Página 2 de 3 PrimeiroPrimeiro 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. Vamos lá:

    Faça um bkp do seu arquivo de config e crie um novo:

    Vim /etc/openvpn/server.conf

    proto udp
    port 1194
    dev tun

    client-config-dir ccd

    #Rede
    route 192.168.0.0 255.255.0.0

    server 10.0.0.0 255.255.255.0
    push "route 192.168.0.0 255.255.0.0"

    comp-lzo
    keepalive 10 120
    persist-key
    persist-tun

    max-clients 5

    float
    ifconfig-pool-persist /etc/openvpn/ipp.txt

    tls-server

    dh /etc/openvpn/keys/dh1024.pem
    ca /etc/openvpn/keys/ca.crt
    cert /etc/openvpn/keys/nomeempresa.crt
    key /etc/openvpn/keys/nomeempresa.key

    status /var/log/openvpn.stats

    log-append /var/log/openvpn.log

    # Nivel dos logs.
    # 0 -- silencioso, exceto por erros fatais.
    # 1 -- quase silencioso, mas mostra erros nãfatais da rede.
    # 3 -- méo, ideal para uso no dia-a-dia
    # 9 -- barulhento, ideal para soluç de problemas
    verb 3

    feito isso salve e reinicie o serviço:

    /etc/init.d/openvpn restart


    Obs: mantenha seu arquivo ccd/nomeempresa na seguinte pasta.

    /etc/openvpn/ccd
    iroute 192.168.2.0 255.255.255.0





    Agora vamos a configuração do cliente.

    Como vc esta acessando de uma maquina XP baixe o instalador no site:
    http://swupdate.openvpn.net/community/releases/openvpn-2.1.4-install.exe

    a instalação é padrão só next, next, etc.

    depois vá a pasta: C:\Arquivos de programas\OpenVPN\config

    crie um arquivo cliente.opvn com a seguinte configuração:

    remote IPDOSEUSERVIDOR

    proto udp
    port 1194
    client
    pull
    dev tun
    comp-lzo
    keepalive 10 120
    persist-key
    persist-tun
    float
    tls-client
    auth-nocache
    remote-cert-tls server
    dh keysu/dh1024.pem
    ca keysu/ca.crt
    cert keysu/nomedocliente.crt
    key keysu/nomecliente.key

    em seguida crie uma pasta com o nome de Keys e coloque as chaves do cliente nela.

    Se seu servidor possuir firewall acrescente as seguintes linhas:
    ### VPN
    iptables -A INPUT -i $NET -p UDP --dport 11194 -j ACCEPT
    iptables -I INPUT -i tun+ -j ACCEPT
    iptables -I FORWARD -i tun+ -j ACCEPT
    iptables -I FORWARD -o tun+ -j ACCEPT
    iptables -I OUTPUT -o tun+ -j ACCEPT

    $NET = ETH0(ADSL)
    $RLOCAL = ETH1 (rede interna)

    ## Servidor VPN 1194
    iptables -A FORWARD -o $NET -p UDP --dport 1194 -j ACCEPT
    iptables -A OUTPUT -o $NET -p UDP --dport 1194 -j ACCEPT
    .
    O acesso que é feito pelo cliente passa por algum FIREWALL ?

    Seguindo a receita de bolo ai acredito que não tenha problema algum.

    Use esse site como referencia: http://openvpn.net/index.php/open-so....html#secnotes


    Qualquer dúvida posta ai.
    Última edição por sowbra; 11-01-2011 às 10:11.

  2. Desculpe a demora!
    Testei essa config, mas nada!
    to enviado a config do firewall do serv.
    será q o modem adsl da filial pode estar influenciado?
    Testei no servidor pingar o ip da vpn da filial e deu certo, mas o ip da rede interna do micro da filial não.
    A filial continua acessando a rede matriz.

    Código :
    #!/bin/sh
     
    # Carrega os modulos
    modprobe ip_tables
    modprobe iptable_nat
    modprobe ip_nat_ftp
    modprobe ip_conntrack_ftp
     
    # Limpa regras
    iptables -F
    iptables -X
    iptables -t nat -F
    iptables -t nat -X
     
    echo "11"
    # direciona porta 81 para 80 do unix
    redir --lport 81 --caddr 192.168.0.100 --cport 80 &
     
    # liberando localhost para funcionar
    iptables -A INPUT -i lo -j ACCEPT
     
    echo "1"
     
    # liberando retorno dos pacotes DNS
    iptables -A INPUT -s 0/0 -p udp --sport 53 -j ACCEPT
    iptables -A FORWARD -s 0/0 -p udp --sport 53 -j ACCEPT
    iptables -A INPUT -s 0/0 -p udp --sport 500 -j ACCEPT
    iptables -A INPUT -s 0/0 -p udp --sport 4500 -j ACCEPT
    iptables -A INPUT -s 0/0 -p udp --sport 888 -j ACCEPT
    iptables -A INPUT -s 0/0 -p tcp --sport 700 -j ACCEPT
    iptables -A INPUT -s 0/0 -p tcp --sport 2323 -j ACCEPT
    iptables -A FORWARD -s 0/0 -p udp --sport 500 -j ACCEPT
    iptables -A FORWARD -s 0/0 -p udp --sport 4500 -j ACCEPT
    iptables -A FORWARD -s 0/0 -p udp --sport 888 -j ACCEPT
    iptables -A FORWARD -s 0/0 -p tcp --sport 700 -j ACCEPT
    iptables -A FORWARD -s 0/0 -p tcp --sport 2323 -j ACCEPT
     
     
     
    # liberando retorno dos pacotes de http
    iptables -A INPUT -s 0/0 -p tcp --dport 80 -j ACCEPT
    iptables -A INPUT -s 0/0 -p tcp --sport 8017 -j ACCEPT
    iptables -A INPUT -s 0/0 -p tcp --dport 8017 -j ACCEPT
     
    # Bloqueando TraceRoute
    iptables -A INPUT -p udp -s 0/0 -i eth1 --dport 33435:33525 -j DROP
    iptables -A INPUT -p udp -s 0/0 -i eth2 --dport 33435:33525 -j DROP
     
    # Porta 8017 gia
    iptables -A INPUT -p tcp --destination-port 8017 -j ACCEPT
     
     
     
    # Habilitando o recurso de IP forwarding
    echo "1" >/proc/sys/net/ipv4/ip_forward
     
    # Abre para a conectividade social caixa
    iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp -d cmt.caixa.gov.br --dport 80 -j RETURN
    iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp -d 200.201.174.0/24 --dport 80 -j RETURN
     
    # CTF
    iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp -d www.portalctf.com.br --dport 80 -j RETURN
    iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp -d 201.63.119.0/24 --dport 80 -j RETURN
     
    #Ativando mascaramento  e compartilha conexao 
    # externa
    iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE 
    # interna
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
    #iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
     
    # Abre para a rede local #
    #iptables -A INPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT
     
    # Bloqueando Kazaa
    iptables -A FORWARD -d 213.248.112.0/24 -j REJECT
    iptables -A FORWARD -p TCP --dport 1214 -j REJECT
     
    # bloqueando Torrent
    iptables -A INPUT -p tcp --destination-port 6881:6889 -j REJECT
    iptables -A INPUT -p udp --destination-port 6881:6889 -j REJECT
    iptables -A OUTPUT -p tcp --destination-port 6881:6889 -j REJECT
    iptables -A OUTPUT -p udp --destination-port 6881:6889 -j REJECT
    iptables -A FORWARD -j REJECT -p tcp --dport 6881:6889 
    iptables -A FORWARD -j REJECT -p udp --dport 6881:6889 
     
    # Bloqueando conexao (P2P Gnutela)
    iptables -A OUTPUT -p tcp --sport 0:65535 --dport 6346:6346 -m state --state NEW -j REJECT
     
    # Bloqueando conexao (P2P aMule)
    iptables -A INPUT -p tcp --destination-port 4662 -j REJECT
    iptables -A OUTPUT -p tcp --sport 0:65535 --dport 4632:4732 -m state --state NEW -j REJECT
    iptables -A FORWARD -j REJECT -p tcp --dport 4672
     
    # Bloqueando  conexao (Limewire)
    iptables -A INPUT -p tcp --destination-port 4666 -j REJECT
    iptables -A FORWARD -j REJECT -p tcp --dport 4666
    iptables -A OUTPUT -p tcp --sport 0:65535 --dport 4666:4666 -m state --state NEW -j REJECT
     
    # CONFIG MSN-PROXY
    #iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 1863 -j REDIRECT --to-port 1863
    iptables -t nat -A PREROUTING -p tcp --dport 1863 -s 192.168.0.0/24 -j REDIRECT --to-port 1863
    iptables -t nat -A PREROUTING -p tcp --dport 25000:30000 -s 192.168.0.0/24 -j ACCEPT
    iptables -A INPUT -p tcp --dport 25000:30000 -s 192.168.0.0/24 -j ACCEPT
     
    #OPENVPN
    iptables -A INPUT -i eth2 -p UDP --dport 11194 -j ACCEPT
    iptables -I INPUT -i tun+ -j ACCEPT
    iptables -I FORWARD -i tun+ -j ACCEPT
    iptables -I FORWARD -o tun+ -j ACCEPT
    iptables -I OUTPUT -o tun+ -j ACCEPT
    iptables -A FORWARD -o eth2 -p UDP --dport 1194 -j ACCEPT
    iptables -A OUTPUT -o eth2 -p UDP --dport 1194 -j ACCEPT



  3. #OPENVPN
    iptables -A INPUT -i eth2 -p UDP --dport 11194 -j ACCEPT
    iptables -I INPUT -i tun+ -j ACCEPT
    iptables -I FORWARD -i tun+ -j ACCEPT
    iptables -I FORWARD -o tun+ -j ACCEPT
    iptables -I OUTPUT -o tun+ -j ACCEPT
    iptables -A FORWARD -o eth2 -p UDP --dport 1194 -j ACCEPT
    iptables -A OUTPUT -o eth2 -p UDP --dport 1194 -j ACCEPT[/CODE][/QUOTE]


    Altere a linha em negrito para 1194.

    Vc usou a config da openvpn do server.conf e do cliente.ovpn identicas as que te passei?? (poste elas aqui por favor) junto com os arquivos /var/log/openvpn.log
    do servidor e do cliente.


    Outra coisa vc nao respondeu se a sua filial possui algum tipo de bloqueio (firewall)?

  4. Segue o firewall servidor:
    Código :
    #!/bin/sh
     
    # Carrega os modulos
    modprobe ip_tables
    modprobe iptable_nat
    modprobe ip_nat_ftp
    modprobe ip_conntrack_ftp
     
    # Limpa regras
    iptables -F
    iptables -X
    iptables -t nat -F
    iptables -t nat -X
    # direciona porta 81 para 80 do unix
    redir --lport 81 --caddr 192.168.0.100 --cport 80 &
    # liberando localhost para funcionar
    iptables -A INPUT -i lo -j ACCEPT
    # liberando retorno dos pacotes DNS
    iptables -A INPUT -s 0/0 -p udp --sport 53 -j ACCEPT
    iptables -A FORWARD -s 0/0 -p udp --sport 53 -j ACCEPT
    iptables -A INPUT -s 0/0 -p udp --sport 500 -j ACCEPT
    iptables -A INPUT -s 0/0 -p udp --sport 4500 -j ACCEPT
    iptables -A INPUT -s 0/0 -p udp --sport 888 -j ACCEPT
    iptables -A INPUT -s 0/0 -p tcp --sport 700 -j ACCEPT
    iptables -A INPUT -s 0/0 -p tcp --sport 2323 -j ACCEPT
    iptables -A FORWARD -s 0/0 -p udp --sport 500 -j ACCEPT
    iptables -A FORWARD -s 0/0 -p udp --sport 4500 -j ACCEPT
    iptables -A FORWARD -s 0/0 -p udp --sport 888 -j ACCEPT
    iptables -A FORWARD -s 0/0 -p tcp --sport 700 -j ACCEPT
    iptables -A FORWARD -s 0/0 -p tcp --sport 2323 -j ACCEPT
    # liberando retorno dos pacotes de http
    iptables -A INPUT -s 0/0 -p tcp --dport 80 -j ACCEPT
    iptables -A INPUT -s 0/0 -p tcp --sport 8017 -j ACCEPT
    iptables -A INPUT -s 0/0 -p tcp --dport 8017 -j ACCEPT
    # Bloqueando TraceRoute
    iptables -A INPUT -p udp -s 0/0 -i eth1 --dport 33435:33525 -j DROP
    iptables -A INPUT -p udp -s 0/0 -i eth2 --dport 33435:33525 -j DROP
    # Porta 8017 gia
    iptables -A INPUT -p tcp --destination-port 8017 -j ACCEPT
    # Habilitando o recurso de IP forwarding
    echo "1" >/proc/sys/net/ipv4/ip_forward
    # Abre para a conectividade social caixa
    iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp -d cmt.caixa.gov.br --dport 80 -j RETURN
    iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp -d 200.201.174.0/24 --dport 80 -j RETURN
    # CTF
    iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp -d www.portalctf.com.br --dport 80 -j RETURN
    iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp -d 201.63.119.0/24 --dport 80 -j RETURN
    #Ativando mascaramento  e compartilha conexao 
    # externa
    iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE 
    # interna
    iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128
    #iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
     
    # Abre para a rede local #
    #iptables -A INPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT
     
    # Bloqueando Kazaa
    iptables -A FORWARD -d 213.248.112.0/24 -j REJECT
    iptables -A FORWARD -p TCP --dport 1214 -j REJECT
     
    # bloqueando Torrent
    iptables -A INPUT -p tcp --destination-port 6881:6889 -j REJECT
    iptables -A INPUT -p udp --destination-port 6881:6889 -j REJECT
    iptables -A OUTPUT -p tcp --destination-port 6881:6889 -j REJECT
    iptables -A OUTPUT -p udp --destination-port 6881:6889 -j REJECT
    iptables -A FORWARD -j REJECT -p tcp --dport 6881:6889 
    iptables -A FORWARD -j REJECT -p udp --dport 6881:6889 
     
    # Bloqueando conexao (P2P Gnutela)
    iptables -A OUTPUT -p tcp --sport 0:65535 --dport 6346:6346 -m state --state NEW -j REJECT
     
    # Bloqueando conexao (P2P aMule)
    iptables -A INPUT -p tcp --destination-port 4662 -j REJECT
    iptables -A OUTPUT -p tcp --sport 0:65535 --dport 4632:4732 -m state --state NEW -j REJECT
    iptables -A FORWARD -j REJECT -p tcp --dport 4672
     
    # Bloqueando  conexao (Limewire)
    iptables -A INPUT -p tcp --destination-port 4666 -j REJECT
    iptables -A FORWARD -j REJECT -p tcp --dport 4666
    iptables -A OUTPUT -p tcp --sport 0:65535 --dport 4666:4666 -m state --state NEW -j REJECT
     
    # CONFIG MSN-PROXY
    #iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 1863 -j REDIRECT --to-port 1863
    iptables -t nat -A PREROUTING -p tcp --dport 1863 -s 192.168.0.0/24 -j REDIRECT --to-port 1863
    iptables -t nat -A PREROUTING -p tcp --dport 25000:30000 -s 192.168.0.0/24 -j ACCEPT
    iptables -A INPUT -p tcp --dport 25000:30000 -s 192.168.0.0/24 -j ACCEPT
     
    #OPENVPN
    iptables -t filter -A INPUT -p udp --dport 1194 -j ACCEPT
    iptables -t filter -A FORWARD -p udp -s 192.168.0.0/24 --dport 1194 -j ACCEPT
    iptables -t filter -A FORWARD -p udp -d 192.168.0.0/24 --sport 1194 -j ACCEPT
    iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 10.0.0.0/24 -j ACCEPT
    iptables -t nat -A POSTROUTING -d 192.168.0.0/24 -s 10.0.0.0/24 -j ACCEPT
    iptables -t nat -I POSTROUTING -s 10.0.0.0/24 -o eth1 -j MASQUERADE
    iptables -A INPUT -i eth2 -p UDP --dport 1194 -j ACCEPT
    iptables -I INPUT -i tun+ -j ACCEPT
    iptables -I FORWARD -i tun+ -j ACCEPT
    iptables -I FORWARD -o tun+ -j ACCEPT
    iptables -I OUTPUT -o tun+ -j ACCEPT
    iptables -A FORWARD -o eth2 -p UDP --dport 1194 -j ACCEPT
    iptables -A OUTPUT -o eth2 -p UDP --dport 1194 -j ACCEPT
    Config Servidor:
    Código :
    proto udp
    port 1194
    dev tun
     
    client-config-dir ccd
     
    #Rede
    route 192.168.0.0 255.255.0.0
     
    server 10.0.0.0 255.255.255.0
    push "route 192.168.0.0 255.255.0.0"
     
    comp-lzo
    keepalive 10 120
    persist-key
    persist-tun
     
    max-clients 5
     
    float
    ifconfig-pool-persist /etc/openvpn/ipp.txt
     
    tls-server
     
    dh /etc/openvpn/keys/dh1024.pem
    ca /etc/openvpn/keys/ca.crt
    cert /etc/openvpn/keys/tr.crt
    key /etc/openvpn/keys/tr.key
    #tls-auth /etc/openvpn/keys/chave.key
     
    status /var/log/openvpn/stats.log
     
    log-append /var/log/openvpn/openvpn.log
     
    # Nivel dos logs.
    # 0 -- silencioso, exceto por erros fatais.
    # 1 -- quase silencioso, mas mostra erros nãfatais da rede.
    # 3 -- méo, ideal para uso no dia-a-dia
    # 9 -- barulhento, ideal para soluç de problemas
    verb 3
    config cliente XP:
    Código :
    remote 1.2.3.4
     
    proto udp
    port 1194
    client
    pull
    dev tun
    comp-lzo
    keepalive 10 120
    persist-key
    persist-tun
    float
    tls-client
    auth-nocache
    remote-cert-tls server
     
     
    dh dh1024.pem
    ca ca.crt
    cert t50.0.crt
    key t50.0.key
    #tls-auth chave.key

    Tentei desativar o Firewall do windos XP da filial mas não resolveu, o modem fa filial é um d-link 500b com regras padrão.

    Log Matriz openvpn.log.txt

    Log Filial filial.log.txt



  5. O erro esta aqui no seu log da filial.

    WARNING: potential route subnet conflict between local LAN [192.168.2.0/255.255.255.0] and remote VPN [192.168.0.0/255.255.0.0]

    no servidor como esta seu arquivo ccd?

    comente a linda do server.conf

    #client-config-dir ccd

    e faça um teste....



    poste os logs do server e do cliente.



    Caso nao de certo, fica + facil vc alterar a faixa de ip de sua filial ai acaba o problema de conflito....

    ex: 192.168.2.x para 172.18.10.x
    Última edição por sowbra; 17-01-2011 às 15:23.






Tópicos Similares

  1. Filias enchergam Matriz , mas Matriz não enxerga filiais.
    Por rodrigomezetti no fórum Servidores de Rede
    Respostas: 0
    Último Post: 19-09-2007, 15:23
  2. Respostas: 3
    Último Post: 06-06-2007, 23:02
  3. Respostas: 17
    Último Post: 13-09-2006, 10:57
  4. Net logon carrega mas não fecha !!
    Por no fórum Servidores de Rede
    Respostas: 0
    Último Post: 17-03-2003, 08:48
  5. script perl conecta no Oracle 8 mas nao no 9
    Por clever no fórum Servidores de Rede
    Respostas: 0
    Último Post: 07-01-2003, 13:56

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L