OpenVPN

[fagundao]

Amigos,

Tenho uma VPN instalada e funcionando - utilizo o OpenVPN, mas meu problema é o seguinte:
Hoje um usuario de consegue fazer uma conexão sem problemas com o meu servidor e recebe um IP da minha rede interna quando ele acessa as maquinas da minha rede interna ele vem com o IP da VPN e quando acessa a Internet utiliza o IP do seu provedor.

Só que o IP que eu passo para ele na VPN é um IP valido portanto eu gostaria que ele acessace a internet a partir do IP que eu forneci e não pelo IP de seu provedor local.

Tem como eu fazer algum redirecionamento no cliente para que todo o trafego da maquina dele seja direcionado para a conexão vpn?

Assim quando ele acessace um site da web primeiro ele viria no meu servidor e entraria na minha rede local e sairia pelo meu gateway da erde interna para o site de destino.

Acredito que dessa forma ele teria acesso a Internet com o IP que eu forneci!!!

aguem pode me ajudar com isso??


Obrigado.

[tandrade]

Você pode fornecer uma rota default para o cliente na configuração do OPENVPN, dentro do aquivo de configuração do cliente vc coloca
route 0.0.0.0 0.0.0.0 <ip_do_gw_openvpn>
Acho que isso deve resolver...

sds
Thiago Andrade

[pssgyn]

Perdão Fagundão, mas vc quer que ele acesse a internet pela sua internet ???
Desculpe-me a pergunta. Mas é que eu instalei o OpenVPN a cerca de uns 2 anos atrás, e deixei a internet da outra ponta para o uso da outra parte. Mas claro que defini os procedimentos desse local, com Squid, Firewall, etc.
Eu estou instalando uma outra OpenVPN tem cerca de 2 dias e vou fazer do mesmo jeito.
Não sei se isso te ajuda em alguma coisa. Eu não faço a menor questão que alguém acesse a internet da empresa onde já tem 30 máquinas penduradas. E colocar mais máquinas, ainda que remotamente, quando lá do outro lado tem uma internet funcionando. Eu coloquei as mesmas regras da matriz, lá na filial. E de cá, pelo Putty, vejo onde os usuários estão acessando. Estou sempre monitorando.
Não estou questionando o que vc deseja fazer. Mas será que vale a pena você fazer o pessoal da parte remota usar a sua internet, quando lá já tem internet ?
Desculpe-me se estou falando besteiras ....... :-)

[Duca]

Depende pssgyn.

Bom, se for pra implementar uma intranet, ae eu acho que pode ser váildo.
Mas acessar a internet via VPN, eu já acho que a VPN já perde em segurança nesse ponto. Pois webservers geralmente são alvos de harckers e crakers e sua VPN e toda a rede interna estaria comprometida.

Era isso que vc queria saber fagundao ?

[fagundao]

O que acontece e o seguinte, na instituição onde trabalho existe um range de IPs disponíveis e por ser uma intituição de pesquisa existem sites onde os usuarios so podem acessar com o ip da instituição. Portanto eu gostaria que na VPN eles acessacem os sitem com o ip que eu forneci, ou seja acessar a internet pela minha internet!

Consegui uma solução que acredito não ser a mais recomendada.

Eu crio uma rota para os sites que requerem esse tipo de verificação

route add 200.x.0.0 mask 255.255.0.0 gateway_da_vpn

mas dessa forma eu estou inserindo esses comandos no cliente, então depois que o cara conecta ele abre o prompt e digita isso no DOS para criar a rota, tentei colocar no arquivo de configuração do opnevpn, mas num deu certo!

Quanto a primeira resposta de adicionar o default gateway - se eu colocar o default gateway o gw da VPN o cliente perde o acesso com a internet.

[Duca]

entendi seu problema e acho enfrentarei o mesmo problema. Também estou configurando um VPN, aqui na Universidade e alguns pesquisadores podem pedir isso também para mim.
O que eu fiz aqui para te ajudar, pela minha cabeça foi o seguinte (uma solução tosca). Já que o servidor da VPN tem acesso à net e meu I.P. é de uma instituição, tentei criar um proxy apache no server.

Em vez de digitar http://www.periodicos.capes.gov.br/ (este é um site onde somente instuições de ensino podem acessar), eu digitei http://10.8.0.1/capes (este é o ip do servidor da VPN). sendo que no http.conf do sevidor apache do servidor estaria assim:

Código :

ProxyPass /capes [url]http://www.periodicos.capes.gov.br/[/url]
ProxyPassReverse /capes [url]http://www.periodicos.capes.gov.br/[/url]

Não deu certo, aparece este erro não encontra /portugues/superior.jsp , então tentei toda a url

Código :

ProxyPass /capes [url]http://www.periodicos.capes.gov.br/portugues/index.jsp[/url]
ProxyPassReverse /capes [url]http://www.periodicos.capes.gov.br/portugues/index.jsp[/url]

mas tb não deu certo :|.

Código :

Not Found
 
The requested URL /portugues/superior.jsp was not found on this server.

Se alguém souber o que podemos fazer... agradeço...

Ab, Duca. :-)

[Duca]

Um pequeno progresso:

tentei assim:

ProxyPass /capes http://www.capes.gov.br/capes/portal/
ProxyPassReverse /capes http://www.capes.gov.br/capes/portal/

Se eu digito 10.8.0.1, a página da Capes aparece, mas só o texto, imagens não aparecem :|

flw...

[pssgyn]

Duca, boa noite caro amigo.
Aproveitando a sua deixa nesse tópico, eu estou instalando o OpenVPN, porque na filial, temos um aplicativo rodando em Cobol, utilizando a base de dados do próprio Cobol. Ou seja, não é banco de dados. Quando eu instalei o OpenVPN a cerca de 2 anos atrás, o aplicativo era em PHP com MySQL e funcionava perfeito. A minha idéia é instalar o OpenVPN, definir as rotas, e instalar o NFS para ser vista remotamente pela matriz, onde está o aplicativo em Cobol.
Pela sua experiência, que parece ser mais complexa, e você parece já estar bem adiantado quanto a isso, você acha que é possível isso funcionar ? Será que é possível o pessoal da matriz , ver no ambiente de rede o aplicativo em Cobol que está do outro lado da VPN ?
Obrigado Duca. Fico no aguardo pela sua resposta e desde já também desejo sucessos e felicidades, no seu trabalho sobre a sua solução no OpenVPN.
Um grande abraço .................. :-)

[evandrofisico]

Quanto ao problema do acesso aos sites como do capes e etc acho que o mais interessante seria colocar um proxy squid na matriz, e configurar os clientes para acessarem atraves dele a rede, então TODO o acesso a internet passa pela VPN. Para reduzur o impacto poderia-se utilizar um squid local (na máquina que fecha a conexão com a VPN) acessando o squid da matriz. Quer dizer, se o número de uuários for relativamente grande, pq para 2 ou 3 clentes com um link razoável na matriz passar po um squid lá pode não ser tão lento

[Duca]

Duca, boa noite caro amigo.
Aproveitando a sua deixa nesse tópico, eu estou instalando o OpenVPN, porque na filial, temos um aplicativo rodando em Cobol, utilizando a base de dados do próprio Cobol. Ou seja, não é banco de dados. Quando eu instalei o OpenVPN a cerca de 2 anos atrás, o aplicativo era em PHP com MySQL e funcionava perfeito. A minha idéia é instalar o OpenVPN, definir as rotas, e instalar o NFS para ser vista remotamente pela matriz, onde está o aplicativo em Cobol.
Pela sua experiência, que parece ser mais complexa, e você parece já estar bem adiantado quanto a isso, você acha que é possível isso funcionar ? Será que é possível o pessoal da matriz , ver no ambiente de rede o aplicativo em Cobol que está do outro lado da VPN ?
Obrigado Duca. Fico no aguardo pela sua resposta e desde já também desejo sucessos e felicidades, no seu trabalho sobre a sua solução no OpenVPN.
Um grande abraço .................. smiley

Olá pssgyn!

Minha experiência com OpenVpn não é tão grande, assim, vc não pode se lembrar mas vc e o mtec fora os promeiros a me dar dicas sobre o OpenVpn, hehe.

Amigo, já tentei colocar um servidor NFS e montar as pastas via VPN e não deu certo, nãochegeui a testar de novo, mas acredito que foi o tempo de resposta do servidor apra o cliente é muito grande.
não me lebro dos erros agora, faz muito tempo e irei testar novamente, em breve e postarei aqui.
Pelo que eu vi depois dá pra acertar no cliente, isto é, no fstab salve engano, o protocolo que será usado pelo próprio NFS e até timeout.
Não cheguei a testar com esses parâmetros as talvez dê certo.

Ab, Duca.

[evandrofisico]

Talvez em vez de usar o nfs sobre a vpn seja mais iteressate usar algo como o FUSE, que implementa o sshfs, que aparentemente tem uma latencia menor e é melhor comportado do que o NFS

[fagundao]

Bom amigos,

Não sou tao gabaritado quanto vocês e posso estar falando alguma besteira, mas nos meus testes consigo visualizar todas as maquinas no ambiente de rede, não sei se para os aplicativos em Cobol existe alguma peculiaridade, mas tenho um servidor slackware e estações windows que vizualizam o ambiente de rede da matriz. Para isso coloquei o comando client-to-client no arquivo de configuração do servidor e consigo mapear as unidades de rede nos clientes.

[pssgyn]

Fagundao, boa noite. Obrigado pela sua força. Eu instalei o OpenVPN, que é um pacote muito bom. Excelente, eu diria. Rodou cerca de 2 anos, numa configuração de hardware de dar pena. Era na época um Conectiva 8 num Pentium 200 MMX com modem US Robotics 9001 em bridge, hd de 1.7, hub Encore e 2 estações windows 98. Sucatão mesmo. Rodava redondinho. Acho que a empresa não acreditava e nem eu também. Mas o aplicativo que rodava, era em PHP com MySQL. Ou seja, aplicativo que usa o protocolo TCP/IP. Os bancos de dados de hoje em dia não tem nenhuma complicação com VPN, seja ele que pacote for. O meu problema maior é exatamente esse. As tabelas em Cobol, são parecidas com o Paradox no Delphi. Não trabalham com o TCP/IP. Por outro lado o OpenVPN, trabalha com UDP. E isso é a minha esperança. Eu terminei hoje, no final do expediente de deixar tudo pronto. Os 2 servidores. Eu uso o Slackware 10.2 na matriz e instalei hoje o Slackware 11 RC1 na filial. Tive que instalar também o Squid, Samba, Firewall e o NFS. O bom do Slackware nesse caso é que a máquina que instalei tudo isso, é um K6 II-500, e essa distro se adapta bem as máquinas mais antigas, funcionou tudo belezinha. Amanhã (30/08) vou começar a testar tudo. Eu instalei algum tempo, o NFS em 2 servidores com IP diferentes e também funcionou muito bem, mas não usava VPN. Bom amanhã é o meu grande dia. Qualquer coisa volta a postar aqui o resultado. Tenho fé em Deus de que pode dar certo.
Um grande abraço a todos que colaboraram pelas dicas. Fiquemos todos em paz .... :-)

E por falar em VPN Fagundao, que comando client-to-client é esse ? Você está usando o OpenVPN ? Eu instalei o OpenVPN versão 1.6.0 e no modo SSL/TLS. Seria isso ? No servidor o comando tls-server e no cliente o tls-client.

Um abraço .................e inté ...................

[Duca]

Se vc habilitar a diretiva client-to-client no servidor, todos os clientes irão se enxergar, por padrão o cliente somente enxerga o servidor.

Ab, Duca :-)

[fagundao]

Bom minha topologia e client-to-gateway.

No servidor uso o slackware 10.2 e na rede tenho NFS, SAMBA na minha rede interna em outros servidores, meus clientes se conectam de casa ou de outras instituições para acessar a minha rede, a maioria deles usa windows e com o comando client-to-client no servidor eles enxergam todo o ambiente de rede. Dessa forma você pode mapear uma unidade de rede e acredito que conseiga fazer sua aplicação funcionar.

Uso o openVPN 2.0.7 com chaves dinamicas.

abraços.

[fagundao]

Voltando ao meu problema inicial...

Bom eu tive uma ideia mas não sei ainda como executa-la! rsrsr

Pensei o seguinte:
Existe alguma maneira de encaminhar todos os pacotes destinados a porta 80 para uma determinada conexão?
Pensei que se conseguir identificar tudo que é para porta 80 e puder direciona-lo para minha conexão VPN faria com que todo o trafego da Internet fosse pela minha VPN e assim resolveria meu problema.

Ate agora so consigo direcionar todos os pacotes para uma determinada rede.
Gostaria de direcionar um determinado pacote para qualquer rede - no Linux usando o iptables acredito que tem como fazer essa diferenciação mas no windows q e fogo!!!

abraços

[pssgyn]

Galera, estou de volta. Testei hoje o OpenVPN, com a solução que adotei. Ou seja, instalei o OpenVPN e funcionou perfeitinho. Instalei NFS e Samba, na filial e tudo ok. Vi do outro lado no ambiente de rede o que era esperado. Abri arquivo do outro lado usando utilitário da M$. Mas agora estou me debatendo com um probleminha do qual eu já instalei várias vezes e nunca aconteceu isso. Eu carrego o Squid para compartilhar a internet com os pc´s na rede da filial, e vendo o log do Squid está tudo perfeito. Todas as mensagens de boot do Squid aparecem normais. Não dá o menor erro. Mas não pingo para fora. Pingo até o modem. Um Dlink 500G em router. Já entrei no modem e está tudo normal. Aliásmente fiz testes várias vezes no ambiente windows (e lá vem comparação novamente com a M$) e está normal. Só não consegui entender porque o Squid não libera o acesso a internet para os usuários da rede da filial. No resto o OpenVPN está funcionando normal. Estou usando um K6-II 500 e confesso que a maquininha quando liguei na filial está dando uma série de problemas. Desliga sózinha sem mais e sem menos. O teclado para de funcionar sem nenhum motivo aparente. Eu creio que o problema está na máquina. Peguei alguns tutoriais hoje, do Underlinux, do Vivaolinux para conferir se tinha alguma configuração errada no Squid. Não tinha. Olhei o firewall e também nada. Aliásmente, gostaria até de perguntar ao pessoal aqui. No arquivo /etc/rc.d/rc.local eu carrego o Squid primeiro e depois o OpenVPN. Essa ordem tem alguma coisa a ver ? Mas alguma coisa me diz que o problema está mais no pc que é muito antigo. Mas de qualquer forma eu tive progressos. Estou usando o OpenVPN 1.6 e ele está funcionando legal. Mas o compartilhamento da internet via Squid não vai mesmo. Vou trocar amanhã placa de rede, aumentar memória e ver no que dá. Mas não entendi o porque do Squid não compartilhar a internet e vendo no log do Squid carregando tudo normal. Uma placa de rede é uma 3Com e está abrindo o túnel normal do OpenVPN. E a outra uma Realtek 8139c que pinga nas estações.
Mas, volto aqui para falar sobre essa nova experiência na instalação da VPN.
Um grande abraço a todos aqui nesse tópico. Bom é que esse tema está se desenvolvendo de uma forma bem madura por todos que estão participando.
Qualquer novidade posto aqui. E se alguém aqui que está participando desse tópico puder me dar alguma dica, fico grato.
Que Deus abençõe a nós todos ............ :-)

[pssgyn]

Fagundao, boa noite ou bom dia. Afinal passou da meia noite. Meia noite e 3 minutos, hehehe
Mas vamos lá. Estive pesquisando no google sobre iptables e imagino até que você deve ter pesquisado alguma coisa.
Mas dê uma olhadinha em :

http://focalinux.cipsga.org.br/guia/...w-iptables.htm

http://www.tccamargo.com/linux/tutoriais/iptables.html

http://www.eriberto.pro.br/iptables/

Eu considero esse último um tutorial muito bom sobre Iptables.

Pelo que você deseja fazer, eu creio que tem solução sim.

Afinal nós da área de informática, e principalmente fuçadores de Linux, sempre encontramos algum caminho. E temos muita ajuda aqui no Underlinux.

Um forte abraço ............ :-)

Dê uma olhadinha nesses links e veja se pode te dar alguma luz ..... :-)