VPN vs Bridge

[Good_speed]

Oi Pessoal,

Venho pedir ajuda de todos neste forum para me ajudar com minha vpn, montei meu servidor de vpn, estou me conectando normal atravez do cliente xp, vamos aos problemas;

1. Nao consigo chegar no servidor e do servidor nao chego no cliente!!!
2. Ao levantar o script bridge-start a interface eth0 deixa de responder, minha conexao ssh cai, para voltar ao normal tenho q para openvpn e script.
3. Qual ip deve ser configurado no script bridge-start? da minha placa de rede eth0 10.1.8.6/21 ou da rede da vcp!!

Minha infra-estrutura:

Rede: 10.1.8.0/21
Rede vpn: 192.168.1.0/24

Configuracao rede do servidor:

eth0 Link encap:Ethernet Endereço de HW 00:0F:EA:B4:11:FC
inet end.: 10.1.8.6 Bcast:10.1.15.255 Masc:255.255.248.0
endereço inet6: fe80::20f:eaff:feb4:11fc/64 Escopo:Link
UP BROADCASTRUNNING MULTICAST MTU:1500 Métrica:1
RX packets:17446 errors:0 dropped:0 overruns:0 frame:0
TX packets:1860 errors:0 dropped:0 overruns:0 carrier:0
colisões:0 txqueuelen:1000
RX bytes:1735466 (1.6 MiB) TX bytes:308033 (300.8 KiB)
IRQ:185 Endereço de E/S:0xa800

Configuracao Openvpn:
proto udp
port 22223
dev tap0
server-bridge 192.168.1.101 255.255.255.0 192.168.1.210 192.168.1.220
;push "route 192.168.1.0 255.255.255.0"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
;push "dhcp-option WINS 192.168.1.1"
;push "dhcp-option DOMAIN mydomain"
push "redirect-gateway"
comp-lzo
keepalive 10 120
persist-key
persist-tun
float
ifconfig-pool-persist /etc/openvpn/ipp.txt
max-clients 10
push shaper 512
tls-server
log-append /var/log/openvpn.log
status /var/log/openvpn-status.log
ca keys/ca.crt
cert keys/server.crt
key keys/server.key
dh keys/dh1024.pem
tls-auth keys/static.key

Script bridge-start;

# Define Bridge Interface
br="br0"
# Define list of TAP interfaces to be bridged,
# for example tap="tap0 tap1 tap2".
tap="tap0"
# Define physical ethernet interface to be bridged
# with TAP interface(s) above.
eth="eth0"
eth_ip="10.1.8.6"
eth_netmask="255.255.248.0"
eth_broadcast="10.1.15.255"
for t in $tap; do
openvpn --mktun --dev $t
done
brctl addbr $br
brctl addif $br $eth
for t in $tap; do
brctl addif $br $t
done
for t in $tap; do
ifconfig $t 0.0.0.0 promisc up
done
ifconfig $eth 0.0.0.0 promisc up
ifconfig $br $eth_ip netmask $eth_netmask broadcast $eth_broadcast

Internet:
Quem faça o serviço de distribuicao de ip e net e meu roteador RB493.

Agradeço a todos q puder me ajudar.

[amaia]

VPN em bridge em bastante complicado, geralmente eh usado quando vc quer estender um segmento de rede IP, e nao conectar um grupo de usuarios. No caso do endereco a ser usado tem que ser o do servidor na bridge:

server-bridge 10.1.8.6 255.255.255.0 10.1.8.210 10.1.8.220

Pois ira ativar a bridge no servidor com o ip dele ( 10.1.8.6 ) e ira tambem adicionar a interface tap a esta bridge, bem como fornecer a faixa de ip 10.1.8.210-10.1.8.220 aos clientes conectados na vpn. Na sua configuracao atual o ip da bridge muda para 192.168.1.101 bem como o da rede e dos clientes conectados na vpn.

Talvez no seu caso o melhor a fazer seria montar uma vpn roteada, em que vc teria as conexoes dos clientes da vpn e tambem as conexoes dos computadores por tras das conexoes dos clientes.

[Good_speed]

Amaia,

Antes de mais nada quero agradecer pela sua ajuda, muito obrigado...

Qual o propósito desta vpn;

E fazer com que todos os meus professores se conecte a minha rede e possa trabalhar de casa mesmo, vou precisar que a vpn se comporte como fosse a rede local da escola na casa dos professores e demais que vão utilizar este serviços.

Vc falou:
Talvez no seu caso o melhor a fazer seria montar uma vpn roteada, em que vc teria as conexões dos clientes da vpn e também as conexões dos computadores por tras das conexões dos clientes.

eu acho q exatamente isso que estou querendo fazer aqui, pois a vpn hj como ela se encontra nao consigo nem pinga ou fazer qualquer outra coisa nela, vc poderia me orientar de como devo fazer isso?

Grato,

[Good_speed]

VPN - Sendo Finalizada,

Peso mais uma vez ajuda dos colegas na finalização das configurações da minha vpn.

// Configuração Servidor

# /etc/openvpn/server.conf
#
# Define em qual endereco o servidor aceitara conexoes
# Coloque um endereco valido no seu arquivo
local 10.1.8.6

# Porta na qual o servidor aceitara conexoes
port 22223

# Protocolo utilizado no tunel
proto udp

# Dispositivo utilizado pelo OpenVPN
dev tap0

# Indica que o servidor atuara como o
# controlador no canal de comunicacao
# durante a conexao TLS
tls-server

# Permite que os clientes conectados ao
# servidor troquem pacotes entre si
client-to-client

# Para nao precisar especificar o caminho
# completo nas opcoes ca, cert, key, dh e tls-auth
# utilizamos esta opcao
ca keys/ca.crt
cert keys/server.crt
key keys/server.key
dh keys/dh1024.pem
# crl-verify keys/crl.pem

# Chave estatica que atua como uma segunda
# camada de protecao. Servidor so aceita conexoes caso
# este arquivo tambem exista no cliente.
# gere com openvpn --genkey --secret static.key
tls-auth keys/static.key

# Define que atuaremos como servidor
mode server

# Numero maximo de clientes simultaneos conectados
# ao servidor. Neste caso, em um dado momento apenas
# 10 clientes conseguirao ficar conectados ao mesmo tempo.
# Mude para o numero que voce desejar e seus recursos
# permitirem
max-clients 10

# Permite que 2 clientes com o mesmo nome se conectem ao
# servidor ao mesmo tempo. Sem esta opç, o cliente que tentar
# se conectar derruba o cliente ja conectado.
#duplicate-cn

# Define o IP interno do servidor e a faixa de IP's que serao
# atribuidos aos clientes quando se conectarem. Neste caso, o
# OpenVPN pode atribuir qualquer um dos 20 IP's no range configurado.
server-bridge 10.1.8.6 255.255.248.0 10.1.15.200 10.1.15.254

# Configura o DNS no cliente
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"

# Configura o DOMAIN no cliente
#push "dhcp-option DOMAIN mydomain"

# Configura o servidor WINS no cliente. Geralmente
# este e o controlador de dominio da sua rede.
#push "dhcp-option WINS 192.168.1.1"

# Define qual será gateway utilizado pelos clientes
# quando conectarem na VPN. E bom que este gateway seja
# a interface interna do seu servidor OpenVPN.
push "redirect-gateway"

# rotas que o cliente deve tomar para aceder a subredes atras da VPN.
# IMPORTANTE: deve escolher enderecos que minimizem o conflito de ips ou subredes.
# Por exemplo, supondo que usa o tradicional 192.168.0.0/24 na sua rede privada.
# Agora imagine que tenta aceder a VPN a partir de um cybercafe, que por coincidencia
# utiliza a mesma subrede para a rede wireless. Ira existir um conflito de rede, pois o
# cliente vpn nao tera forma de saber se 192.168.0.1 se refere ao gateway wireless do
# cybercafe, ou a um mesmo endereco na VPN.
#push "route 192.168.1.0 255.255.255.0"

# Define quando a outra ponta esta morta. A cada 10 segundos
# um ping e enviado e se nao for recebido em 120 segundos uma resposta,
# definimos que a outra ponta estáorta.
#ping 10
#ping-restart 120

# Configura as mesmas opcoes no cliente.
push "ping 10"
push "ping-restart 60"

# Define que os dados serao comprimidos antes
# de serem enviados pelo canal de comunicacao.
comp-lzo

# Monitora a conexao por 10 segundos sem atividade e reinicia em 120 segundos.
# Como as conexao de internet deixam a desejar, esta opcao deve ser usada.
keepalive 10 120

# Opcoes que evitam o acesso a certos recursos depois do servidor
# ser reeniciado e que podem nao estar accessiveis devido ao
# decremento de privilegios.
persist-key
persist-tun

# Permite que o "tunel" se mantenha aberto mesmo se existir uma troca
# de IP em ambos os lados.
float

# Armazenar uma lista com os enderecos IP
# usados por cada cliente da VPN.
ifconfig-pool-persist /etc/openvpn/ipp.txt

# Banda da conexao do tunel
#shaper 51200

# No arquivo status sao gravados os dados dos clientes
# que se conectam ao servidor. Bom para controle do servidor.
status /var/log/openvpn-status.log 2

# Quantidade de informacoes que serao escritas nos logs
# do OpenVPN. Quanto maior o numero, mais informacoes.
verb 4

# Define quais serãos logs do sistema.
log /var/log/openvpn.log
log-append /var/log/openvpn.log

Este e meu arquivo de configuração do meu servidor vpn, queria tira algumas duvidas com respeito alguns parâmetros.

1. Estou acrescentando os paramentos "ping 10" e "ping-restart 120" no meu arquivo de configuração, ao restartar o servidor o mesmo da FALHA.

ERRO:
Options error: --keepalive conflicts with --ping, --ping-exit, or --ping-restart. If you use --keepalive, you don't need any of the other --ping directives.
Use --help for more information.

Como posso resolver este problema?

2. Ao ativar o parâmetro "shaper 51200" no meu servidor o mesmo nao levanta, como posso ativar o controle de banda p/ vpn?

// Configuração Cliente

# C:\Arquivos de programas\OpenVPN\config
remote 200.xxx.xxx.132
#remote vpn.ers.com
#remote-random
remote-cert-tls server
proto udp
port 22223
client
pull
dev tap
comp-lzo
keepalive 10 120
persist-key
persist-tun
float
tls-client
dh keys/dh1024.pem
ca keys/ca.crt
cert keys/eghijs.crt
key keys/eghijs.key
tls-auth keys/static.key

1. A única duvida e com respeito a conexão de rede do cliente quando conecta, no cliente e exibido 10Mb e nao 100Mb, pq isso?, e possível deixa o lado cliente com 100Mb?

// Configures Firewall
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -s 10.1.8.0/21 -A POSTROUTING -o eth0 -j MASQUERADE

1. Com esta regra acima, minha vpn já navega na internet sem problema, mais ativando vai gera um problema de segurança, como posso evitar que outros usuário fora da vpn não utilize este ip como gateway?

Grato,

[amaia]

/ Configuração Servidor

# /etc/openvpn/server.conf
#
# Define em qual endereco o servidor aceitara conexoes
# Coloque um endereco valido no seu arquivo
# para usar o ip abaixo eh preciso que tenha sido efetuado o redirecionamento da porta 22223 no seu roteador
local 10.1.8.6

# Porta na qual o servidor aceitara conexoes
port 22223

# Protocolo utilizado no tunel
proto udp

# Dispositivo utilizado pelo OpenVPN
dev tap0

# Mude para:
dev tun


# Indica que o servidor atuara como o
# controlador no canal de comunicacao
# durante a conexao TLS
tls-server

# Permite que os clientes conectados ao
# servidor troquem pacotes entre si
client-to-client

# Para nao precisar especificar o caminho
# completo nas opcoes ca, cert, key, dh e tls-auth
# utilizamos esta opcao
ca keys/ca.crt
cert keys/server.crt
key keys/server.key
dh keys/dh1024.pem
# crl-verify keys/crl.pem

# Chave estatica que atua como uma segunda
# camada de protecao. Servidor so aceita conexoes caso
# este arquivo tambem exista no cliente.
# gere com openvpn --genkey --secret static.key
tls-auth keys/static.key

# Define que atuaremos como servidor
mode server

# Numero maximo de clientes simultaneos conectados
# ao servidor. Neste caso, em um dado momento apenas
# 10 clientes conseguirao ficar conectados ao mesmo tempo.
# Mude para o numero que voce desejar e seus recursos
# permitirem
max-clients 10

# Permite que 2 clientes com o mesmo nome se conectem ao
# servidor ao mesmo tempo. Sem esta opç, o cliente que tentar
# se conectar derruba o cliente ja conectado.
#duplicate-cn

# Define o IP interno do servidor e a faixa de IP's que serao
# atribuidos aos clientes quando se conectarem. Neste caso, o
# OpenVPN pode atribuir qualquer um dos 20 IP's no range configurado.
server-bridge 10.1.8.6 255.255.248.0 10.1.15.200 10.1.15.254
# coloque:
server 10.10.10.0 255.255.255.0

# Configura o DNS no cliente
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
# retire as duas linhas acima


# Configura o DOMAIN no cliente
#push "dhcp-option DOMAIN mydomain"

# Configura o servidor WINS no cliente. Geralmente
# este e o controlador de dominio da sua rede.
#push "dhcp-option WINS 192.168.1.1"

# Define qual será gateway utilizado pelos clientes
# quando conectarem na VPN. E bom que este gateway seja
# a interface interna do seu servidor OpenVPN.
push "redirect-gateway"
# retire a linha acima, pois faz com que todo o trafego da rede inclusive a nagevacao da internet seja redirecionada para o link do servidor, que no seu caso deve ser somente o acesso ao servidor
# rotas que o cliente deve tomar para aceder a subredes atras da VPN.
# IMPORTANTE: deve escolher enderecos que minimizem o conflito de ips ou subredes.
# Por exemplo, supondo que usa o tradicional 192.168.0.0/24 na sua rede privada.
# Agora imagine que tenta aceder a VPN a partir de um cybercafe, que por coincidencia
# utiliza a mesma subrede para a rede wireless. Ira existir um conflito de rede, pois o
# cliente vpn nao tera forma de saber se 192.168.0.1 se refere ao gateway wireless do
# cybercafe, ou a um mesmo endereco na VPN.
push "route 10.1.8.0 255.255.255.0"
# este comando faz que com seja adicionado no cliente no momento da conexao uma rota para rede do servidor


# Define quando a outra ponta esta morta. A cada 10 segundos
# um ping e enviado e se nao for recebido em 120 segundos uma resposta,
# definimos que a outra ponta estáorta.
#ping 10
#ping-restart 120

# Configura as mesmas opcoes no cliente.
push "ping 10"
push "ping-restart 60"

# Define que os dados serao comprimidos antes
# de serem enviados pelo canal de comunicacao.
comp-lzo

# Monitora a conexao por 10 segundos sem atividade e reinicia em 120 segundos.
# Como as conexao de internet deixam a desejar, esta opcao deve ser usada.
keepalive 10 120

# Opcoes que evitam o acesso a certos recursos depois do servidor
# ser reeniciado e que podem nao estar accessiveis devido ao
# decremento de privilegios.
persist-key
persist-tun

# Permite que o "tunel" se mantenha aberto mesmo se existir uma troca
# de IP em ambos os lados.
float

# Armazenar uma lista com os enderecos IP
# usados por cada cliente da VPN.
ifconfig-pool-persist /etc/openvpn/ipp.txt

# Banda da conexao do tunel
#shaper 51200

# No arquivo status sao gravados os dados dos clientes
# que se conectam ao servidor. Bom para controle do servidor.
status /var/log/openvpn-status.log 2

# Quantidade de informacoes que serao escritas nos logs
# do OpenVPN. Quanto maior o numero, mais informacoes.
verb 4

# Define quais serãos logs do sistema.
log /var/log/openvpn.log
log-append /var/log/openvpn.log

[Good_speed]

Amaia,

Com estes parametros novos que vc me passou, nao estou consegui pingar da maquina cliente para nenhum ip da rede 10.1.8.0/21, como tb do servidor nao conseguei chegar no cliente, Este servidor e configurado p/ modo bridge. A unica coisa que notei de diferente e que nao vou utilizar a internet da minha rede mais do cliente p/ navegar, estou precisando disso tb, nao quero q minha vpn atrapalhe a navegacao do usuario, hihihihi e tb nao quero neguinho usando minha banda.


Grato,

# Define o IP interno do servidor e a faixa de IP's que serao
# atribuidos aos clientes quando se conectarem. Neste caso, o
# OpenVPN pode atribuir qualquer um dos 20 IP's no range configurado.
server 10.10.10.0 255.255.255.0 ou server 10.1.8.0 255.255.248.0
# rotas que o cliente deve tomar para aceder a subredes atras da VPN.
# IMPORTANTE: deve escolher enderecos que minimizem o conflito de ips ou subredes.
# Por exemplo, supondo que usa o tradicional 192.168.0.0/24 na sua rede privada.
# Agora imagine que tenta aceder a VPN a partir de um cybercafe, que por coincidencia
# utiliza a mesma subrede para a rede wireless. Ira existir um conflito de rede, pois o
# cliente vpn nao tera forma de saber se 192.168.0.1 se refere ao gateway wireless do
# cybercafe, ou a um mesmo endereco na VPN.
push "route 10.1.8.0 255.255.255.0" ou push "route 10.1.8.0 255.255.248.0"

[amaia]

Por partes:
1) server 10.10.10.0 255.255.255.0
2) push "route 10.1.8.0 255.255.255.0"
sao as opcoes que devem estar no openvpn.conf, pois direcionam toda uma rede ( a 10.10.10.0/255.255.255.0 ) para ser acessivel por qualquer host na rede ( 10.1.8.0/255.255.255.0 ) mesmo que vc use como mascara de rede no servidor 255.255.255.248, pois o servidor ira funcionar como gateway para toda a rede 10.1.8.0/24

Adicionalmente vc vai precisar de:

1) Adicionar uma rota na sua RB493 para a rede 10.10.10.0/24 usando como gateway o 10.1.8.6
2) Configurar o seu servidor para fazer roteamento ( echo 1 > /proc/sys/net/ipv4/ip_forward )
3) para chegar no cliente de uma olhada no /var/log/openvpn.log qual ip o cliente pegou e mande pingar este ip.
4) Verifique o firewall do cliente
5) verifique se na tabela de rotas do cliente aparece a rede 10.1.8.0/24

[Good_speed]

Por partes:
1) server 10.10.10.0 255.255.255.0
2) push "route 10.1.8.0 255.255.255.0"
sao as opcoes que devem estar no openvpn.conf, pois direcionam toda uma rede ( a 10.10.10.0/255.255.255.0 ) para ser acessivel por qualquer host na rede ( 10.1.8.0/255.255.255.0 ) mesmo que vc use como mascara de rede no servidor 255.255.255.248, pois o servidor ira funcionar como gateway para toda a rede 10.1.8.0/24

Adicionalmente vc vai precisar de:

1) Adicionar uma rota na sua RB493 para a rede 10.10.10.0/24 usando como gateway o 10.1.8.6
2) Configurar o seu servidor para fazer roteamento ( echo 1 > /proc/sys/net/ipv4/ip_forward )
3) para chegar no cliente de uma olhada no /var/log/openvpn.log qual ip o cliente pegou e mande pingar este ip.
4) Verifique o firewall do cliente
5) verifique se na tabela de rotas do cliente aparece a rede 10.1.8.0/24

Desconsidere!!!!

[Good_speed]

Por partes:
1) server 10.10.10.0 255.255.255.0
2) push "route 10.1.8.0 255.255.255.0"
sao as opcoes que devem estar no openvpn.conf, pois direcionam toda uma rede ( a 10.10.10.0/255.255.255.0 ) para ser acessivel por qualquer host na rede ( 10.1.8.0/255.255.255.0 ) mesmo que vc use como mascara de rede no servidor 255.255.255.248, pois o servidor ira funcionar como gateway para toda a rede 10.1.8.0/24

Adicionalmente vc vai precisar de:

1) Adicionar uma rota na sua RB493 para a rede 10.10.10.0/24 usando como gateway o 10.1.8.6
2) Configurar o seu servidor para fazer roteamento ( echo 1 > /proc/sys/net/ipv4/ip_forward )
3) para chegar no cliente de uma olhada no /var/log/openvpn.log qual ip o cliente pegou e mande pingar este ip.
4) Verifique o firewall do cliente
5) verifique se na tabela de rotas do cliente aparece a rede 10.1.8.0/24

Amaia,

Fiz exatamente como vc solicitou acima, eu consigo pingar todos ips abaixo, menos um que faz parte da minha rede tb, veja o esquema da minha rede abaixo.



O ip que nao estou conseguindo pingar e 10.1.8.6 como tb deste ip nao consigo pingar nenhuma maquina conectada via vpn.

Rota da RB493:
[admin@Router_RB493AH] /ip route> print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 200.xxx.xxx.129 1
1 ADC 10.1.8.0/21 10.1.8.254 ether2 0
2 A S 10.10.10.0/24 10.1.8.247 1

Server.conf
# /etc/openvpn/server.conf
port 22223
proto udp
dev tun
server 10.10.10.0 255.255.255.0
push "route 10.1.8.0 255.255.255.0"
comp-lzo
keepalive 10 120
persist-key
persist-tun
float
ifconfig-pool-persist /etc/openvpn/ipp.txt
max-clients 10
tls-server
ca keys/ca.crt
cert keys/server.crt
key keys/server.key
dh keys/dh1024.pem
# crl-verify keys/crl.pem
tls-auth keys/static.key
#plugin /usr/share/openvpn/plugin/lib/openvpn-auth-pam.so login
status /var/log/openvpn-status.log
log /var/log/openvpn.log
log-append /var/log/openvpn.log
verb 4

Rotar Cliente:
Rotas ativas:
Endereço de rede Máscara Ender. gateway Interface Custo
0.0.0.0 0.0.0.0 192.168.10.254 192.168.10.100 20
10.1.8.0 255.255.255.0 10.10.10.5 10.10.10.6 1
10.10.10.1 255.255.255.255 10.10.10.5 10.10.10.6 1
10.10.10.4 255.255.255.252 10.10.10.6 10.10.10.6 30
10.10.10.6 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.10.10.6 10.10.10.6 30
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.10.0 255.255.255.0 192.168.10.100 192.168.10.100 20
192.168.10.100 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.10.255 255.255.255.255 192.168.10.100 192.168.10.100 20
224.0.0.0 240.0.0.0 10.10.10.6 10.10.10.6 30
224.0.0.0 240.0.0.0 192.168.10.100 192.168.10.100 20
255.255.255.255 255.255.255.255 10.10.10.6 2 1
255.255.255.255 255.255.255.255 10.10.10.6 10.10.10.6 1
255.255.255.255 255.255.255.255 192.168.10.100 192.168.10.100 1
Gateway padrão: 192.168.10.254

Atenciosamente,

[amaia]

No caso vi que o seu servidor de vpn eh o 10.1.8.247, no mikrotik a rota estah correta. Adicionalmente no proxy o 10.1.8.6, tem que existir uma rota para a rede 10.10.10.0/26 usando como gateway o 10.1.8.247.