Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Padrão Dúvida persistente (OpenVPN Filiais X Filiais)

    Tenho uma VPN com uma MATRIZ e cinco FILIAIS funcionando certinho. A comunicação entre filiais e matriz ocorre sem problema alguma, mas até hoje não consegui fazer com que as filiais se comunique entre sí. Como faço para deixa esse tráfego ativo? Queria que o usuário da filial 1 (192.168.1.0/24) conseguisse acessar a máquina do usuário da filial 5 (192.168.5.0/24) e vice-versa.

    Obrigado e aguardo qualquer comentário.

    Abraço.

  2. #2

    Padrão

    isso vai complicar a sua vida; lembro-me que há qualquer coisa na documentação a respeito, achei até um trechinho aqui:
    "OpenVPN can handle multiple clients with only one tun interface on the server. To handle this, you can think of the PtP link you see on server as a link between the operating system and OpenVPN. Then when you're inside OpenVPN, another PtP link needs to created to each client. If all O/S would have supported true PtP links over the tun interface, this could have been done with the OpenVPN server using only one IP address and each client using another IP address."

    o que vc vai precisar considerar cada um como uma possível conexão cliente/server, ou sejam, multiplos servidores com multiplos clientes cada um, uma vez que hj em dia as interfaces aceitam endereços/rotas multiplas.

    pode ser que na documentação haja coisa melhor (lembra-me ter visto, uma ocasião, mas é chato pra kct ler tudo - rs).

    pode ser que isto Re: [Openvpn-users] multiple clients and multiple servers ajude vc.

    divirta-se.

  3. #3

    Padrão

    Citação Postado originalmente por irado Ver Post
    isso vai complicar a sua vida; lembro-me que há qualquer coisa na documentação a respeito, achei até um trechinho aqui:
    "OpenVPN can handle multiple clients with only one tun interface on the server. To handle this, you can think of the PtP link you see on server as a link between the operating system and OpenVPN. Then when you're inside OpenVPN, another PtP link needs to created to each client. If all O/S would have supported true PtP links over the tun interface, this could have been done with the OpenVPN server using only one IP address and each client using another IP address."

    o que vc vai precisar considerar cada um como uma possível conexão cliente/server, ou sejam, multiplos servidores com multiplos clientes cada um, uma vez que hj em dia as interfaces aceitam endereços/rotas multiplas.

    pode ser que na documentação haja coisa melhor (lembra-me ter visto, uma ocasião, mas é chato pra kct ler tudo - rs).

    pode ser que isto Re: [Openvpn-users] multiple clients and multiple servers ajude vc.

    divirta-se.
    Beleza, vou dar uma lida nesse material sim. Só que se for pra complicar (seu comentário), vou deixar a coisa como está... Pois essa solução seria muito boa pra mim em caso de manutenção/suporte em estações de trabalho.

    Obrigado pela sua atenção.

    Abraço.

  4. #4

    Padrão Nao documentado

    Jah passei por uma situacao semelhamente em duas situacoes, num caso fiz como o irado recomendou acima. Numa precisava de uma conexao permanente entre filiais de um mesmo setor, a solucao foi montar configuracao para multiplos clientes, multiplos servidores. Noutra foi mais simples, precisava de arquivos de uma filial para outra, entao soh fiz adicionar uma rota em cada filial indicando o acesso da outra a partir da interface do tunel.

  5. #5

    Padrão

    Citação Postado originalmente por amaia Ver Post
    Jah passei por uma situacao semelhamente em duas situacoes, num caso fiz como o irado recomendou acima. Numa precisava de uma conexao permanente entre filiais de um mesmo setor, a solucao foi montar configuracao para multiplos clientes, multiplos servidores. Noutra foi mais simples, precisava de arquivos de uma filial para outra, entao soh fiz adicionar uma rota em cada filial indicando o acesso da outra a partir da interface do tunel.
    Beleza, mas tentei criar as rotas que você menciona, só que não consegui. Será que você poderia me mostrar um exemplo dessas rotas? Daí eu adapto para a minha realidade.

    Obrigado pela sua atenção e aguardo qualquer ajuda.

    Abraço.

  6. #6

    Padrão openvpn

    Na configuracao do servidor tem que ter uma definicao do tipo:
    # com esta opcao vc vai criar um rede em comum entre os pontos
    server 1.1.1.0 255.255.255.0

    # este parametro indicara as rotas para as filiais
    # nao esquecer que precisa do arquivo no ccd para cada filial com a rota
    route 20.20.20.0 255.255.255.0
    route 30.30.30.0 255.255.255.0
    route 10.100.60.0 255.255.255.0

    # com comando deste tipo vc tem uma rede unica acessivel pelas filiais
    push "route 10.100.2.0 255.255.255.0"

  7. #7

    Padrão

    Basta efetuar roteamento através do servidor da matriz e liberar no firewall, os portas devidas para acesso de uma filia a outra, atraves do firewall - matriz

    mtec

  8. #8

    Padrão

    Citação Postado originalmente por amaia Ver Post
    Na configuracao do servidor tem que ter uma definicao do tipo:
    # com esta opcao vc vai criar um rede em comum entre os pontos
    server 1.1.1.0 255.255.255.0

    # este parametro indicara as rotas para as filiais
    # nao esquecer que precisa do arquivo no ccd para cada filial com a rota
    route 20.20.20.0 255.255.255.0
    route 30.30.30.0 255.255.255.0
    route 10.100.60.0 255.255.255.0

    # com comando deste tipo vc tem uma rede unica acessivel pelas filiais
    push "route 10.100.2.0 255.255.255.0"
    Me desculpe, mas não entendi o que você quis dizer...

    Obrigado pela atenção.

    Abraço.

  9. #9

    Padrão

    Citação Postado originalmente por mtec Ver Post
    Basta efetuar roteamento através do servidor da matriz e liberar no firewall, os portas devidas para acesso de uma filia a outra, atraves do firewall - matriz

    mtec
    Olá mtec,

    Isso seria um "nat" com iptables em cima dos dispositivos do tipo "tun". É isso?

    Se você mudesse postar um exemplo para eu entender melhor seria ótimo.

    Obrigado pela atenção e aguardo retorno.

    Um forte abraço.

  10. #10

    Padrão

    Não, não é nat. Se está com IPs privados, basta apenas efetuar roteamento (estabelecer rotas) e em seguida liberar as portas desejadas na comuniação.

    Ex:

    Liberação da porta de um banco de dados MySQL entre matriz e filial (10.0.0.0/24), supondo que uma aplicação qualquer esteja falando na filial e o servidor de DB esteja na matriz (192.168.0.0/24):

    iptables - A FORWARD -p tcp -m tcp -s 10.0.0.0/24 --sport 1024:65535 -i tun0 -d 192.168.0.0/24 --dport 3306 -o eth1 -j ACCEPT

    + ou - isso.

    Agora cada caso é um caso!!

    Grande abraço!!

    mtec

  11. #11

    Padrão

    Citação Postado originalmente por mtec Ver Post
    Não, não é nat. Se está com IPs privados, basta apenas efetuar roteamento (estabelecer rotas) e em seguida liberar as portas desejadas na comuniação.

    Ex:

    Liberação da porta de um banco de dados MySQL entre matriz e filial (10.0.0.0/24), supondo que uma aplicação qualquer esteja falando na filial e o servidor de DB esteja na matriz (192.168.0.0/24):

    iptables - A FORWARD -p tcp -m tcp -s 10.0.0.0/24 --sport 1024:65535 -i tun0 -d 192.168.0.0/24 --dport 3306 -o eth1 -j ACCEPT

    + ou - isso.

    Agora cada caso é um caso!!

    Grande abraço!!

    mtec
    Beleza, já tentei cria rotas anteriormente entre filiais, só que não acertei não.

    Situação atual:
    Matriz - 10.0.0.1
    Filial 1 - 11.0.0.2 (tun0)
    Filial 2 - 12.0.0.2 (tun1)
    ...

    Rotas:
    Na Matriz => Filial 1 - route add -net 192.168.1.0/24 gw 11.0.0.2
    Na Filial 1 => Matriz - route add -net 192.168.0.0/24 gw 11.0.0.1

    Na Matriz => Filial 2 - route add -net 192.168.2.0/24 gw 12.0.0.2
    Na Filial 2 => Matriz - route add -net 192.168.0.0/24 gw 12.0.0.1
    ...

    Tentativa (sem sucesso) de rotas entre filiais:

    Filial 1 => Filial 2 - route add -net 192.168.2.0/24 gw 11.0.0.2
    Filial 2 => Filial 1 - route add -net 192.168.1.0/24 gw 12.0.0.2

    Terei que criar mais rotas na MATRIZ para que isso funcione? Penso que o que eu fiz está incompleto... ou está errado?!?!

    Baseado nesses dados aí em cima como eu devo criar as rotas entre as FILIAIS?

    Obrigado pela sua atenção e aguardo qualquer comentário.

    Um forte abraço.

  12. #12

    Padrão openvpn

    Vamos fazer o seguinte, poste aqui o seu openvpn.conf, que faco as correcoes para funcionar. Por exemplo, vc esta usando um tunel para cada filial, vc pode usar somente um tunel, com isto a rede do tunel sera unica e os computadores envolvidos poderao se conectar. Outra coisa, no firewall, se vc possuir ips fixos nas conexoes, vc pode incluir regras liberando acesso dos ips das filiais, ou liberar o acesso a interface tun0, jah que para conectar na tun0 eh preciso o uso do certificado da conexao.

  13. #13
    bgbauer
    Visitante

    Padrão Acessar rede filial a partir da matriz

    Bom dia,

    Estou me atravessando na thread mas a minha dúvida é semelhante e acho que podemos nos ajudar.
    Tenho uma vpn configurada com um server e muitos clientes (filiais). Consigo fazer as máquinas das subnets cliente (em qquer filial) acessarem a subnet da matriz (onde tem o server).
    Agora eu preciso fazer o contrário, permitir que, a partir de qquer máquina da subnet da matriz eu acesse máqs da subnet de uma filial (client) específica.
    Tentei configurar as regras de roteamento no braço mas a comunicação não ocorre.
    Pergunto:
    1) Essa configuração é possível ou tenho que fazer um novo server e utilizar o método "Single-machine <-> single-machine"?
    2) Tenho que adicionar alguma coisa no arquivo de configuração do servidor???

    Valeu.

  14. #14

    Padrão openvpn

    Configuracao para sua rede:

    Matriz - 10.0.0.1
    Filial 1 - 11.0.0.2
    Filial 2 - 12.0.0.2

    Rede do tunel:
    tun0 1.1.1.0

    Na configuracao do servidor tem que ter uma definicao do tipo:
    # com esta opcao vc vai criar um rede em comum entre os pontos
    # faz a configuracao uma matriz - multiplas filiais, criando um tunel unico
    # acessivel por todos os pontos da vpn. ( tun0 )
    server 1.1.1.0 255.255.255.0

    # este parametro indicara as rotas para as filiais
    # nao esquecer que precisa do arquivo no diretorio /etc/openvpn/ccd
    # para cada filial com a rota
    route 11.0.0.0 255.255.255.0
    route 12.0.0.0 255.255.255.0

    # o pulo do gato esta aqui, exemplo para a rota 11.0.0.0, tem que
    # existir um arquivo no diretorio ccd, com o nome do certificado usado
    # pelo cliente, se o nome do certificado for cliente01, tem que existir um
    # arquivo com o nome cliente01 com o conteudo:
    iroute 11.0.0.0 255.255.255.0
    # com isto qualquer terminal da rede da matriz acessa qualquer terminal
    # da rede da filial


    # com este comando vc tem a rede da matriz acessivel pelas filiais
    push "route 10.10.0.0 255.255.255.0"

    Nao esquecer de liberar o firewall na matriz e na filial para a interface tun0 ou liberar o acesso para os ips dos pontos da vpn.
    Última edição por amaia; 14-06-2009 às 20:08.

  15. #15

    Padrão

    Citação Postado originalmente por amaia Ver Post
    Vamos fazer o seguinte, poste aqui o seu openvpn.conf, que faco as correcoes para funcionar. Por exemplo, vc esta usando um tunel para cada filial, vc pode usar somente um tunel, com isto a rede do tunel sera unica e os computadores envolvidos poderao se conectar. Outra coisa, no firewall, se vc possuir ips fixos nas conexoes, vc pode incluir regras liberando acesso dos ips das filiais, ou liberar o acesso a interface tun0, jah que para conectar na tun0 eh preciso o uso do certificado da conexao.
    Olá,

    Se eu posso utilizar o mesmo túnel para todas as filiais, acho que o problemas ficaria resolvido de vez, ou não???

    Para que as filiais utilizem o mesmo túnel (tun0) eu devo especificar o túnel em questão em cada filial é isso? E os endereços de rede posso deixar os mesmo?

    Obrigado pela sua atenção.

  16. #16

    Padrão openvpn

    e eu posso utilizar o mesmo túnel para todas as filiais, acho que o problemas ficaria resolvido de vez, ou não??? Sim, fica resolvido

    Para que as filiais utilizem o mesmo túnel (tun0) eu devo especificar o túnel em questão em cada filial é isso? ( tenho que ver a configuracao do seu cliente para poder indicar a correcao, poste a configuracao do cliente aqui )

    E os endereços de rede posso deixar os mesmo?
    Sim,

  17. #17

    Padrão

    Citação Postado originalmente por amaia Ver Post
    e eu posso utilizar o mesmo túnel para todas as filiais, acho que o problemas ficaria resolvido de vez, ou não??? Sim, fica resolvido

    Para que as filiais utilizem o mesmo túnel (tun0) eu devo especificar o túnel em questão em cada filial é isso? ( tenho que ver a configuracao do seu cliente para poder indicar a correcao, poste a configuracao do cliente aqui )

    E os endereços de rede posso deixar os mesmo?
    Sim,
    Não entendi o seu comentário tão sucinto!!!

  18. #18

    Padrão

    A resposta da segunda pergunta depende de como esta a configuracao do seu cliente, pois existe a configuracao para um tunel um cliente, e existe a configuracao para um tunel multiplos clientes.

  19. #19
    bgbauer
    Visitante

    Padrão Obrigado

    Amaia, valeu pela dica. Consegui fazer a comunicação transparente para os dois lados. Barbadinha.

  20. #20

    Padrão

    Citação Postado originalmente por amaia Ver Post
    A resposta da segunda pergunta depende de como esta a configuracao do seu cliente, pois existe a configuracao para um tunel um cliente, e existe a configuracao para um tunel multiplos clientes.
    No meu caso eu tenho cinco clientes e cada um com um túnel diferente (tun0, tun1, tun2, ...). No parametro "dev" do arquivo de configuração dos clientes eu não especifico o dispositivo, sendo assim o mesmo é criado automaticamente. Ok?

    Se eu passar a utilizar o parametro "dev" do arquivo de configuraçao dos clientes de forma fixa, com um túnel único (tun0) para todos, o meu problema se resolverá? Poderei manter os endereços da VPN como hoje estão ou terei que mudar mais algum coisa?

    Muito obrigado pela sua pronta atenção e aguardo retorno

    Um forte abraço.
    Última edição por aprendiz_ce; 17-06-2009 às 10:17.