão. . . . . . . . . . . :

  6. #6

    Padrão Re: Filial ve matriz mas não ao contrário

    Vamos lá:

    Faça um bkp do seu arquivo de config e crie um novo:

    Vim /etc/openvpn/server.conf

    proto udp
    port 1194
    dev tun

    client-config-dir ccd

    #Rede
    route 192.168.0.0 255.255.0.0

    server 10.0.0.0 255.255.255.0
    push "route 192.168.0.0 255.255.0.0"

    comp-lzo
    keepalive 10 120
    persist-key
    persist-tun

    max-clients 5

    float
    ifconfig-pool-persist /etc/openvpn/ipp.txt

    tls-server

    dh /etc/openvpn/keys/dh1024.pem
    ca /etc/openvpn/keys/ca.crt
    cert /etc/openvpn/keys/nomeempresa.crt
    key /etc/openvpn/keys/nomeempresa.key

    status /var/log/openvpn.stats

    log-append /var/log/openvpn.log

    # Nivel dos logs.
    # 0 -- silencioso, exceto por erros fatais.
    # 1 -- quase silencioso, mas mostra erros nãfatais da rede.
    # 3 -- méo, ideal para uso no dia-a-dia
    # 9 -- barulhento, ideal para soluç de problemas
    verb 3

    feito isso salve e reinicie o serviço:

    /etc/init.d/openvpn restart


    Obs: mantenha seu arquivo ccd/nomeempresa na seguinte pasta.

    /etc/openvpn/ccd
    iroute 192.168.2.0 255.255.255.0





    Agora vamos a configuração do cliente.

    Como vc esta acessando de uma maquina XP baixe o instalador no site:
    http://swupdate.openvpn.net/community/releases/openvpn-2.1.4-install.exe

    a instalação é padrão só next, next, etc.

    depois vá a pasta: C:\Arquivos de programas\OpenVPN\config

    crie um arquivo cliente.opvn com a seguinte configuração:

    remote IPDOSEUSERVIDOR

    proto udp
    port 1194
    client
    pull
    dev tun
    comp-lzo
    keepalive 10 120
    persist-key
    persist-tun
    float
    tls-client
    auth-nocache
    remote-cert-tls server
    dh keysu/dh1024.pem
    ca keysu/ca.crt
    cert keysu/nomedocliente.crt
    key keysu/nomecliente.key

    em seguida crie uma pasta com o nome de Keys e coloque as chaves do cliente nela.

    Se seu servidor possuir firewall acrescente as seguintes linhas:
    ### VPN
    iptables -A INPUT -i $NET -p UDP --dport 11194 -j ACCEPT
    iptables -I INPUT -i tun+ -j ACCEPT
    iptables -I FORWARD -i tun+ -j ACCEPT
    iptables -I FORWARD -o tun+ -j ACCEPT
    iptables -I OUTPUT -o tun+ -j ACCEPT

    $NET = ETH0(ADSL)
    $RLOCAL = ETH1 (rede interna)

    ## Servidor VPN 1194
    iptables -A FORWARD -o $NET -p UDP --dport 1194 -j ACCEPT
    iptables -A OUTPUT -o $NET -p UDP --dport 1194 -j ACCEPT
    .
    O acesso que é feito pelo cliente passa por algum FIREWALL ?

    Seguindo a receita de bolo ai acredito que não tenha problema algum.

    Use esse site como referencia: http://openvpn.net/index.php/open-so....html#secnotes


    Qualquer dúvida posta ai.
    Última edição por sowbra; 11-01-2011 às 11:11.



  7. #7

    Padrão Re: Filial ve matriz mas não ao contrário

    Desculpe a demora!
    Testei essa config, mas nada!
    to enviado a config do firewall do serv.
    será q o modem adsl da filial pode estar influenciado?
    Testei no servidor pingar o ip da vpn da filial e deu certo, mas o ip da rede interna do micro da filial não.
    A filial continua acessando a rede matriz.

    Código :
    #!/bin/sh
     
    # Carrega os modulos
    modprobe ip_tables
    modprobe iptable_nat
    modprobe ip_nat_ftp
    modprobe ip_conntrack_ftp
     
    # Limpa regras
    iptables -F
    iptables -X
    iptables -t nat -F
    iptables -t nat -X
     
    echo "11"
    # direciona porta 81 para 80 do unix
    redir --lport 81 --caddr 192.168.0.100 --cport 80 &
     
    # liberando localhost para funcionar
    iptables -A INPUT -i lo -j ACCEPT
     
    echo "1"
     
    # liberando retorno dos pacotes DNS
    iptables -A INPUT -s 0/0 -p udp --sport 53 -j ACCEPT
    iptables -A FORWARD -s 0/0 -p udp --sport 53 -j ACCEPT
    iptables -A INPUT -s 0/0 -p udp --sport 500 -j ACCEPT
    iptables -A INPUT -s 0/0 -p udp --sport 4500 -j ACCEPT
    iptables -A INPUT -s 0/0 -p udp --sport 888 -j ACCEPT
    iptables -A INPUT -s 0/0 -p tcp --sport 700 -j ACCEPT
    iptables -A INPUT -s 0/0 -p tcp --sport 2323 -j ACCEPT
    iptables -A FORWARD -s 0/0 -p udp --sport 500 -j ACCEPT
    iptables -A FORWARD -s 0/0 -p udp --sport 4500 -j ACCEPT
    iptables -A FORWARD -s 0/0 -p udp --sport 888 -j ACCEPT
    iptables -A FORWARD -s 0/0 -p tcp --sport 700 -j ACCEPT
    iptables -A FORWARD -s 0/0 -p tcp --sport 2323 -j ACCEPT
     
     
     
    # liberando retorno dos pacotes de http
    iptables -A INPUT -s 0/0 -p tcp --dport 80 -j ACCEPT
    iptables -A INPUT -s 0/0 -p tcp --sport 8017 -j ACCEPT
    iptables -A INPUT -s 0/0 -p tcp --dport 8017 -j ACCEPT
     
    # Bloqueando TraceRoute
    iptables -A INPUT -p udp -s 0/0 -i eth1 --dport 33435:33525 -j DROP
    iptables -A INPUT -p udp -s 0/0 -i eth2 --dport 33435:33525 -j DROP
     
    # Porta 8017 gia
    iptables -A INPUT -p tcp --destination-port 8017 -j ACCEPT
     
     
     
    # Habilitando o recurso de IP forwarding
    echo "1" >/proc/sys/net/ipv4/ip_forward
     
    # Abre para a conectividade social caixa
    iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp -d cmt.caixa.gov.br --dport 80 -j RETURN
    iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp -d 200.201.174.0/24 --dport 80 -j RETURN
     
    # CTF
    iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp -d www.portalctf.com.br --dport 80 -j RETURN
    iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp -d 201.63.119.0/24 --dport 80 -j RETURN
     
    #Ativando mascaramento  e compartilha conexao 
    # externa
    iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE 
    # interna
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
    #iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
     
    # Abre para a rede local #
    #iptables -A INPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT
     
    # Bloqueando Kazaa
    iptables -A FORWARD -d 213.248.112.0/24 -j REJECT
    iptables -A FORWARD -p TCP --dport 1214 -j REJECT
     
    # bloqueando Torrent
    iptables -A INPUT -p tcp --destination-port 6881:6889 -j REJECT
    iptables -A INPUT -p udp --destination-port 6881:6889 -j REJECT
    iptables -A OUTPUT -p tcp --destination-port 6881:6889 -j REJECT
    iptables -A OUTPUT -p udp --destination-port 6881:6889 -j REJECT
    iptables -A FORWARD -j REJECT -p tcp --dport 6881:6889 
    iptables -A FORWARD -j REJECT -p udp --dport 6881:6889 
     
    # Bloqueando conexao (P2P Gnutela)
    iptables -A OUTPUT -p tcp --sport 0:65535 --dport 6346:6346 -m state --state NEW -j REJECT
     
    # Bloqueando conexao (P2P aMule)
    iptables -A INPUT -p tcp --destination-port 4662 -j REJECT
    iptables -A OUTPUT -p tcp --sport 0:65535 --dport 4632:4732 -m state --state NEW -j REJECT
    iptables -A FORWARD -j REJECT -p tcp --dport 4672
     
    # Bloqueando  conexao (Limewire)
    iptables -A INPUT -p tcp --destination-port 4666 -j REJECT
    iptables -A FORWARD -j REJECT -p tcp --dport 4666
    iptables -A OUTPUT -p tcp --sport 0:65535 --dport 4666:4666 -m state --state NEW -j REJECT
     
    # CONFIG MSN-PROXY
    #iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 1863 -j REDIRECT --to-port 1863
    iptables -t nat -A PREROUTING -p tcp --dport 1863 -s 192.168.0.0/24 -j REDIRECT --to-port 1863
    iptables -t nat -A PREROUTING -p tcp --dport 25000:30000 -s 192.168.0.0/24 -j ACCEPT
    iptables -A INPUT -p tcp --dport 25000:30000 -s 192.168.0.0/24 -j ACCEPT
     
    #OPENVPN
    iptables -A INPUT -i eth2 -p UDP --dport 11194 -j ACCEPT
    iptables -I INPUT -i tun+ -j ACCEPT
    iptables -I FORWARD -i tun+ -j ACCEPT
    iptables -I FORWARD -o tun+ -j ACCEPT
    iptables -I OUTPUT -o tun+ -j ACCEPT
    iptables -A FORWARD -o eth2 -p UDP --dport 1194 -j ACCEPT
    iptables -A OUTPUT -o eth2 -p UDP --dport 1194 -j ACCEPT

  8. #8

    Padrão Re: Filial ve matriz mas não ao contrário

    #OPENVPN
    iptables -A INPUT -i eth2 -p UDP --dport 11194 -j ACCEPT
    iptables -I INPUT -i tun+ -j ACCEPT
    iptables -I FORWARD -i tun+ -j ACCEPT
    iptables -I FORWARD -o tun+ -j ACCEPT
    iptables -I OUTPUT -o tun+ -j ACCEPT
    iptables -A FORWARD -o eth2 -p UDP --dport 1194 -j ACCEPT
    iptables -A OUTPUT -o eth2 -p UDP --dport 1194 -j ACCEPT[/CODE][/QUOTE]


    Altere a linha em negrito para 1194.

    Vc usou a config da openvpn do server.conf e do cliente.ovpn identicas as que te passei?? (poste elas aqui por favor) junto com os arquivos /var/log/openvpn.log
    do servidor e do cliente.


    Outra coisa vc nao respondeu se a sua filial possui algum tipo de bloqueio (firewall)?



  9. #9

    Padrão Re: Filial ve matriz mas não ao contrário

    Segue o firewall servidor:
    Código :
    #!/bin/sh
     
    # Carrega os modulos
    modprobe ip_tables
    modprobe iptable_nat
    modprobe ip_nat_ftp
    modprobe ip_conntrack_ftp
     
    # Limpa regras
    iptables -F
    iptables -X
    iptables -t nat -F
    iptables -t nat -X
    # direciona porta 81 para 80 do unix
    redir --lport 81 --caddr 192.168.0.100 --cport 80 &
    # liberando localhost para funcionar
    iptables -A INPUT -i lo -j ACCEPT
    # liberando retorno dos pacotes DNS
    iptables -A INPUT -s 0/0 -p udp --sport 53 -j ACCEPT
    iptables -A FORWARD -s 0/0 -p udp --sport 53 -j ACCEPT
    iptables -A INPUT -s 0/0 -p udp --sport 500 -j ACCEPT
    iptables -A INPUT -s 0/0 -p udp --sport 4500 -j ACCEPT
    iptables -A INPUT -s 0/0 -p udp --sport 888 -j ACCEPT
    iptables -A INPUT -s 0/0 -p tcp --sport 700 -j ACCEPT
    iptables -A INPUT -s 0/0 -p tcp --sport 2323 -j ACCEPT
    iptables -A FORWARD -s 0/0 -p udp --sport 500 -j ACCEPT
    iptables -A FORWARD -s 0/0 -p udp --sport 4500 -j ACCEPT
    iptables -A FORWARD -s 0/0 -p udp --sport 888 -j ACCEPT
    iptables -A FORWARD -s 0/0 -p tcp --sport 700 -j ACCEPT
    iptables -A FORWARD -s 0/0 -p tcp --sport 2323 -j ACCEPT
    # liberando retorno dos pacotes de http
    iptables -A INPUT -s 0/0 -p tcp --dport 80 -j ACCEPT
    iptables -A INPUT -s 0/0 -p tcp --sport 8017 -j ACCEPT
    iptables -A INPUT -s 0/0 -p tcp --dport 8017 -j ACCEPT
    # Bloqueando TraceRoute
    iptables -A INPUT -p udp -s 0/0 -i eth1 --dport 33435:33525 -j DROP
    iptables -A INPUT -p udp -s 0/0 -i eth2 --dport 33435:33525 -j DROP
    # Porta 8017 gia
    iptables -A INPUT -p tcp --destination-port 8017 -j ACCEPT
    # Habilitando o recurso de IP forwarding
    echo "1" >/proc/sys/net/ipv4/ip_forward
    # Abre para a conectividade social caixa
    iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp -d cmt.caixa.gov.br --dport 80 -j RETURN
    iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp -d 200.201.174.0/24 --dport 80 -j RETURN
    # CTF
    iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp -d www.portalctf.com.br --dport 80 -j RETURN
    iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp -d 201.63.119.0/24 --dport 80 -j RETURN
    #Ativando mascaramento  e compartilha conexao 
    # externa
    iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE 
    # interna
    iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128
    #iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
     
    # Abre para a rede local #
    #iptables -A INPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT
     
    # Bloqueando Kazaa
    iptables -A FORWARD -d 213.248.112.0/24 -j REJECT
    iptables -A FORWARD -p TCP --dport 1214 -j REJECT
     
    # bloqueando Torrent
    iptables -A INPUT -p tcp --destination-port 6881:6889 -j REJECT
    iptables -A INPUT -p udp --destination-port 6881:6889 -j REJECT
    iptables -A OUTPUT -p tcp --destination-port 6881:6889 -j REJECT
    iptables -A OUTPUT -p udp --destination-port 6881:6889 -j REJECT
    iptables -A FORWARD -j REJECT -p tcp --dport 6881:6889 
    iptables -A FORWARD -j REJECT -p udp --dport 6881:6889 
     
    # Bloqueando conexao (P2P Gnutela)
    iptables -A OUTPUT -p tcp --sport 0:65535 --dport 6346:6346 -m state --state NEW -j REJECT
     
    # Bloqueando conexao (P2P aMule)
    iptables -A INPUT -p tcp --destination-port 4662 -j REJECT
    iptables -A OUTPUT -p tcp --sport 0:65535 --dport 4632:4732 -m state --state NEW -j REJECT
    iptables -A FORWARD -j REJECT -p tcp --dport 4672
     
    # Bloqueando  conexao (Limewire)
    iptables -A INPUT -p tcp --destination-port 4666 -j REJECT
    iptables -A FORWARD -j REJECT -p tcp --dport 4666
    iptables -A OUTPUT -p tcp --sport 0:65535 --dport 4666:4666 -m state --state NEW -j REJECT
     
    # CONFIG MSN-PROXY
    #iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 1863 -j REDIRECT --to-port 1863
    iptables -t nat -A PREROUTING -p tcp --dport 1863 -s 192.168.0.0/24 -j REDIRECT --to-port 1863
    iptables -t nat -A PREROUTING -p tcp --dport 25000:30000 -s 192.168.0.0/24 -j ACCEPT
    iptables -A INPUT -p tcp --dport 25000:30000 -s 192.168.0.0/24 -j ACCEPT
     
    #OPENVPN
    iptables -t filter -A INPUT -p udp --dport 1194 -j ACCEPT
    iptables -t filter -A FORWARD -p udp -s 192.168.0.0/24 --dport 1194 -j ACCEPT
    iptables -t filter -A FORWARD -p udp -d 192.168.0.0/24 --sport 1194 -j ACCEPT
    iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 10.0.0.0/24 -j ACCEPT
    iptables -t nat -A POSTROUTING -d 192.168.0.0/24 -s 10.0.0.0/24 -j ACCEPT
    iptables -t nat -I POSTROUTING -s 10.0.0.0/24 -o eth1 -j MASQUERADE
    iptables -A INPUT -i eth2 -p UDP --dport 1194 -j ACCEPT
    iptables -I INPUT -i tun+ -j ACCEPT
    iptables -I FORWARD -i tun+ -j ACCEPT
    iptables -I FORWARD -o tun+ -j ACCEPT
    iptables -I OUTPUT -o tun+ -j ACCEPT
    iptables -A FORWARD -o eth2 -p UDP --dport 1194 -j ACCEPT
    iptables -A OUTPUT -o eth2 -p UDP --dport 1194 -j ACCEPT
    Config Servidor:
    Código :
    proto udp
    port 1194
    dev tun
     
    client-config-dir ccd
     
    #Rede
    route 192.168.0.0 255.255.0.0
     
    server 10.0.0.0 255.255.255.0
    push "route 192.168.0.0 255.255.0.0"
     
    comp-lzo
    keepalive 10 120
    persist-key
    persist-tun
     
    max-clients 5
     
    float
    ifconfig-pool-persist /etc/openvpn/ipp.txt
     
    tls-server
     
    dh /etc/openvpn/keys/dh1024.pem
    ca /etc/openvpn/keys/ca.crt
    cert /etc/openvpn/keys/tr.crt
    key /etc/openvpn/keys/tr.key
    #tls-auth /etc/openvpn/keys/chave.key
     
    status /var/log/openvpn/stats.log
     
    log-append /var/log/openvpn/openvpn.log
     
    # Nivel dos logs.
    # 0 -- silencioso, exceto por erros fatais.
    # 1 -- quase silencioso, mas mostra erros nãfatais da rede.
    # 3 -- méo, ideal para uso no dia-a-dia
    # 9 -- barulhento, ideal para soluç de problemas
    verb 3
    config cliente XP:
    Código :
    remote 1.2.3.4
     
    proto udp
    port 1194
    client
    pull
    dev tun
    comp-lzo
    keepalive 10 120
    persist-key
    persist-tun
    float
    tls-client
    auth-nocache
    remote-cert-tls server
     
     
    dh dh1024.pem
    ca ca.crt
    cert t50.0.crt
    key t50.0.key
    #tls-auth chave.key

    Tentei desativar o Firewall do windos XP da filial mas não resolveu, o modem fa filial é um d-link 500b com regras padrão.

    Log Matriz openvpn.log.txt

    Log Filial filial.log.txt

  10. #10

    Padrão Re: Filial ve matriz mas não ao contrário

    O erro esta aqui no seu log da filial.

    WARNING: potential route subnet conflict between local LAN [192.168.2.0/255.255.255.0] and remote VPN [192.168.0.0/255.255.0.0]

    no servidor como esta seu arquivo ccd?

    comente a linda do server.conf

    #client-config-dir ccd

    e faça um teste....



    poste os logs do server e do cliente.



    Caso nao de certo, fica + facil vc alterar a faixa de ip de sua filial ai acaba o problema de conflito....

    ex: 192.168.2.x para 172.18.10.x
    Última edição por sowbra; 17-01-2011 às 16:23.



  11. #11

    Padrão Re: Filial ve matriz mas não ao contrário

    Desculpa a demora, outros problemas apareceram.
    mudei a faixa de IP da filial para 172.10.10.0 com DHCP, não resolveu.
    o arquivo /etc/openvpn/ccd/nomeempresa está com :
    iroute 172.10.10.0 255.255.255.0

    segue log matriz:
    Código :
    [COLOR=#000000][FONT=Times New Roman]
    [COLOR=#000000][FONT=Times New Roman]
    Tue Jan 25 16:56:21 2011 OpenVPN 2.1_rc11 x86_64-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] built on Sep 18 2008
    Tue Jan 25 16:56:21 2011 Diffie-Hellman initialized with 1024 bit key
    Tue Jan 25 16:56:21 2011 WARNING: file '/etc/openvpn/keys/transardo.key' is group or others accessible
    Tue Jan 25 16:56:21 2011 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
    Tue Jan 25 16:56:21 2011 TLS-Auth MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
    Tue Jan 25 16:56:21 2011 ROUTE default_gateway=201.20.183.81
    Tue Jan 25 16:56:21 2011 TUN/TAP device tun0 opened
    Tue Jan 25 16:56:21 2011 TUN/TAP TX queue length set to 100
    Tue Jan 25 16:56:21 2011 /sbin/ifconfig tun0 10.0.0.1 pointopoint 10.0.0.2 mtu 1500
    Tue Jan 25 16:56:21 2011 /sbin/route add -net 192.168.0.0 netmask 255.255.0.0 gw 10.0.0.2
    Tue Jan 25 16:56:21 2011 /sbin/route add -net 10.0.0.0 netmask 255.255.255.0 gw 10.0.0.2
    Tue Jan 25 16:56:21 2011 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
    Tue Jan 25 16:56:21 2011 Socket Buffers: R=[124928->131072] S=[124928->131072]
    Tue Jan 25 16:56:21 2011 UDPv4 link local (bound): [undef]:1194
    Tue Jan 25 16:56:21 2011 UDPv4 link remote: [undef]
    Tue Jan 25 16:56:21 2011 MULTI: multi_init called, r=256 v=256
    Tue Jan 25 16:56:21 2011 IFCONFIG POOL: base=10.0.0.4 size=62
    Tue Jan 25 16:56:21 2011 IFCONFIG POOL LIST
    Tue Jan 25 16:56:21 2011 jm01,10.0.0.4
    Tue Jan 25 16:56:21 2011 reinaldo01,10.0.0.8
    Tue Jan 25 16:56:21 2011 leio01,10.0.0.12
    Tue Jan 25 16:56:21 2011 t55.0,10.0.0.20
    Tue Jan 25 16:56:21 2011 t50.0,10.0.0.28
    Tue Jan 25 16:56:21 2011 Initialization Sequence Completed
    >>
    Tue Jan 25 16:56:57 2011 MULTI: multi_create_instance called
    Tue Jan 25 16:56:57 2011 201.58.90.246:1194 Re-using SSL/TLS context
    Tue Jan 25 16:56:57 2011 201.58.90.246:1194 LZO compression initialized
    Tue Jan 25 16:56:57 2011 201.58.90.246:1194 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
    Tue Jan 25 16:56:57 2011 201.58.90.246:1194 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
    Tue Jan 25 16:56:57 2011 201.58.90.246:1194 Local Options hash (VER=V4): '530fdded'
    Tue Jan 25 16:56:57 2011 201.58.90.246:1194 Expected Remote Options hash (VER=V4): '41690919'
    Tue Jan 25 16:56:57 2011 201.58.90.246:1194 TLS: Initial packet from 201.58.90.246:1194, sid=01e9818a 68ae256a
    Tue Jan 25 16:56:58 2011 201.58.90.246:1194 VERIFY OK: depth=1, /C=BR/ST=PR/L=CARAMBEI/O=TRANSARDO/CN=TRANSARDO_CA/[email protected]
    Tue Jan 25 16:56:58 2011 201.58.90.246:1194 VERIFY OK: depth=0, /C=BR/ST=MG/L=BELOHORIZONTE/O=TRANSARDO/OU=FILIALMG/CN=t50.0/[email protected]
    Tue Jan 25 16:56:58 2011 201.58.90.246:1194 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
    Tue Jan 25 16:56:58 2011 201.58.90.246:1194 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Tue Jan 25 16:56:58 2011 201.58.90.246:1194 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
    Tue Jan 25 16:56:58 2011 201.58.90.246:1194 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Tue Jan 25 16:56:58 2011 201.58.90.246:1194 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
    Tue Jan 25 16:56:58 2011 201.58.90.246:1194 [t50.0] Peer Connection Initiated with 201.58.90.246:1194
    Tue Jan 25 16:56:58 2011 t50.0/201.58.90.246:1194 MULTI: Learn: 10.0.0.30 -> t50.0/201.58.90.246:1194
    Tue Jan 25 16:56:58 2011 t50.0/201.58.90.246:1194 MULTI: primary virtual IP for t50.0/201.58.90.246:1194: 10.0.0.30
    Tue Jan 25 16:57:01 2011 t50.0/201.58.90.246:1194 PUSH: Received control message: 'PUSH_REQUEST'
    Tue Jan 25 16:57:01 2011 t50.0/201.58.90.246:1194 SENT CONTROL [t50.0]: 'PUSH_REPLY,route 192.168.0.0 255.255.0.0,route 10.0.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.0.0.30 10.0.0.29' (status=1)
    >> conectou
    Tue Jan 25 16:57:37 2011 t50.0/201.58.90.246:1194 MULTI: bad source address from client [172.10.10.2], packet dropped
    Tue Jan 25 16:57:37 2011 t50.0/201.58.90.246:1194 MULTI: bad source address from client [5.12.211.111], packet dropped
    Tue Jan 25 16:57:40 2011 t50.0/201.58.90.246:1194 MULTI: bad source address from client [172.10.10.2], packet dropped
    Tue Jan 25 16:57:40 2011 t50.0/201.58.90.246:1194 MULTI: bad source address from client [5.12.211.111], packet dropped
    Tue Jan 25 16:57:46 2011 t50.0/201.58.90.246:1194 MULTI: bad source address from client [172.10.10.2], packet dropped
    Tue Jan 25 16:57:46 2011 t50.0/201.58.90.246:1194 MULTI: bad source address from client [5.12.211.111], packet dropped
    >>filial acessou matriz[/FONT][/COLOR][/FONT][/COLOR]
    pinguei(pelo servidor) o IP da VPN da filial OK
    Pinguei(pelo servidor) o Ip da máquina da filial ERRO

    pinguei(pela minha máquina XP) o IP da VPN da filial ERRO
    Pinguei(pela minha máquina XP) o Ip da máquina da filial ERRO
    compartilhamento tb deu erro
    no log não apareceu nada disso