Problemas na VPN

penanca2012
(usa Red Hat)

Enviado em 18/09/2012 - 21:13h

Beleza Pessoal to precisando de uma ajuda.

Estou com um problema para fazer a comunicação entre as minhas duas rede Matriz e Filial. Da matriz comunico com qualquer IP da Filial, porém da filial só pingo o servidor de VPN, mais nada.
Usei a OpenVPN

Server Red Hat Enterprise Matriz(link dedica)

IP: 192.168.0.73
Mask: 255.255.255.0
Gw: 192.168.0.4(Servidor de internet/proxy e gw de todos os micros windows)

Server Red Hat Enterprise Filial(speedy_fixo)

IP: 192.168.12.1
mask: 255.255.255.0
gw: 192.168.12.1(Nessa rede ele será meu gw, para comunicação para fora, que preciso forçar a comunicação com meu proxy(192.168.0.4).

VPN funcionando ok através do tun0
IP_matriz=10.0.0.1 e IP_filial=10.0.0.2
Fechado o tun0 da seguinte forma
route add -net 192.168.0.0/24 gw 10.0.0.2(digitado na filial)
route add -net 192.168.12.0/24 gw 10.0.0.1(digitado na matriz)

em ambos foi feito: echo 1 > /etc/sys/net/ipv4/ip_forward

Agora meu problema.

De dentro do servidor matriz pingo qualquer ip da filial, inclusive estações.
Já de dentro da filial estou com o seguinte problema.

De dentro do servidor filial pingo somente o IP=192.168.0.73(Server VPN Matriz)
Das estações pingo todos os IPs da Matriz menos o meu servidor proxy(192.168.0.4), que por consequencia estou sem internet, e também não pingo meu AD(192.168.0.100).

Alguém pode me dar uma ajuda, com esse problema!!!!

magnopeem_rj
(usa Ubuntu)

Enviado em 19/09/2012 - 09:29h

(Server VPN Matriz) no caso da matriz como esta o arquivo de conf do redirecionamento para a rede interna ? pelo seu relato apresenta ser isso .. mande detales

penanca2012
(usa Red Hat)

Enviado em 19/09/2012 - 11:20h

Conf Matriz
dev tun
ifconfig 10.0.0.1 10.0.0.2
cd /etc/openvpn
secret chave
route 10.0.0.0 255.0.0.0
route 192.168.12.0 255.255.255.0
port 5000
user nobody
group nobody
comp-lzo
ping 15
verb 3

Conf Filial
dev tun
ifconfig 10.0.0.2 10.0.0.1
remote xxx.yyy.nnn.zzz
cd /etc/openvpn
secret chave
route 10.0.0.0 255.0.0.0
route 192.168.0.0 255.255.255.0
port 5000
user nobody
group nobody
comp-lzo
ping 15
verb 3

Mas a VPN em sim esta funcionando perfeitamente, referente ao não pingar o 192.168.0.4 da minha rede é devido a firewall.
Só preciso configurar a saida do servidor, obrigando tudo que for depender da internet sai pelo 192.168.0.4(proxy)

Achei essa regra mas ainda não executei será que funciona?
iptables -t nat -A POSTROUTING -o ipsec0 -s 192.168.12.0/24 -d \! 192.168.0.0/24 -j MASQUERADE

Valeu

magnopeem_rj
(usa Ubuntu)

Enviado em 19/09/2012 - 11:59h

tenta essa ae

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -P FORWARD ACCEPT
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -A FORWARD -i tun0 -o tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT
iptables -A INPUT -p tcp --dport 1194 -j ACCEPT
iptables -A INPUT -p udp --dport 1194 -j ACCEPT
iptables -I INPUT -i tun+ -j ACCEPT
iptables -I OUTPUT -o tun+ -j ACCEPT
iptables -I FORWARD -i tun+ -j ACCEPT
iptables -I FORWARD -o tun+ -j ACCEPT
echo "Rede VPN ativada"

penanca2012
(usa Red Hat)

Enviado em 19/09/2012 - 12:46h

Nessa lista eu vou alterar a porta veja como fica:

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -P FORWARD ACCEPT
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -A FORWARD -i tun0 -o tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT
iptables -A INPUT -p tcp --dport 5000 -j ACCEPT
iptables -A INPUT -p udp --dport 5000 -j ACCEPT
iptables -I INPUT -i tun+ -j ACCEPT
iptables -I OUTPUT -o tun+ -j ACCEPT
iptables -I FORWARD -i tun+ -j ACCEPT
iptables -I FORWARD -o tun+ -j ACCEPT
echo "Rede VPN ativada"

Só no meu server_filial a eth1 é um speedy, no lugar da eth1 devo colocar eth0?

magnopeem_rj
(usa Ubuntu)

Enviado em 19/09/2012 - 12:56h

Só no meu server_filial a eth1 é um speedy, no lugar da eth1 devo colocar eth0?

esse speedy e a operadora da internet ?

penanca2012
(usa Red Hat)

Enviado em 19/09/2012 - 13:30h

Na minha eth1 é onde está conectado meu speedy(VIVO), naquela linha devo alterar para eth0? ou dessa forma que está tem que funcionar?

magnopeem_rj
(usa Ubuntu)

Enviado em 19/09/2012 - 13:37h

mudara eth0 e me informa apos fazer os testes

penanca2012
(usa Red Hat)

Enviado em 19/09/2012 - 13:41h

Na minha eth0 do server_filial é minha rede interna
Estou usando um proxy transparente ele é meu gateway na rede da matriz, e preciso direcionar toda saida da rede filia para esse gateway da matriz(proxy transparente).

penanca2012
(usa Red Hat)

Enviado em 19/09/2012 - 13:53h

Apliquei essas confs mas não adiantou, ao logar no meu proxy transparente continuo sem internet.

Esse proxy transparente 192.168.0.4(é o gateway da matriz)
O gateway da filial é 192.168.12.1

Tem alguma rota ou regra, que tenho que falar que tudo que sai pelo 192.168.12.1 tem passar pelo 192.168.0.4?

Valeu!!

magnopeem_rj
(usa Ubuntu)

Enviado em 19/09/2012 - 14:08h

Prezado apos voce colocar estar configuracoes la os micros ja se enchergaram??

penanca2012
(usa Red Hat)

Enviado em 19/09/2012 - 14:28h

As minhas redes estão se enchergando normalmente, só que a minha internet que não, pois a saida é gw 192.168.12.1 tem direcionar para o gw 192.168.0.4(proxy transparante).

ao dar route -n server_filial

Destino Roteador MáscaraGen. Opções Métrica Ref Uso Iface
10.0.0.1 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
200.171.88.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
192.168.0.0 10.0.0.1 255.255.255.0 UG 0 0 0 tun0
192.168.12.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0
10.0.0.0 10.0.0.1 255.0.0.0 UG 0 0 0 tun0
0.0.0.0 200.171.88.1 0.0.0.0 UG 0 0 0 eth1
0.0.0.0 192.168.12.1 0.0.0.0 UG 0 0 0 eth0

Eu acredito eu, não sei, posso estar falando besteira, que se eu tiver uma rota ou regra que aponte meu 192.168.12.1 para o 192.168.0.4, resolva meu problema só que como devo fazer isso, isso que ainda não descobri.
Valeu!!!