+ Responder ao Tópico



  1. #1

    Padrão Openvpn com 2 Filiais

    Estou a seguinte situação aki:
    Tenho uma matriz e 2 filiais, da matriz eu consigo acessar normalmente as 2 filiais tanto a filial1 como a filial2.
    Á filial1 e filial 2 acessa a matriz, mas a filial1 não consegue acessar a filial2, nem pingar.
    Adicionar a rota da filial 1 na filial 2 e da filial 2 na filial1, só que não funcionou.
    No meu caso aki terei que fazer uma forma com que a filial 1 acesse a filial2 atraves da matriz.
    Ja tentei fazendo esta rota ai e não obtive sucesso. Estou usando openvpn 2.0.9 + firewall e distribuição centos 4.4.
    Alguem tem alguma dica de como resolver isto?
    Desde ja agradeço.

  2. #2

    Arrow

    Cara se eles estão usando a mesma faixa de rede virtaul, habilite a diretiva client-to-client:
    --client-to-client
    Because the OpenVPN server mode handles multiple clients through a single tun or tap interface, it is effectively a router. The --client-to-client flag tells OpenVPN to internally route client-to-client traffic rather than pushing all client-originating traffic to the TUN/TAP interface.

    When this option is used, each client will "see" the other clients which are currently connected. Otherwise, each client will only see the server. Don't use this option if you want to firewall tunnel traffic using custom, per-client rules.
    Ab, Duca.
    Última edição por Duca; 09-05-2007 às 13:13.



  3. #3

    Padrão

    Obrigado pela resposta, mas uma duvida tenho que usar o parametro client-to-client no arquivo de configuração da filial ou da matriz ou nas rotas?
    Desde ja agradeço

  4. #4

    Arrow Conversa com o gilmar pelo MSN

    [12:45] gilmar: Ola boa tarde
    [12:45] gilmar: Duca sou gilmar, vc me respondeu uma duvida no site da underliux
    [12:45] Duca- Eu sou mais eu enquanto eu sou eu (h)!: blz
    [12:45] Duca- Eu sou mais eu enquanto eu sou eu (h)!: sobre a senha de root?
    [12:45] Duca- Eu sou mais eu enquanto eu sou eu (h)!: qual foi?
    [12:45] gilmar: openvpn
    [12:45] Duca- Eu sou mais eu enquanto eu sou eu (h)!: blz
    [12:45] Duca- Eu sou mais eu enquanto eu sou eu (h)!: o das filiais?
    [12:45] gilmar: isto
    [12:45] gilmar: sobre o client-to-client
    [12:46] Duca- Eu sou mais eu enquanto eu sou eu (h)!: ok
    [12:46] gilmar: lembra
    [12:46] gilmar: so que fiquei com uma duvida, que talves poderia me exclarecer
    [12:46] Duca- Eu sou mais eu enquanto eu sou eu (h)!: sim
    [12:47] gilmar: bom no servidor eu utilizo o parametro proto tcp-server
    [12:48] Duca- Eu sou mais eu enquanto eu sou eu (h)!: vc pode colocar só tcp em vez de tcp-server
    [12:48] gilmar: e nas 2 filiais utilizo o parametro proto tcp-client
    [12:48] Duca- Eu sou mais eu enquanto eu sou eu (h)!: ok
    [12:48] Duca- Eu sou mais eu enquanto eu sou eu (h)!: a diretiva client-to-client você coloca no servidor
    [12:49] gilmar: tenho que colocar no arquivo.conf de cada filial no servidor ne?
    [12:49] Duca- Eu sou mais eu enquanto eu sou eu (h)!: sim
    [12:49] Duca- Eu sou mais eu enquanto eu sou eu (h)!: você coloca no servidor
    [12:50] Duca- Eu sou mais eu enquanto eu sou eu (h)!: por padrão os clientes só enxergam o servidor
    [12:50] Duca- Eu sou mais eu enquanto eu sou eu (h)!: só uma coisa
    [12:50] Duca- Eu sou mais eu enquanto eu sou eu (h)!: estamos admitindo que os clientes estõa na mesma faiza de ip
    [12:50] Duca- Eu sou mais eu enquanto eu sou eu (h)!: ok
    [12:50] gilmar: sim
    [12:50] Duca- Eu sou mais eu enquanto eu sou eu (h)!: é somente um servidor, né?
    [12:51] gilmar: e na filial so tem um cliente vpn no linux
    [12:51] Duca- Eu sou mais eu enquanto eu sou eu (h)!: ok
    [12:51] gilmar: em cada filial
    [12:51] Duca- Eu sou mais eu enquanto eu sou eu (h)!: nao etendi
    [12:51] Duca- Eu sou mais eu enquanto eu sou eu (h)!: é somente 1 servidor?!
    [12:51] gilmar: e
    [12:51] Duca- Eu sou mais eu enquanto eu sou eu (h)!: ok
    [12:52] Duca- Eu sou mais eu enquanto eu sou eu (h)!: coloca essa diretiva lá
    [12:52] gilmar: na matriz tenho o cliente vpn no servidor linux
    [12:52] gilmar: nos clientes não e presizo fazer nem uma rota?
    [12:52] Duca- Eu sou mais eu enquanto eu sou eu (h)!: ok
    [12:52] Duca- Eu sou mais eu enquanto eu sou eu (h)!: nao
    [12:52] Duca- Eu sou mais eu enquanto eu sou eu (h)!: vc está usando o openvpn 2.x.x ?
    [12:53] gilmar: 2.0.9
    [12:53] Duca- Eu sou mais eu enquanto eu sou eu (h)!: ok, ele cria as rotas quando levanta o servidor
    [12:53] Duca- Eu sou mais eu enquanto eu sou eu (h)!: basta vc dar uma olhada na sua tabela de roteamento
    [12:53] gilmar: ok
    [12:53] Duca- Eu sou mais eu enquanto eu sou eu (h)!: no site do openvpn tem 2 exemplos, uma configuraçao de servidor e 1 de cliente
    [12:54] Duca- Eu sou mais eu enquanto eu sou eu (h)!: eu só alterei aqueles arquivos, colocanco minhas chaves, etc
    [12:54] gilmar: e que sei pouco de ingles
    [12:54] gilmar: e não encontrei nda em portugues
    [12:54] Duca- Eu sou mais eu enquanto eu sou eu (h)!: sem probs, aum olhadinha lá
    [12:55] Duca- Eu sou mais eu enquanto eu sou eu (h)!: depois de vc ligar os clientes, dê uma olhada no site do openvpn, tem dicas de como aumentar a segurança
    [12:55] Duca- Eu sou mais eu enquanto eu sou eu (h)!: blz?!
    [12:55] gilmar: ok
    [12:55] Duca- Eu sou mais eu enquanto eu sou eu (h)!: qualquer dúvida, me pergunte lá no Under
    [12:55] gilmar: certim, mandei la uma mensagem pergutando isto agora
    [12:56] gilmar: client-to-client
    proto tcp-server
    port 2525

    [12:56] Duca- Eu sou mais eu enquanto eu sou eu (h)!: estarei transferindo essa conversa pra o under
    [12:56] gilmar: posso deixar meu ser assim ne
    [12:56] gilmar: blz
    [12:56] Duca- Eu sou mais eu enquanto eu sou eu (h)!: sim
    [12:56] Duca- Eu sou mais eu enquanto eu sou eu (h)!: pode coloca só tcp mesmo
    [12:56] Duca- Eu sou mais eu enquanto eu sou eu (h)!: ab, Duca.
    [12:57] gilmar: certo, irei testar
    Essa conversa foi feita com o Gilmar pelo MSN. Estou colocando no fórum pois é aqui que a dúvida deveria ser resolvida.
    Acredito que muitos membros devem passar por isso. Eu não acho de todo mal todos temos problemas urgente para resolver. Eu já fiz isso, o mtec foi meu suporte de MSN para resolver um pepinão. Sempre que isso acontecer coloquem as conversas no Under ou postem aqui os resultados e soluções obtidas.

    E mtec, valeu mesmo!

    Ab, Duca.
    Última edição por Duca; 09-05-2007 às 13:11.



  5. #5

    Padrão client-to-client

    Duca, fiz conforme vc sugeriu de utilizar o parametro client-to-client no arquivo.conf de configuração das filais na matriz. mas porem apresentou erro nos logs e não chegou a carregar a inferface tun, abaixo segue o log:
    May 9 12:58:46 murici openvpn[3863]: Options error: --client-to-client requires --mode server
    May 9 12:58:46 murici openvpn[3863]: Use --help for more information.
    May 9 12:58:55 murici openvpn[3865]: Options error: --client-to-client requires --mode server
    May 9 12:58:55 murici openvpn[3865]: Use --help for more information.
    May 9 13:00:33 murici openvpn[3868]: Options error: --proto tcp is ambiguous in this context. Please specify --proto tcp-server or --proto tcp-client
    May 9 13:00:33 murici openvpn[3868]: Use --help for more information.

    segue abaixo o arquivo de configuração do servidor e da matriz.

    ####################################################################
    # -servidor da matriz.
    #- matriz-cacu.conf
    dev tun1
    ifconfig 10.0.0.3 10.0.0.4
    cd /etc/openvpn
    up ./cacu.up
    secret static.key
    proto tcp-server
    port 2222
    ; user nobody
    ; group nobody
    comp-lzo
    ping 15
    verb 3

    # - arquivo de rotas cacu.up carregado pela matriz.
    #!/bin/sh
    route add -net 192.168.2.0 netmask 255.255.255.0 gw 10.0.0.4

    # - cliente - filial.
    # - cacu-matriz.up
    dev tun1
    ifconfig 10.0.0.4 10.0.0.3
    remote 201.24.133.203
    cd /etc/openvpn
    up ./matriz.up
    secret static.key
    proto tcp-client
    port 2222
    ; user nobody
    ; group nobody
    comp-lzo

    # - arquivo de rotas matriz.up carregado pela filial.
    #!/bin/sh
    route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.0.0.3
    #########################################################################


    # -servidor da matriz para carregar a filial2.
    #- matriz-para.conf
    dev tun0
    ifconfig 10.0.0.1 10.0.0.2
    cd /etc/openvpn
    up ./para.up
    secret static.key
    proto tcp-server
    port 1212
    ; user nobody
    ; group nobody
    comp-lzo

    # - arquivo de rotas cacu.up carregado pela matriz.
    #!/bin/sh
    route add -net 192.168.4.0 netmask 255.255.255.0 gw 10.0.0.2


    # - cliente - filial2.
    # - para-matriz.conf
    ev tun1
    ifconfig 10.0.0.2 10.0.0.1
    remote 201.24.133.203
    cd /etc/openvpn
    up ./matriz.up
    secret static.key
    proto tcp-client
    port 1212
    ; user nobody
    ; group nobody
    comp-lzo
    ; ping 15
    verb 3



    Eu necessito que a filial1 (Para) comunique com a filial2 (Cacu) e a filial2 (Cacu) comunique com a filial1 (Para).
    Estou usando centos 4.4 e openvpne 2.0.9
    Desde ja agradeço a ajuda.

  6. #6

    Padrão

    E aew cara tudo certo?

    Se vc diz que a matriz ve as duas filiais, correto?

    Exemplos:
    Então basta vc criar uma rota na filial 1:

    route add -net 192.168.3.0/24 gw 192.168.4.1 dev tun0

    Então basta vc criar uma rota na filial 2:

    route add -net 192.168.2.0/24 gw 192.168.4.1 dev tun0

    Onde, vc deve substituir 192.168.3.0 pela rede da sua filial 2
    Substituir 192.168.4.1 pelo ip da sua matriz
    Substituir tun0 pela interface que levanta a sua VPN
    Substituir 192.168.2.0 pela rede da sua filial 1

    Deixe os "/24" onde estão pois indicam a mascara....

    Tenho um ambiente igual ao que vc precisa....e funciona só deves adicionar estas rodas nas filiais, onde a rota de uma para a outra é o servidor da matriz pois ele conhece as duas redes....

    Espero ter ajudado.....

    Q Q coisa MSN

    ATT

    Tiago



  7. #7

    Padrão

    Blz, muito obrigado Duca.
    Irei testar hoje mesmo, mas so uma duvida então não presciso utilizar o parametro client-to-client no arquivo.conf da matriz?

    Valeu

  8. #8

    Padrão

    Não não é preciso usar client-to-client....

    Como disse esta estrutura eu tenho funcionando.... se as confs estiverem certas e vc disse que esta com relação a matriz e as filiais, adicionar as rotas na filiais já resolverá o seu problema...

    qq dúvida manda aew..

    ATT

    Tiago - CESUSC



  9. #9

    Padrão

    Blz.
    Mais uma duvida, as rotas podem serem inseridas nos arquivos.up de cada filial?
    Ou terei que criar outro conf que levanda outro arquivo de rota em de cada filial de cada um.

    Valeu

  10. #10

    Padrão

    Cara as rotas podem ser inseridas em qualquer local... Elas não tem nada a ver com a VPN em si.... São apenas ROTAS, que fazem parte da tabela de roteamento do Servidor.....

    No meu caso adicionei no /et/rc.local onde cada vez que o linux for iniciado ele carrega novamente as rotas...

    ATT

    Tiago....

    q q coisa vai postando....



  11. #11

    Arrow

    Citação Postado originalmente por Lynx Ver Post
    Não não é preciso usar client-to-client....

    Como disse esta estrutura eu tenho funcionando.... se as confs estiverem certas e vc disse que esta com relação a matriz e as filiais, adicionar as rotas na filiais já resolverá o seu problema...

    qq dúvida manda aew..

    ATT

    Tiago - CESUSC
    Cara, em conversa com o Gilmar, eu entendi quele ele queria acessar a máquinas clientes que estavam na mesma faixa de rede virtual do openvpn, nesse caso a diretiva client-to-client facilitaria as coisas.
    Agora se ele quer ligar as duas redes, nesse caso você está certo Lynx.

    Gilmar testa ae e posta aqui os resultados.
    Ab, Duca.

  12. #12

    Question

    E ae GiImar, sucesso?