VPN nao acessa estacoes locais. [RESOLVIDO]

1. VPN nao acessa estacoes locais. [RESOLVIDO]

o_sowbra
(usa Debian)

Enviado em 22/12/2010 - 16:41h

Segue configuracoes do serve.conf (matriz)

proto udp
port 5200
dev tun
server 20.0.0.0 255.255.255.0
push "route 172.18.20.0 255.255.255.0"
comp-lzo
keepalive 10 120
persist-key
persist-tun
float
tls-server
dh /etc/openvpn/keys/dh1024.pem
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/servidor.crt
key /etc/openvpn/keys/servidor.key

Interface matriz
#Placa de rede internet
auto eth0
iface eth0 inet static

address 10.18.1.10
netmask 255.255.255.0
network 10.18.1.0
broadcast 10.18.1.255
gateway 10.18.1.1

#Placa de rede interna
auto eth1
#iface eth1 inet dhcp
iface eth1 inet static
address 172.18.20.253
netmask 255.255.255.0
network 172.18.20.0
broadcast 172.18.20.255

ip ro servidor (matriz):

20.0.0.2 dev tun0 proto kernel scope link src 20.0.0.1
10.18.1.0/24 dev eth0 proto kernel scope link src 10.18.1.10
172.18.20.0/24 dev eth1 proto kernel scope link src 172.18.20.253
192.168.1.0/24 dev eth2 proto kernel scope link src 192.168.1.10
20.0.0.0/24 via 20.0.0.2 dev tun0
default via 10.18.1.1 dev eth0

e do teste.conf (filial)

remote teste.com.br

proto udp
port 5200
client
pull
dev tun0
comp-lzo
keepalive 10 120
persist-key
persist-tun
float
tls-client

dh /etc/openvpn/keys/dh1024.pem
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/teste.crt
key /etc/openvpn/keys/teste.key

Interface Filial

#Placa de rede internet GVT
auto eth0
#iface eth0 inet dhcp
iface eth0 inet static

address 10.18.1.10
netmask 255.255.255.0
network 10.18.1.0
broadcast 10.18.1.255
gateway 10.18.1.1

#Placa de rede interna
auto eth1
#iface eth1 inet dhcp
iface eth1 inet static
address 172.18.21.253
netmask 255.255.255.0
network 172.18.21.0
broadcast 172.18.21.255

ip ro teste (filial)

20.0.0.1 via 20.0.0.5 dev tun0
20.0.0.5 dev tun0 proto kernel scope link src 20.0.0.6
10.18.1.0/24 dev eth0 proto kernel scope link src 10.18.1.10
172.18.20.0/24 via 20.0.0.5 dev tun0
172.18.21.0/24 dev eth1 proto kernel scope link src 172.18.21.253
default via 10.18.1.1 dev eth0

Considerações:

Tanto o Server (matriz) como o da filial atuam como servidor dhcp e gateway de rede e firewall

Desativei as configurações do Firewall e habilitei apenas o compartilhamento da internet para não ter problemas de bloqueio.

########################
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -F
iptables -t nat -F

## COMPARTILHAR CONEXAO DE INTERNET
## IP DINAMICO
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

## ATIVAR ROTEAMENTO
echo "1" > /proc/sys/net/ipv4/ip_forward

## LIBERAR A PROPRIA MAQUINA LOOPBACK PARA ACESSO A INTERNET
iptables -A INPUT -i lo -j ACCEPT

Consigo pingar do teste (filial) em todas as maquinas da matriz. Através do console do Server, porem em qualquer maquina da rede da filial não consigo.

Já do Server.conf (mtz) não consigo pingar em nada apenas no ip do Tunel 20.0.0.6 mesmo.

Como faço para configurar as rotas ?? Para que as maquinas da rede da matriz/filial possam pingar e ter acesso entre si???

Obs: Uso essa vpn para acesso por funcionários também. (notebooks) e funciona perfeitamente.

O problema so esta entre a matriz e a filial.

Desde já agradeço a atenção.

0 0

Quote

2. Resolvido

o_sowbra
(usa Debian)

Enviado em 23/12/2010 - 20:09h

resolvi!!!

Faltava informacoes na configuracao do servidor sobre a rede e rota da filial.
Adicionei as seguintes linhas na configuracao do servidor antes das linhas:
server 20.0.0.0 255.255.255.0
push "route 172.18.20.0 255.255.255.0"

# Criar no diretorio cdd/cliente a configuracao
# dele - ou uma invalida para trava-lo
client-config-dir ccd

# Rede da filial
route 172.18.21.0 255.255.255.0

Como o nome do certificado usado no cliente eh teste, no diretorio /etc/openvpn/ccd deve existir um arquivo com o nome: teste e dentro dele a seguinte linha:
iroute 172.18.21.0 255.255.255.0

0 0

Quote