Configurando openvpn [RESOLVIDO]

iudemar
(usa Slackware)

Enviado em 11/09/2014 - 15:04h

Olá colegas do fórum,

Estou passando por um probleminha de configuração do openvpn.

O grande problema é que a configuração da vpn não foi feita pela borda da rede, direto no meu servidor de internet.
Os dois hosts estão atrás de um firewall e o cliente atrás de um modem da operadora.

O cliente consegue pingar pelo tunel o ip do servidor, consegue pingar as maquinas da rede oposta numa boa. As máquinas que estão atras do cliente Não conseguem pingar nenhuma maquina no lado servidor, nem o proprio servidor, este é um dos problemas.

No lado servidor, consigo pingar apenas a ponta do tunel do lado cliente, fora isso não consigo mais nada.

Tenho a seguinte estrutura para melhor entendimento:

- Lado Servidor LADO WAN(192.168.80.0/24) - (LAN=192.168.100.0/24) - (TUNEL=172.16.0.1)
IP servidor 192.168.100.5
- Lado CLiente (LAN=192.160.0.0/24) (TUNEL=172.16.0.6) - ip do host=192.168.0.254


rotas adicionadas no lado cliente
route add -net 192.168.80.0/24 gw 172.16.0.6

rotas do lado servidor
route add -net 192.168.0.0/24 gw 172.16.0.1



Agradeço muito se puderem me ajudar a entender o que pode esta errado, já estou com esse problema tem 3 dias.

Muito obrigado pela ajuda desde o momento,
Grato a todos.

iudemar
(usa Slackware)

Enviado em 15/09/2014 - 17:08h

Pessoal,
Será que ninguém nunca passou por uma situação semelhante com o openvpn?
Teria alguma coisa de errado nas rotas?
Obrigado.

Ignorante
(usa Slackware)

Enviado em 15/09/2014 - 17:37h

O tunel é 172.16.0.2 ou 172.16.0.6?

iudemar
(usa Slackware)

Enviado em 16/09/2014 - 08:26h

Olá colega,

Alterei o erro de digitação, o ip do gw do tunel lado cliente é 172.16.0.6.

Lembrando que no lado servidor, tenho uma rota no meu firewall que esta na borda da rede, dizendo que tudo que estiver saindo com destino a rede 172.16.0.0/24 vá por 192.168.100.5 que é o servidor de openvpn que esta por tras do firewall.

#route add -net 172.16.0.0/24 gw 192.168.100.5 -> tunel
#route add -net 192.168.0.0/24 gw 192.168.100.5 -> lado wan

Valeu.

Radiske
(usa Slackware)

Enviado em 16/09/2014 - 10:19h

Olá iudemar,

Creio que seu problema pode estar nos arquivos de configuração do servidor e, talvez, do cliente openvpn.
Primeiro, no arquivo de configuração do servidor, veja como está seu "dev". Está tap ou tun?
# "dev tun" will create a routed IP tunnel,
# "dev tap" will create an ethernet tunnel.
# Use "dev tap0" if you are ethernet bridging
# and have precreated a tap0 virtual interface
# and bridged it with your ethernet interface.
# If you want to control access policies
# over the VPN, you must create firewall
# rules for the the TUN/TAP interface.
# On non-Windows systems, you can give
# an explicit unit number, such as tun0.
# On Windows, use "dev-node" for this.
# On most systems, the VPN will not function
# unless you partially or fully disable
# the firewall for the TUN/TAP interface.

Caso eu esteja totalmente errado com o que entendi me diga.

iudemar
(usa Slackware)

Enviado em 16/09/2014 - 13:18h

Olá,

A interface esta tun para ambos os lados.

Ignorante
(usa Slackware)

Enviado em 16/09/2014 - 17:18h

Seria melhor você postar suas confs e firewall para ver

iudemar
(usa Slackware)

Enviado em 18/09/2014 - 07:29h

Oi, esse é o lado servidor

dev tun
port 1194
proto udp
ca keys/ca.crt
cert keys/matriz.crt
key keys/matriz.key
dh keys/dh1024.pem
server 172.16.0.0 255.255.255.0
push "route 192.168.25.0 255.255.255.0"
keepalive 10 120
max-clients 15
comp-lzo
user nobody
tls-server
group nogroup
persist-key
persist-tun
verb 3
log /var/log/openvpn.log


O lado cliente muda apenas os certificados que apontam para cliente.crt, cliente.key e o tls que é tls-client

Obrigado.

iudemar
(usa Slackware)

Enviado em 01/10/2014 - 07:20h

Olá pessoal,
Gostaria de compartilhar a solução e o segredo que não permitia os clientes, acessarem o servidor pela vpn.

O grande mistério era o roteamento de pacotes no ip_forward, ele não estava setado na máquina, caso algum de vocês em algum momento passe por uma situação semelhante a minha, essa é a dica, olhem o ip_forward.

Obrigado pela ajuda,
valeuu.