OpenVPN - Rede Local X Rede Local

reginaldovillela
(usa Slackware)

Enviado em 09/05/2013 - 14:44h

Boa tarde pessoal do VOL.

Estou precisando muito da ajuda de vocês, pois estou com mesmo problema há 3 dias e não consigo resolver.

O túnel VPN, eu consigo fazer. Consigo pingar o IP da classe VPN, tanto da matriz para a filial quanto da filial para a Matriz.

A rede local da filial consegue pingar a rede local da matriz mas a rede da matriz não consegue pingar a rede da filial. Eu preciso que o acesso entre as redes seja bidirecional.

Desabilitei o Firewall para testar.


Cenário:

Rede VPN: 10.2.2.0/24

Matriz (Servidor VPN):
Rede Local: 192.168.0.0/24

Configuração do OpenVPN Server:

mode server
tls-server
port 1194
proto udp
dev tun
server 10.2.2.0 255.255.255.0
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/matriz.crt
key /etc/openvpn/easy-rsa/keys/matriz.key
dh /etc/openvpn/easy-rsa/keys/dh1024.pem
keepalive 15 60
persist-key
persist-tun
comp-lzo
verb 3
route 192.168.6.0 255.255.255.0
log /var/log/vpn.log

Após subir a VPN, a tabela de roteamento fica:

Tabela de Roteamento IP do Kernel
Destino Roteador MáscaraGen. Opções Métrica Ref Uso Iface
10.2.2.2 * 255.255.255.255 UH 0 0 0 tun0
xxx.xxx.xxx.xxx * 255.255.255.248 U 0 0 0 eth1
192.168.6.0 10.2.2.2 255.255.255.0 UG 0 0 0 tun0
10.2.2.0 10.2.2.2 255.255.255.0 UG 0 0 0 tun0
192.168.0.0 * 255.255.255.0 U 0 0 0 eth0
default xxx.xxx.xxx.xxx 0.0.0.0 UG 0 0 0 eth1

Filial (Cliente VPN):
Rede Local: 192.168.6.0/24

Configuração do OpenVPN Client:

client
tls-client
proto udp
port 1194
dev tun
remote xxx.xxx.xxx.xxx
keepalive 15 60
resolv-retry infinite
persist-key
persist-tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/filiais.crt
key /etc/openvpn/filiais.key
ns-cert-type server
comp-lzo
verb 3
route 192.168.0.0 255.255.255.0
pull
log /var/log/vpn.log

Após subir a VPN, a tabela de roteamento fica:

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default xxx.xxx.xxx.xxx 0.0.0.0 UG 100 0 0 eth1
10.2.2.1 10.2.2.5 255.255.255.255 UGH 0 0 0 tun0
10.2.2.5 * 255.255.255.255 UH 0 0 0 tun0
xxx.xxx.xxx.xxx * 255.255.255.248 U 0 0 0 eth1
192.168.0.0 10.2.2.5 255.255.255.0 UG 0 0 0 tun0
192.168.6.0 * 255.255.255.0 U 0 0 0 eth0


Agradeço muito pela ajuda de vocês.
Att.
Reginaldo Villela

gustavo.dorneles
(usa Debian)

Enviado em 10/05/2013 - 11:53h

Cara tive um problema parecido na empresa onde trabalhava, consegui resolver modificando a configuração do openvpn tanto na filial quanto na matriz. Ao invés de definir IP dinamicamente para a filial, fiz uma configuração ponto a ponto. Segue os arquivos:

Matriz:

port 1194
proto udp
dev tun
ifconfig 10.7.7.1 10.7.7.2
route 172.17.0.0 255.255.255.0
ca keys/ca.crt
cert keys/servidor.crt
key keys/servidor.key
dh keys/dh1024.pem
tls-server
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status logs/openvpn-status.log
log-append logs/openvpn.log
log logs/openvpn.log
verb 3

Filial:

dev tun
proto udp
nobind
remote 201.46.23.88 1194
ifconfig 10.7.7.2 10.7.7.1
route 192.168.0.0 255.255.0.0
ping-restart 10
user nobody
group nogroup
persist-key
persist-tun
ca keys_poa/ca.crt
cert keys_poa/cliente.crt
key keys_poa/cliente.key
tls-client
status logs_poa/openvpn-status.log
log-append logs_poa/openvpn.log
log logs_poa/openvpn.log
comp-lzo

A principal mudança será na configuração de IP dos túneis. A filial terá um IP fixo.

reginaldovillela
(usa Slackware)

Enviado em 10/06/2013 - 11:00h

Gustavo, bom dia.

Eu consegui resolver o problema com uma outra solução.

No arquivo de configuração, adicione a seguinte entrada

client-config-dir /etc/openvpn/ccd

No diretório /etc/openvpn/ccd crie arquivos com o mesmo nome dos certificados. Ex.: Certificado filial001. Crie um arquivo filial001. Dentro deste arquivo adicione a seguinte linha:

iroute XXX.XXX.XXX.XXX YYY.YYY.YYY.YYY

Onde XXX é ip da rede local do filial001 e YYY é a máscara.


Reinicie e teste.


Att
Reginaldo Villela