Openvpn Matriz Filial [RESOLVIDO]

desv.paulo
(usa Slackware)

Enviado em 07/06/2014 - 10:54h

Bom dia galera,

Sei que tem muito conteudo na net falando sobre o Openvpn mas o meu problema nao encontrei em nenhum lugar.

A minha ligação da matriz para mais de uma filial esta funcionando, a coisa que não funciona é a rota de da matriz para as filiais, das filiais para matriz funciona.

Alguma dica do que pode estar impedindo a comunicacao da matriz para as filiais, lembrando que os firewall das filiais tem a mesma regra da matriz e todos são gw de rede.

Buckminster
(usa Debian)

Enviado em 07/06/2014 - 14:15h

Não entendi. Seja mais específico por gentileza.

desv.paulo
(usa Slackware)

Enviado em 07/06/2014 - 18:38h

Vamos lá:

Tenho uma vpn na empresa com da seguinte forma:

MATRIZ - 192.168.0.0 - VPN (10.0.0.1)
FILIAL1- 192.168.1.0 - VPN (10.0.0.3)
FILIAL2- 192.168.2.0 - VPN (10.0.0.10)

As filiais está comunicando com a matriz elas enxergam toda a rede da matriz (192.168.0.0). Só que a matriz não consegue enxergar a rede das filiais, já criei as rotas da seguinte na matriz:

route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.0.0.1
route add -net 192.168.2.0 netmask 255.255.255.0 gw 10.0.0.1

Só que mesmo criando as rotas não teno comunicação com as filiais. O que pode estar acotencendo na matriz para não conseguir está comunicação sendo que as filiais consegue sem problema nenhum.

Buckminster
(usa Debian)

Enviado em 09/06/2014 - 01:35h

Tente assim:

A matriz tem rede interna 192.168.0.0 com ip da vpn 10.0.0.1
A filial 1 tem rede interna 192.168.1.0 com ip da vpn 10.0.0.3
A filial 2 tem rede interna 192.168.2.0 com ip da vpn 10.0.0.10

Com as filiais conectadas na matriz crie as seguintes rotas,

Matriz:
route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.0.0.3 # Rota para filial 1
route add -net 192.168.2.0 netmask 255.255.255.0 gw 10.0.0.10 # Rota para filial 2

Filial 1:
route add -net 192.168.0.0 netmask 255.255.255.0 gw 10.0.0.1 # Rota para Matriz
route add -net 192.168.2.0 netmask 255.255.255.0 gw 10.0.0.10 # Rota para filial 2

Filial 2:
route add -net 192.168.0.0 netmask 255.255.255.0 gw 10.0.0.1 # Rota para Matriz
route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.0.0.3 # Rota para filial 1

Deste modo tanto a matriz quanto as filiais se comunicarão. Lembrando também que se você tem firewall precisa liberar o trafego entre elas, só a rota não adianta se teu servidor firewall de cada lugar bloquear a comunicação.

desv.paulo
(usa Slackware)

Enviado em 09/06/2014 - 09:44h

Ai que está o problema quando vou tentar fazer as rotas na mão para o IP da VPN das filiais me retorna o erro:

SIOCADDRT: Network is unreachable


Pelo script do openvpn:

route 192.168.1.0 255.255.255.0
route 192.168.2.0 255.255.255.0

Quando start o serviço ele puxa o gw 10.0.0.2 que seria o tun0 da matriz, mas não a comunicação com as filais, segue abaixo o conf da matriz:

mode server
proto udp
port 1194
dev tun
server 10.0.0.0 255.255.255.0
push "route 192.168.0.0 255.255.255.0"
route 192.168.1.0 255.255.255.0
route 192.168.2.0 255.255.255.0
push "ping 10"
push "ping-restart 60"
comp-lzo
keepalive 10 120
max-clients 3
persist-key
persist-tun
log-append /var/log/openvpn.log
verb 6
tls-server
dh /etc/openvpn/keys/dh1024.pem
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/matriz.crt
key /etc/openvpn/keys/matriz.key
tls-auth /etc/openvpn/keys/chave.key
status /var/log/openvpn.stats

problema de firewall nao porque a filiais tem a mesma regra e comunica com a matriz.

Buckminster
(usa Debian)

Enviado em 09/06/2014 - 16:56h

SIOCADDRT: Network is unreachable

Esta mensagem acima que dizer que a rede está inacessível.

Execute ifconfig e veja se a placa de rede está pegando IP.

E aqui

dev tun

tente com

dev tun0

E dê uma olhada no log da matriz.

desv.paulo
(usa Slackware)

Enviado em 09/06/2014 - 17:38h

Sim esta configurado, só que joga para o 10.0.0.2 que é o gw do TUN0:

10.0.0.0 10.0.0.2 255.255.255.255 UGH 0 0 0 tun0
10.0.0.2 * 255.255.255.255 UH 0 0 0 tun0
loopback * 255.0.0.0 U 0 0 0 lo
192.168.1.0 * 255.255.255.0 U 0 0 0 tun0
192.168.2.0 10.0.0.9 255.255.255.0 UG 0 0 0 tun0

Só que se eu fizer o route das filais para o gw 10.0.0.2 nao tenho resposta quando ping na rede da filial.

O engraçado que nas filiais a mascara é diferente
Filial 1

10.0.0.0 10.0.0.2 255.255.255.0 UG 0 0 0 tun0
10.0.0.2 * 255.255.255.255 UH 0 0 0 tun0
loopback * 255.0.0.0 U 0 0 0 lo
192.168.0.0 * 255.255.255.0 U 0 0 0 enp2s0

Filial 2

10.0.0.1 10.0.0.5 255.255.255.255 UGH 0 0 0 tun0
10.0.0.5 * 255.255.255.255 UH 0 0 0 tun0
loopback * 255.0.0.0 U 0 0 0 lo
192.168.0.0 10.0.0.5 255.255.255.0 UG 0 0 0 tun0

Esta configuração e puxada pela propria VPN e comunica na filial sem problema !

Buckminster
(usa Debian)

Enviado em 09/06/2014 - 17:48h

Ok. Faça um teste.

Delete as duas rotas anteriores na matriz e crie elas da seguinte maneira:

route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.0.0.3 dev tun0 # Rota para filial 1
route add -net 192.168.2.0 netmask 255.255.255.0 gw 10.0.0.10 dev tun0 # Rota para filial 2

Em dev tun0 tu coloca o que aparecer no ifconfig da matriz (tun0 ou tun1, etc).

desv.paulo
(usa Slackware)

Enviado em 09/06/2014 - 20:19h

Nao deixa criar pelo ip da VPN da filiais 10.0.0.3 e 10.0.0.10 porque dá o erro que te falei:

SIOCADDRT: Network is unreachable

Como posso resolver esta questão da rede das filais, porque creio que por isso que nao consigo a comunicao com as filiais.

Buckminster
(usa Debian)

Enviado em 09/06/2014 - 22:46h

Tu consegue pingar do servidor da matriz para os servidores das filiais?

Executa route -n e veja o resultado que dá.

Faça um teste, comente a linha no arquivo da matriz

#server 10.0.0.0 255.255.255.0

e acrescente

ifconfig 10.0.0.1 10.0.0.3

e teste

Caso funcionar tu deverá criar outro arquivo igual no servidor da matriz para a filial 2 somente mudando para

ifconfig 10.0.0.1 10.0.0.10

desv.paulo
(usa Slackware)

Enviado em 10/06/2014 - 11:50h

Isso que é o engraçado tb, quando levanto pelo ifconfig definindo o IP do tunel tanto na matriz quanto nas filais eu não tenho comunicação. O que percebi e que o a mascara quando criado automaticamente nas filais é:

10.0.0.0 10.0.0.5 255.255.255.255
10.0.0.5 * 255.255.255.255

E quando eu aponto na mascara manualmente no route:

10.0.0.0 10.0.0.0 255.255.255.0
10.0.0.5 * 252.255.255.255

Não comunica nem filial nem matriz.

E quando tento manualmente criar a routa nas filiais com a mascara 255.255.255.255 me retorna o erro:

SIOCDELRT: No such process

Buckminster
(usa Debian)

Enviado em 10/06/2014 - 19:53h

Vou te passar uns links para ti dar uma lida. Veja os arquivos de configurações da matriz e das filiais:

http://www.vivaolinux.com.br/artigo/Criando-VPN-sitetosite-conectando-diversas-filiais-a-matriz-com-...

http://www.vivaolinux.com.br/topico/servidores-VPN/Openvpn-Matriz-e-Duas-Filiais