+ Responder ao Tópico



  1. #1

    Padrão openswan roteamento rede interna

    Pessoal,

    To batendo cabeça numa coisa simples.
    Tenho uma VPN openswan entre Matriz e Filial.
    To precisando acessar os micros da Matriz (servidores) pela filial, mas não to conseguindo.
    Da filial, consigo pingar o IP da rede interna do servidor OpenSwan da Matriz, mas os micros que estão na mesma sub-rede não pingam.

    Alguém poderia me dar uma liz?

    Obrigado!

    Valois

  2. #2

    Padrão

    Bom, preciso voce precisa:

    1) mostrar a configuração da VPN para saber se o tunnel esta permitido em ambos sentidos
    2) mostrar a tabela de rotas dos servidores
    3) mostrar a tabela de rotas de um cliente em cada uma das redes
    4) explicar sua estrutura (apesar de ja ter sido parcialmente explicada no post anterior)


    dai da para ter alguma "luz".

  3. #3

    Padrão

    Mistymst, primeiramente obrigado pela atenção.

    Seguinte..

    1) mostrar a configuração da VPN para saber se o tunnel esta permitido em ambos sentidos
    Na matriz, tenho linux com openswan, já funcionando. A configuração segue no final do post

    2) mostrar a tabela de rotas dos servidores
    [root@webserver ~]# route -n
    Tabela de Roteamento IP do Kernel
    Destino Roteador MáscaraGen. Opções Métrica Ref Uso Iface
    200.200.200.200 0.0.0.0 255.255.255.248 U 0 0 0 eth1
    169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth1
    10.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 eth0
    0.0.0.0 200.200.200.200 0.0.0.0 UG 0 0 0 eth1

    3) mostrar a tabela de rotas de um cliente em cada uma das redes
    Estou na rede da filial numa estação WINXP . Nesse ponto, consigo pingar no IP interno do meu servidor Openswan (10.10.1.15) na matriz. Estou atrás do meu roteador DI-804hv no qual está montada a VPN com o servidor Openswan. Preciso apenas acessar a rede da Matriz que tem um servidor samba configurado.

    4) explicar sua estrutura (apesar de ja ter sido parcialmente explicada no post anterior)
    VPN matriz - filial através da internet. Na matriz, linux com openswan configurado. Na filial, roteador d-link di-804hv. segundo os logs do linux e do roteador d-link, o túnel está ok. Da filial, consigo pingar no IP interno do servidor linux. Falta apenas pingar para o resto da rede da Matriz.

    Me paree questão de roteamento no servidor linux, mas ainda não funcionou.
    Acredito que rota + iptables, mas pela minha falta de experiencia, não estou conseguindo a configuraçÃo ideal


    Se precisar de mais info. é só dar um toque.

    Obrigado!


    Valois

  4. #4

    Padrão

    Bom vamos lá.... pelo que de para notar foi o seguinte:


    IP interno matriz: 10.0.0.0/8
    IP internet: 200.200.200.200/28

    entao imagino que o seu openswan esteja configurado para permitir o trafego da sua rede cliente para a sua rede matriz, correto? essa é a config. que eu preciso ver para saber se esta ok, vale ressaltar o seguinte, que eu nao mecho com freeswan, e inclusive foi descontinuado, eu uso o ipsec-tools/racoon (veio do *bsd).

    A quanto a configuração do cliente parece moleza, pois pelo que voce me falou é um windows xp, mas quem fecha o tunnel é o dlink da vida... bom preciso da tabela de rotas do dlink, pois é la que vai estar as rotas para as redes.

    e outra, essa configuração dai esta net-to-net ou host-to-net ? porque dependendo do que for pode nao vir a funcionar legal.

    Agora qual o IP do seu servidor samba que voce nao consegue acessar? e qual o traceroute para os 2 servidores ? (freeswan e samba), dai jah da para ter noção. Outra coisa: qual é a rede da filial ?

    Tenta organizar também tipo como um gráfico que fica bem mais facil e rapido de entender... como por exemplo:

    matriz ------- FREESWAN ---> Internet <---- D-LINK ----- filial
    10.0.0.0/8 10.10.1.15 ??? ??.??.??.??/??


    deu para entender mais ou menos?

  5. #5

    Padrão

    Amigo, ainda não resolvi, mas vamos lá se ainda quiser ajudar....

    MATRIZ
    10.0.0.0/8
    |
    SAMBA
    10.10.1.10
    |
    |
    10.10.1.15
    SERVER OPENSWAN
    200.200.200.200
    |
    |
    INTERNET
    |
    |
    201.201.201.201
    DI-804HV
    192.168.1.253
    |
    |
    192.168.1.1 0
    MEU SERVIDOR LINUX
    192.168.0.1
    |
    |
    192.168.0.0/24
    MINHA REDE

    SAMBA ---- matriz --- SER OPENSWAN --> Inter <-- D-LINK ----- filial
    10.10.1.10 10.0.0.0/8 10.10.1.15 192.168.1.253 192.168.1.0
    200.200.200.200 201.201.201.201

    Estou configurando net-to-net

    Consigo pingar de minha rede para o ip interno do servidor opneswan 10.10.1.15, porém não pingo para o servidor SAMBA 10.10.1.10

    - dentro do di-804hv a principo não consigo acessar a tabela de rotas. Tem uma opçÃo para adicionar rotas estaticamente, mas tentei e não funcionou também
    As opções de configuração são:
    dinamic routeing (opções Disable RIPv1 e RIPv2. Está selecionada disable)
    abaixo, vc pode habilitar a rota com as seguinte opções:
    interface (LAN WAN ou AUTO)
    Destination
    Subnetmask
    Gateway
    Somente isso


    traceroute do meu servidor openswan para o servidor samba
    [root@webserver ~]# traceroute 10.10.1.10
    traceroute to 10.10.1.10 (10.10.1.10), 30 hops max, 46 byte packets
    1 10.10.1.10 (10.10.1.10) 0.186 ms 0.150 ms 0.210 ms


    traceroute do meu servidor da rede filial para o ip interno do servidor openswan
    traceroute to 10.10.1.15 (10.10.1.15), 30 hops max, 38 byte packets
    1 192.168.1.253 (192.168.1.253) 0.289 ms 0.248 ms 0.229 ms
    2 10.10.1.15 (10.10.1.15) 43.522 msIcmp checksum is wrong
    42.106 ms 41.601 ms

    CASO PRECISE DE MAIS INFORMAÇÕES ESTOU A DISPOSIÇãO


    OBRIGADO PELA AJUDA!



    VALOIS

  6. #6

    Padrão

    Faltou o traceroute da filial para o servidor samba.

    e, faltou a configuração do FreeSWAN.

  7. #7

    Padrão

    opa, esqueci!



    version 2.0 # conforms to second version of ipsec.conf specification


    config setup

    nat_traversal=yes
    nhelpers=0
    fragicmp=yes
    plutostderrlog=/var/log/openswan.log


    conn matriz
    left=200.200.200.200
    leftid=200.200.200.200
    leftsubnet=10.0.0.0/8
    leftnexthop=10.10.1.15
    right=201.201.201.201
    rightsubnet=192.168.1.0/24
    rightid=201.201.201.201
    # rightnexthop=192.168.1.253
    keyexchange=ike
    ikelifetime=240m
    keylife=3600s
    pfs=yes
    compress=no
    authby=secret
    keyingtries=0
    auto=add

    Segundo o site Openswan: essa deve ser a conf. para comunicaçÃo com router DI-804hv
    Openswan Wiki | Openswan / DI-804HV browse


    Grato!

    Valois

  8. #8

    Padrão

    Acho que o problema ta sendo no seu rightnexthop que nao ta configurado.

    Faltou o traceroute para ter mais uma noção.

    É interessante você também mostrar tanto os logs do firewall, quanto um tcpdump da conexao criptografada, outra coisa interessante é atualizar para uma versão mais nova visto que o OpenSWAN já foi descontinuado. Outra dica é desabilitar o firewall e deixar somente ativo o ip_forward para ter total certeza de que nao rola bloqueios.

    Eu uso o IPSec-tools/Racoon e acho a configuração bem mais simplificada. Se essa sua maquina for somente firewall/vpn é interessante fazer um teste para ver se o tunnel fecha e o trafego passa a contento.