Roteamento + VPN

[zenun]

Olá pessoal, eu estou começando a utilizar VPN e estou utilizando o OpenVPN. A configuração foi tranquila e consegui estabelecer os túneis sem maiores problemas.

A minha topologia de teste foi bem simples, contendo um PC linux sendo o nó master da VPN e outros dois se conectando a ele. Eu estou com uma dúvida pois eu não consegui fazer com que os dois computadores conectados na VPN se enxergarem, porém o computador master consegue fazer ping nos dois nós (normal até ai! hehehehe...)

A configuração do OpenVPN do lado do cliente que eu fiz foi essa:

Código :

dev tun
ifconfig 10.0.0.2 10.0.0.1
remote 192.168.1.1
cd /etc/openvpn
secret chave
port 5000
user nobody
group nobody
comp-lzo
ping 15
verb 3

A configuração do OpenVPN do lado master foi esse:

Código :

dev tun
ifconfig 10.0.0.1 10.0.0.2
cd /etc/openvpn
secret chave
persist-key
persist-tun
port 5000
user nobody
group daemon
comp-lzo
ping 15
ping-restart 60
verb 3

O que eu mudei para o segundo cliente foi o parâmetro ifconfig

Código :

10.0.0.3 10.0.0.1

.

Eu gostaria de poder fazer com que todos os componentes da VPN se enxergarem, pois eu estou para fazer uma implementação com VPN com os nós distribuidos em diversas localidades e gostaria que fosse possivel essa comunicação, como se eles estivessem em uma WAN privada.

Obrigado!! :-D

[xstefanox]

O quê a gente deve entender por "enxergar"?

[zenun]

Olá o que eu quis dizer com enxergar foi ter acesso completo, normal como se estivesse em uma "lan". Só que neste caso estaria usando as conexões da VPN. É possível fazer isso?

Eu estava olhando algumas configurações e fiz algo assim:

SERVIDOR

Código :

cd /etc/openvpn
dev tun
 
mode server
tls-server
tls-auth    keys/ta.key 0
dh       keys/dh1024.pem
ca       keys/ca.crt
cert      keys/server.crt
key       keys/server.key
 
port 5001
 
server 172.16.10.0 255.255.255.0
ifconfig-pool-persist ipp.txt
 
persist-key
persist-tun
client-to-client
 
user nobody
group daemon
 
comp-lzo
ping 15
ping-restart 60
verb 3

CLIENTE

Código :

cd /etc/openvpn
remote 192.168.1.1
port 5001
dev tun
 
tls-client
tls-auth    keys/ta.key 1
ca       keys/ca.crt
cert      keys/client1.crt
key       keys/client1.key
 
persist-key
persist-tun
 
user nobody
group daemon
 
comp-lzo
ping 15
ping-restart 60
verb 3

Essa seria somente a parte da VPN, eu imagino que eu teria que fazer agum trabalho com a tabela de roteamento do linux, ou ainda criar uma tabela de roteamento separada para a VPN.

Obrigado!! :-D :wink:

[xstefanox]

Bem, depende.

Vamos supor que você queira utilizar SAMBA na sua rede para autenticar os micros da filial e da matriz. Como o SAMBA utiliza a pilha NetBIOS que, por sua vez, é cheia de broadcasts, você não vai conseguir, porque broadcasts não passam por roteadores (No caso, os seus servidores).

Agora, se tu tentar mapear uma unidade de rede de uma rede para a outra, é pra funcionar caso os seus servidores SAMBA estejam aceitando conexões daquela rede.

Veja bem, isso não é uma limitação da VPN (Embora várias implementações de VPN possuam problemas diversos com NAT), mas sim do protocolo. Olhando muito por cima no site do OpenVPN, parece que existe uma maneira, sim, de fazer funcionar isso o que você quer, mas eu nem fiquei olhando muito. Se tu der o trampo de implementar e colocar no wiki pra gente, a comunidade fica agradecida.


Um grande abraço!

[zenun]

Hummm entendo!! É existe esse caso dos roteadores...

Bom o que eu realmente estou querendo fazer é o seguinte, eu vou ter servidores espalhados por vários paises e eu queria que somente o gerenciamento, por ssh ou web fosse feito pela VPN. Eu não vou ter nada como o SAMBA, no máximo um RADIUS para autenticar os usuários da VPN com um MySQL de base de dados.

O acesso regular dos usuários seria feito pelo IP externo...

Eu tambem vou implementar PPTP para que os usuários administradores possam acessar a rede de forma remota e mais segura. Dessa forma eu queria que pelo menos fosse possível o acesso de SSH e HTTP através da VPN!

Depois que isso tudo estiver funcionando eu posso fazer um tutorial ou algo do tipo e colocar no wiki sem problemas!

Um grande abraço e obrigado!

[xstefanox]

Bem, nesse caso... é pra isso que VPN existe =).

[zenun]

OK! Porém quando eu implementei da primeira forma utilizando o parâmetro "secret" eu não conseguia acessar o segundo host conectado a VPN...

Agora eu estou tentando utilizar essa segunda forma de implementação que é utilizando os parametros "mode server" "tls-server" "tls-client", só que agora eu estou tendo uns problemas e não estou conseguindo estabelecer a VPN!

Você sabe se está faltando algum parâmetro para a configuração ou eu estou gerando errado os certificados?

Valeu!!

[Robson-PB]

:wink: Deixa eu criar um [OFF] dentro desse tópico!

É que eu queria saber um site que explica aprofundado sobre VPN no Linux (em português).

Agradeço a todos.