+ Responder ao Tópico



  1. #1

    Padrão 2 clientes openvpn mesma internet

    Olá pessoal,

    Estou tendo um certo trabalho em entender o porque que: 2 computadores da loja com clientes OpenVPN e Windows, devidamente configurados com o padrão.... apenas 1 PC conecta no servidor, e o outro PC nao consegue efetuar a conexão, sendo que eu testando daqui de casa no mesmo momento com a configuração do 2o PC, eu consigo conectar....

    A faixa de IPs para cada estação é a seguinte:

    10.8.0.2, 10.9.0.2, 10.10.0.2, 10.11.0.2, e 10.12.0.2.... e as portas começam em 1194 até 1198... mas na 1198 nao conecta... não fecha a conexão... no caso, os Pcs 10.11.0.2 e 10.12.0.2, só o 10.11.0.2 conecta... e o outro na loja não... :/

    Bom, estou usando chaves estáticas.... seria basicamente esse tipo de configuração que não me permite usar 2 ou mais clientes windows com OpenVPN na mesma rede acessar o servidor Linux na matriz ?

    Grato.
    Última edição por pabinho; 01-07-2008 às 20:58.

  2. #2

    Padrão Openvpn

    Pabinho como está configurado seu firewall ?
    Cola ele aqui talvez pode ser firewall.

    Obrigado

  3. #3

    Padrão

    Bom, aqui está o meu firewall.... creio que pode ser aqui até, pelo fato de somente agora precisar usar 2 ou mais clientes ovpn windows de uma mesma rede direto no servidor na matriz...

    Grato.
    ******************************************************
    debian:~# cat /usr/bin/firewall
    modprobe iptable_nat
    modprobe ip_nat_ftp
    modprobe ip_conntrack_ftp
    iptables -t nat -F
    iptables -F


    iptables -t nat -A PREROUTING -p tcp -d 192.168.4.1 --dport 23 -j DNAT --to 192.168.1.10:23
    iptables -t nat -A PREROUTING -p tcp -d 10.12.0.1 --dport 23 -j DNAT --to 192.168.1.10:23
    iptables -t nat -A PREROUTING -p tcp -d 10.11.0.1 --dport 23 -j DNAT --to 192.168.1.10:23
    iptables -t nat -A PREROUTING -p tcp -d 10.10.0.1 --dport 23 -j DNAT --to 192.168.1.10:23
    iptables -t nat -A PREROUTING -p tcp -d 10.9.0.1 --dport 23 -j DNAT --to 192.168.1.10:23
    iptables -t nat -A PREROUTING -p tcp -d 10.8.0.1 --dport 23 -j DNAT --to 192.168.1.10:23


    iptables -A INPUT -p tcp --syn -s 192.168.1.0/255.255.255.0 -j ACCEPT
    iptables -A OUTPUT -p tcp --syn -s 192.168.1.0/255.255.255.0 -j ACCEPT
    iptables -A FORWARD -p tcp --syn -s 192.168.1.0/255.255.255.0 -j ACCEPT

    iptables -A INPUT -p tcp --syn -s 192.168.4.0/255.255.255.0 -j ACCEPT
    iptables -A OUTPUT -p tcp --syn -s 192.168.4.0/255.255.255.0 -j ACCEPT
    iptables -A FORWARD -p tcp --syn -s 192.168.4.0/255.255.255.0 -j ACCEPT


    #iptables -A INPUT -p tcp --syn -s 10.8.0.0/255.255.255.0 -j ACCEPT
    #iptables -A OUTPUT -p tcp --syn -s 10.8.0.0/255.255.255.0 -j ACCEPT
    #iptables -A FORWARD -p tcp --syn -s 10.8.0.0/255.255.255.0 -j ACCEPT

    #iptables -A INPUT -p tcp --syn -s 10.9.0.0/255.255.255.0 -j ACCEPT
    #iptables -A OUTPUT -p tcp --syn -s 10.9.0.0/255.255.255.0 -j ACCEPT
    #iptables -A FORWARD -p tcp --syn -s 10.9.0.0/255.255.255.0 -j ACCEPT

    #iptables -A INPUT -p tcp --syn -s 10.10.0.0/255.255.255.0 -j ACCEPT
    #iptables -A OUTPUT -p tcp --syn -s 10.10.0.0/255.255.255.0 -j ACCEPT
    #iptables -A FORWARD -p tcp --syn -s 10.10.0.0/255.255.255.0 -j ACCEPT

    iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 53 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth0 -p udp --dport 53 -j MASQUERADE

    iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 1194 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth0 -p udp --dport 1194 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 1195 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth0 -p udp --dport 1195 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 1196 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth0 -p udp --dport 1196 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 1197 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth0 -p udp --dport 1197 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 1198 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth0 -p udp --dport 1198 -j MASQUERADE
    iptables -A INPUT -p tcp --destination-port 53 -j ACCEPT


    iptables -A INPUT -p udp --destination-port 53 -j ACCEPT

    iptables -A INPUT -p tcp --destination-port 1194 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 1195 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 1196 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 1197 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 1198 -j ACCEPT


    iptables -A INPUT -p udp --destination-port 1194 -j ACCEPT
    iptables -A INPUT -p udp --destination-port 1195 -j ACCEPT
    iptables -A INPUT -p udp --destination-port 1196 -j ACCEPT
    iptables -A INPUT -p udp --destination-port 1197 -j ACCEPT
    iptables -A INPUT -p udp --destination-port 1198 -j ACCEPT

    # Allow packets from private subnets
    iptables -A INPUT -i eth1 -j ACCEPT
    iptables -A OUTPUT -o eth1 -j ACCEPT
    iptables -A FORWARD -i eth1 -j ACCEPT

    iptables -A INPUT -i eth0 -j ACCEPT
    iptables -A OUTPUT -o eth0 -j ACCEPT
    iptables -A FORWARD -i eth0 -j ACCEPT

    iptables -A FORWARD -i tun+ -j ACCEPT
    iptables -A INPUT -i tun+ -j ACCEPT

    iptables -A INPUT -i tap+ -j ACCEPT
    iptables -A FORWARD -i tap+ -j ACCEPT


    #Manter o estado as conexda maquina local e da rede interna
    iptables -A OUTPUT -m state --state NEW -o eth0 -j ACCEPT
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -m state --state NEW -o eth0 -j ACCEPT
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

    iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

    iptables -t nat -A POSTROUTING -o tun1 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o tun2 -j MASQUERADE

    iptables -t nat -A POSTROUTING -o tun3 -j MASQUERADE

    #iptables -t nat -A POSTROUTING -s 10.9.0.0/24 -o eth0 -j MASQUERADE

    echo 1 > /proc/sys/net/ipv4/ip_forward
    Última edição por pabinho; 02-07-2008 às 10:45.

  4. #4

    Padrão

    A segunda máquina não conecta de jeito nenhum ou só não conecta quando a primeira está conectada?

  5. #5

    Padrão

    Olá amigo,

    Olha eu instalei OpenVPN recentemente e vi que é um software muito bom!
    Eu tive a necessidade de criar varias redes na OpenVPN para controlar o acesso dos clientes que irão acessar!
    Porém eu não precisei criar várias instancias dele para que isso funcionasse!

    Você tem algum motivo especial para ter criado tantas instancias do OpenVPN?
    Você tem algum motivo para estar fazendo NAT nos seus tuneis?

    Basicamente se você precisa que algum usuário seu da VPN (um outro linux por exemplo) tenha uma rede atrás dele
    você precisa agregar uns paramentros, como está documentado aqui nesta pagina da openvpn --> HOWTO-OpenVPN-Scope

    Eu faria primeiro uns testes antes de mudar sua configuração, como por exemplo tirar as regras de firewall e deixar o linux fazendo roteamento.

  6. #6

    Padrão

    Oi, vou tentar expor da maneira mais simples possível. Na Matriz tem o Firewall/VPN/Ubuntu que faz o controle da internet, apenas repassa a net pra rede interna, que tem um outro servidor Linux com a apalicação deles. Eles tem aqui na cidade mais 3 filiais e outra filial se encontra do outro lado do estado.... Efim, as 3 filiais da cidade tem somente um PC com Winwdows, e isso já basta, então fiz o método mais "simples e direto" e criei uma instância pra cada filial, mas na filial da outra cidade, eles colocaram mais um computador(ambos com windows)... ai UM deles só não conecta QUANDO o outro já está conectado.... e a regra que tenho pra filial é:

    dev tun
    remote XXX.XXX.XXX.XXX (ip do servidor)
    ifconfig 10.9.0.1 10.9.0.2
    cd /etc/openvpn
    up ./filial13.up
    secret chave
    port 1195
    push "route 192.168.1.0 255.255.255.0" (IP da rede interna)
    user nobody
    group nobody
    comp-lzo
    ping 15
    verb 3

    E usei chave estática no caso.

    Abraços.

  7. #7

    Padrão

    Olá amigo,

    Então você esta usando esse mesmo arquivo de configuração para as duas máquinas?
    Se sim, creio que esse pode ser seu problema!
    Pensando na mesma linha que você, já tentou criar uma outra instância do openvpn para esse segundo computador?

    Falowww

  8. #8

    Padrão

    Eu fiz uma chave e o arquivo de configuração para cada máquina... e no caso estou vendo o que o colega citou antes sobre criar outra instância do openvpn no How-To.... pois imaginei que, tendo 2 PCs na mesma rede, bastava ter cada um sua chave e arquivo de configuração, e aqui no servidor apenas ter as mesmas chaves e arquivos de configuração pra cada um já bastaria... sendo que pra cada conexão criada tem uma porta especificada direitinho...

    Abraço

  9. #9

    Padrão

    Pabinho,

    você precisa de uma chave para cada computador cliente e pode usar uma só para o servidor (a parte que vai ficar nos clientes).

    As portas que precisam ser liberadas no seu firewall para autenticação IKE são 500 e 4500 tcp e udp (ambas). Além dos protocolos AH, ESP e GRE.

    Você consegue conectar um só dos clientes?

  10. #10

    Padrão

    Citação Postado originalmente por galahad Ver Post
    Pabinho,

    você precisa de uma chave para cada computador cliente e pode usar uma só para o servidor (a parte que vai ficar nos clientes).

    As portas que precisam ser liberadas no seu firewall para autenticação IKE são 500 e 4500 tcp e udp (ambas). Além dos protocolos AH, ESP e GRE.

    Você consegue conectar um só dos clientes?
    Ola meu amigo,

    Então isso ai de AH, ESP são do IPSec não do OpenVPN!
    OpenVPN porta 1194 (padrão) e pronto!

  11. #11

    Padrão

    Verdade... bem verdade... eu acabei confundindo o OpenVPN com o OpenS/WAN, que é o que eu normalmente uso

    Mas... só uma dúvida... até onde eu me recordo de VPNs você não deve mascarar os pacotes que saem nestas portas, certo?

  12. #12

    Padrão

    Olha o que você disse pode ser certo! Não vou afirmar!
    Mas eu aqui não faço NAT nos tuneis!
    Faço roteamento e faço filtro com iptables para limitar o acesso!

  13. #13

    Padrão

    Citação Postado originalmente por pabinho Ver Post
    iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 1194 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth0 -p udp --dport 1194 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 1195 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth0 -p udp --dport 1195 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 1196 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth0 -p udp --dport 1196 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 1197 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth0 -p udp --dport 1197 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 1198 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth0 -p udp --dport 1198 -j MASQUERADE

    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o tun1 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o tun2 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o tun3 -j MASQUERADE

    #iptables -t nat -A POSTROUTING -s 10.9.0.0/24 -o eth0 -j MASQUERADE
    Mas o pabinho está fazendo masquerade de tudo que sai do roteador dele.

  14. #14

    Padrão

    Então meu amigo...
    Você acha que isso ai ta certo?
    Eu uso roteado aqui e não tenho nenhum problema...

    Isso ai só vai complicar a administração e controle de acesso aos recursos compartilhados da rede.
    Sem contar a administração da VPN, como estamos vendo agora.

    Se eu fosse ele tiraria esse monte de instancia do openvpn, deixaria uma só e criaria redes diferentes para os clientes
    dele como esta descrito no site do openvpn. Ai ficaria uma só porta, redes diferentes para cada cliente, muito mais facil para administrar!

  15. #15

    Padrão

    Concordo plenamente com você, Zenun!

    Mas temos que esperar o pabinho dar sinal de vida, pra saber o que ele resolveu fazer.