OpenVPN-para-clientes-Windows-no-Debian-Squeeze

raynerson
(usa Debian)

Enviado em 25/03/2013 - 23:33h

Boa noite a todos!

Preciso da ajuda dos colegas, instalei o openvpn no debian conforme configurações abaixo, a VPN funciona perfeitamente entre o servidor e o cliente windows 7, fato e que não consigo ver os outros computadores da matriz, segue abaixo o cenário,

Rede interna da Matriz: 192.168.1.0/24
Debian Squeeze
Rede interna da filial: 192.168.0.0/24
Windows 7
Rede da vpn 10.254.0.0/24
Interface da vpn: tun0

Arquivo de configuração da matriz arquivo /etc/openvpn/server.conf

# porta usada para os clientes conectarem no servidor
port 1194

# protocolo usado na conexao
proto tcp

#Melhorar aplicações remotas
mssfix 1400

# device usado pelo openvpn
dev tun

# Habilita conexoes tls
# Ajuda a bloquear ataques DoS e flooding na porta usada pelo openvpn
tls-server

# arquivo de chave compartilhada usado pelo tls-server
# O mesmo adiciona uma camada a mais de seguranca, habilitando controle de conexoes tls
tls-auth keys/shared.key 0

# Certificado de autoridade
# Tem que ser o mesmo em todos os hosts
# que conectarem a sua vpn
ca certs/ca.crt

# Certificado e chave privada do servidor
# Cada maquina tem que ter seu certificado e chave
cert certs/server.crt
key keys/server.key

# Parametros Diffie-Hellman
dh keys/dh2048.pem

# Rede usada pelo tunel openvpn
server 10.254.0.0 255.255.255.0

# define o arquivo onde sera guardados os ips que os clientes
# obtiverem na conexao, assim os mesmos sempre irao pegar os
# mesmos ips
ifconfig-pool-persist ipp.txt

# define o diretorio onde irao ficar as configuracoes individuais para cada
# cliente, assim você podera habilitar as duas redes se comunicarem.
client-config-dir ccd

# Define a rota para a rede da matriz poder enxergar a rede da filial
route 192.168.0.0 255.255.255.0

# Define a rota para a rede da filial poder enxergar a rede da matriz
push "route-delay 2 600"
push "route 192.168.1.0 255.255.255.0"

# Aceita os clientes se comunicarem entre si sem a necessidade de um outro tunnel
client-to-client

# Habilita ping de 10 em 10 segundos para dizer ao lado da filial que a matriz
# esta no ar, usado para manter a conexao ativa
ping-timer-rem
keepalive 10 120

# Tipo de criptografia usada
cipher DES-EDE3-CBC

# habilita compressão no link VPN
comp-lzo

# Numero maximo de clientes (filiais)
max-clients 10

# usuário e grupo sob o qual o openvpn ira rodar
user nobody
group nogroup

# Permite um restart sem fechar a conexão e re-ler as chaves
persist-key
persist-tun

# Log de status das conexoes
status /var/log/openvpn/status.log

# define um arquivo de log, pois o default é o /var/log/syslog
log /var/log/openvpn/openvpn.log
log-append /var/log/openvpn/openvpn.log

# Nivel de log
# 0 silencioso, exceto para erros fatais
# 4 razoavel para uso geral
# 5 e 6 podem ajudar a debugar problemas de conexoes
# 9 maximo debug, muito util para tentar descobrir erros caso a vpn nao suba
verb 3

# desabilita mensagens repetitivas, ou seja, erros ou conexoes em sequencia
# acima de 20, ele dropa.
mute 20


Arquivo de configuração da filial1 C:\Program Files\OpenVPN\config\filial1.ovpn

# Especifica que este certificado eh de um cliente
client

# Define o ip do servidor para o cliente conectar
remote **************

# porta usada para os clientes conectarem no servidor
port 1194

# protocolo usado na conexao
proto tcp

#Melhorar aplicações remotas
mssfix 1400

# device usado pelo openvpn
dev tun

# Diz que o certificado foi assinado pelo servidor
ns-cert-type server

# Habilita conexoes tls
# Ajuda a bloquear ataques DoS e flooding na porta usada pelo openvpn
tls-client

# arquivo de chave compartilhada usado pelo tls-server
# O mesmo adiciona uma camada a mais de seguranca, habilitando controle de conexoes tls
tls-auth shared.key 1

# Certificado de autoridade
# Tem que ser o mesmo em todos os hosts
# que conectarem a sua vpn
ca ca.crt

# Certificado e chave privada do servidor
# Cada maquina tem que ter seu certificado e chave
cert filial1.crt
key filial1.key

# Habilita ping de 10 em 10 segundos para dizer ao lado da filial que a matriz
# esta no ar, usado para manter a conexao ativa
ping-timer-rem
keepalive 10 120

# Tipo de criptografia usada
cipher DES-EDE3-CBC

# habilita compressão no link VPN
comp-lzo

# Ativa a opcao de se conectar, caso o cliente nao esteja na internet, ou
# o mesmo tenha perdido a conexao.
resolv-retry infinite

# Nao especifica uma porta local para o cliente ouvir.
nobind

# usuário e grupo sob o qual o openvpn ira rodar
user nobody
group nogroup

# Permite um restart sem fechar a conexão e re-ler as chaves
persist-key
persist-tun

verb 3

# desabilita mensagens repetitivas, ou seja, erros ou conexoes em sequencia
# acima de 20, ele dropa.
mute 20

Foi liberado o roteamento no Debian (Matriz) com o seguinte comando,
echo 1 > /proc/sys/net/ipv4/ip_forward
Criado o arquivo de rota com o comando,
echo "iroute 192.168.0.0 255.255.255.0" > /etc/openvpn/ccd/filial1

Tabela de roteamento da matriz (Debian)

root@***:~# route -n
Tabela de Roteamento IP do Kernel
Destino Roteador MáscaraGen. Opções Métrica Ref Uso Iface
10.254.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
192.168.0.0 10.254.0.2 255.255.255.0 UG 0 0 0 tun0
10.254.0.0 10.254.0.2 255.255.255.0 UG 0 0 0 tun0
0.0.0.0 192.168.1.254 0.0.0.0 UG 0 0 0 eth1
root@***:~#