+ Responder ao Tópico



  1. #1

    Padrão Dúvida VPN filiais para filiais

    Bom dia Pessoal,

    Estou precisando da ajuda de vcs. É o seguinte:

    Tenho um Openvpn server na matriz que enxerga todas as filiais, e tenho o openvpn nas filiais que enxergam a matriz. Mas de filiais para filiais eles não se enxergam.

    Como posso fazer para que essa vpn entre as filiais se enxerguem?


    Grato,


    Diego Araújo

  2. #2

    Thumbs up

    Caro amigo AnalistaSlack, boa noite.
    Eu também já instalei o OpenVPN algumas vezes na empresa onde trabalhei e considero esse pacote excelente para o serviço que se propõe.
    Na verdade nunca precisei fazer esse tipo de conexão que vc está precisando fazer.
    O que eu estou imaginando é que vc precisará fazer, para conexão entre as filiais, eleger uma das filiais para ser uma "outra matriz".
    Não sei se fiz entender. Mas pense no seguinte :
    Você fez uma conexão da matriz para filial1. Depois matriz para filial2.
    Agora você terá que fazer a conexão entre filial1 e filial2.
    Trate a filial1 por exemplo, como se fosse uma outra matriz, entendeu ? Ou seja, vc vai instalar um OpenVPN server na filial1 para que a filial2 o enxergue.
    Aí faça as configurações normais como fez, nas conexões das filiais para a matriz.
    E lógico que você não vai repetir os mesmos ip's, rotas, conf, etc, das configurações que estão em vigor.
    Eu estou imaginando que deva ser assim.
    Não sei se seria o correto. Que me corrijam por favor, quem já teve essa experiência.
    Mas eu tentaria fazer dessa forma, que te expliquei acima. Agora, não sei se é possível a nível de iptables, você redirecionar alguma entrada, vinda de uma filial para a matriz, ser redirecionada para a outra filial. Eu estou imaginando que não.
    Um grande abraço. Qualquer novidade, post aqui o seu resultado.
    Sucessos e felicidades.
    Última edição por pssgyn; 30-10-2007 às 21:50.



  3. #3

    Padrão

    Saudações amigos,
    Pssgyn, isso até funciona, mas não é a maneira melhor de se fazer isso. Como vc sugeriu estou dando uma outra idéia amigo...
    Analistaslack, eu recomendo primeiramente ler o faq sobre as diferenças entre bridged e routed vpn, ajuda a entender o problema que eu tive:
    OpenVPN FAQ

    A configuração padrão que vc acha no site do OpenVPN e que vc vai achar por aí nos tutoriais na net, é para o uso de routed vpn. No esquema de routed o daemon do open vpn funciona como um conentrador de conexões ponto a ponto, inclusive o servidor da vpn se conecta nesse deamon (que está rodando no próprio servidor) com uma conexão ponto a ponto. Tanto é que se vc olhar as conexões ativas no openvpn nesse instante vc vai ver duas conexões uma do servidor e outra do cliente, no mínimo.
    Para habilitar o forward entre os clientes desse tipo de vpn é preciso adicionar a configuração "client-to-client" no conf do server e fazer o push das rotas para os clientes se enxergarem. Eu testei isso e não funcionou para mim. Não consegui fazer com que os clientes conversassem.
    Como o meu server teve que ser um Conectiva 10, tive que compilar várias coisas inclusive o openvpn, pode ser que tenha cometido algum erro ou algo passou desapercebido que tenha sido responsável por essa configuração não funcionar.

    Sendo assim, tive que usar a bridged vpn. Nesse tipo de vpn ao se conectar é como se vc estivesse mesmo no mesmo barramento de uma rede local.
    Os ips são dados como um dhcp pelo openvpn, como eu não sabia (e ainda não sei hehehe) especificar o ip que eu quero para cada cliente quando ele se conecta, eu fiz o seguinte, reservei o range alto de ips para os clientes da vpn e depois que o cliente se conecta eu troco o ip da interface tap e adiciono s rotas que eu preciso, pois dessa forma eu sei quais são os ips dos clientes da vpn e das subredes atrás desses clienets.
    Tirando esse "procedimento emergencial" (vulgo gambiarra) na hora de atribuir os ips aos clients da vpn o bridged vpn com tap resolveu a questão das redes atrás dos clientes se acessarem.

    Espero que não tenha ficado muito confuso... hahhahah
    Se vc quiser depois eu te passo alguns arquivos de configuração para vc ver como eu fiz...

    abraços

  4. #4

    Thumbs up

    Joseguilherme, bom dia ....

    Valeu pela sua exposição. Vou dar uma olhada no site do OpenVPN e ver essa novidade.
    Realmente não sabia dessa solução.
    Afinal, como eu nunca precisei dessa solução que o nosso amigo está precisando, nunca procurei pesquisar sobre isso.
    Fica aqui o meu agradecimento.
    Um grande abraço ....



  5. #5

    Padrão

    Olá a todos que tiveram o intuíto de me ajudar.

    Bem, resolvi da seguinte forma:

    Dei o comando route em cada filial apontando para todas as outra filiais saindo pelo ip da vpn. Obtive sucesso!!!!

    Agora minha vpn está completa!!!!


    Obrigado a vcs que se propuseram a me ajudar.



    Abraços,


    Diego Araújo