OpenVPN [RESOLVIDO]

Cadê o conteúdo dos arquivos de configuração do openvpn da matriz e da filial ?

Cara desculpa eu acabei esquecendo.
Segue da filial

dev tun
proto udp
remote 200.201.200.203
ifconfig 10.0.0.2 10.0.0.1
cd /etc/openvpn/
secret chave.key
port 1194
ping 15
verb 3



Matriz

dev tun
proto udp
remote 200.201.200.207
ifconfig 10.0.0.2 10.0.0.1
cd /etc/openvpn/
secret chave.key
port 1194
ping 15
verb 3

Fala amigo adrcsn,

Comecei a analisar os arquivos de configuração do openvpn tanto do cliente como do servidor e notei algumas coisas descritas abaixo:


1º - A opção remote que indica o endereço ip do servidor openvpn não precisa ser especificado nos dois arquivos tanto da matriz como da filial, se o servidor VPN é o da matriz só precisa ficar na conf da filial.

então supondo que o servidor VPN é o servidor da matriz então no arquivo de configuração da máquina da matriz a conf fica assim, sem a opção remote:

2º - Outra coisa as confs estão praticamente iquais, então para você tá dando o mesmo ip da VPN para ambos: deixe como está abaixo:

Segue da filial

dev tun
proto udp
remote 200.201.200.203
ifconfig 10.0.0.2 10.0.0.1
cd /etc/openvpn/
secret chave.key
port 1194
ping 15
verb 3

Matriz

dev tun
proto udp
ifconfig 10.0.0.1 10.0.0.2
cd /etc/openvpn/
secret chave.key
port 1194
ping 15
verb 3

Após alterar ambos, reinicie primeiro o serviço openvpn do servidor para depois reiniciar o do cliente.

Quando você executa a função "stop" do script tanto no servidor da matriz como no servidor da filial, e executa as regras abaixo depois de executar essa função consegue fazer comunicação ?

No servidor da matriz execute os seguintes comandos:

# echo 1 > /proc/sys/net/ipv4/ip_forward
# iptables -t nat -s 10.0.0.2 -A POSTROUTING -o eth0 -j MASQUERADE
# route add -net 192.168.0.0 netmask 255.255.255.0 gw 10.0.0.2 dev tun0


No servidor da filial executa :


# echo 1 > /proc/sys/net/ipv4/ip_forward
# iptables -t nat -s 10.0.0.1 -A POSTROUTING -o eth0 -j MASQUERADE
# route add -net 192.168.20.0 netmask 255.255.255.0 gw 10.0.0.1 dev tun0

Fala amigo eabreu
Obrigado pela ajuda que esta me dando mesmo
Fiz essa 2 configurações reiniciei o serviço de openvpn dos 2 lados, alterei os scripts como me informou mais e os servidores estão pingando normalmente tanto os os ips dos server quantos dos hosts, porem os hosts ainda nada nem os servidores nem as estações que será que acontece.

Bom dia amigo,

Bom segue essas instruções para ver se consegue fazer as duas redes internas se comunicar.

********* Execute no Servidor da Filial *********

1º - Vamos criar rotas no servidor da filial apontando para a rede da matriz, use o usuário root para executar os comandos abaixo:

# echo "10 vpn" >> /etc/iproute2/rt_tables
# ip rule add from 192.168.0.0/24 to 192.168.20.0/24 table 10
# ip route add via 10.0.0.1 dev tun0 table 10



****** Execute no Servidor da Matriz ********

# echo "10 vpn" >> /etc/iproute2/rt_tables
# ip rule add from 192.168.20.0/24 to 192.168.0.0/24 table 10
# ip route add via 10.0.0.2 dev tun0 table 10

Não esqueça de colocar as regras abaixo:

Permita redirecionamentos de pacotes icmp, caso contrario não irá funcionar o redirecionamento de pacotes icmp.

echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 1 > $i/accept_redirects
iptables-A INPUT -p icmp -j ACCEPT


***** Abaixo estou supondo que a plca de rede ligada a rede interna é eth0 para o servidores da filial e matriz ****

No servidor da matriz execute os seguintes comandos:

# echo 1 > /proc/sys/net/ipv4/ip_forward
# iptables -t nat -s 10.0.0.2 -A POSTROUTING -o eth0 -j MASQUERADE

No servidor da filial executa :

# echo 1 > /proc/sys/net/ipv4/ip_forward
# iptables -t nat -s 10.0.0.1 -A POSTROUTING -o eth0 -j MASQUERADE

retorna ai.

Desculpa em responder fiquei esse dias de molho doente.
Fiz essas configurações e também nada.

Liberei as porta 1194 no firewall de input e forward nos 2 servidores e nada.

To dando uma pesquisada aqui também, mais sinceramente tá bem estranho isso.


Valeu pela força

você já tentou fazer isso zerando as regras do teu firewall e deixando somente as regras de redirecionamento e outras que permita fazer a comunicação, e depois aplicando as rotas ?

Teria de dar um iptables -F certo?

O grande problema que teria que parar as 2 redes.

Amigo eabreu

To trabalhando com politica Drop

Liberei essa politicas para accept deu certo dos 2 lados, agora preciso ver onde no script que tá bloqueando.

Vou dar uma estudada legal no script porque preciso trabalhar com politica DROP.


Cara agradeço muito ajuda é pessoas como você que fazem a comunidade crescer.

Olá Amigo,

você mudou as politicas padrões de quais chains ?

vou analisar o ultimo script de firewall que postou para ver qual regra pode está bloqueando e ou se falta alguma regra para liberar, pois a politica padrão só é consultada quando nenhuma das regras fazem referência ao pacote.

Mudei da filter

Desculpe não retornar, mas o que fez no firewall para funcionar a VPN ?

Pergunto pois assim fica esclarecido para as outras pessoas que venha a lê o tópico..


abraço amigo...