Dúvida openvpn [RESOLVIDO]

removido
(usa Nenhuma)

Enviado em 22/06/2012 - 13:46h

Ja ativei o protocolo udp em ambos os lados..

Percebi 1 coisa, se eu dou um start no openvpn com o shorewall ativo eu não consigo pingar de nenhum lado mas se eu dou 1 stop no shorewall e restarto o openvpn eu consigo pingar agora em ambos os lados (problema do windows estava no firewall ativo mesmo) e agora que dei o start na vpn se eu ativo denovo o shorewall ele continua pingando..

E da matriz 172.16.0.1 eu consigo pingar normalmente para a filial 172.16.0.2

É algum problema no firewall da matriz :S

No meu shorewall tenho o arquivo /etc/shorewall/interfaces

###############################################################################
#ZONE INTERFACE BROADCAST OPTIONS
net eth0 detect routefilter
loc eth1 detect blacklist
vpn tap detect


Defini a zona VPN referente a interface TAP mas quando dou restart no openvpn ele sobe a interface TAP2..

segue as rules do shorewall com as liberações (inclusive da zona VPN que é referente a TAP):

#
# Shorewall version 4 - Rules File
#
# For information on the settings in this file, type "man shorewall-rules"
#
# The manpage is also online at
# http://www.shorewall.net/manpages/shorewall-rules.html
#
####################################################################################################################################################
#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/ MARK CONNLIMIT TIME
# PORT PORT(S) DEST LIMIT GROUP
#SECTION ESTABLISHED
#SECTION RELATED
SECTION NEW

##################################
## Imput: Local Net -> Firewall ##
##################################


#ACCEPT net fw tcp 22
# from all Local Net hosts
#SSH EXTERNO E INTERNO PORTA 9999
ACCEPT:info net fw tcp 9999
ACCEPT:info loc fw tcp 9999

#Firebird somente acesso interno liberado 3050
ACCEPT:info loc fw tcp 3050
ACCEPT:info loc fw udp 3050

#Mysql somente acesso interno liberado 3306
ACCEPT:info loc fw tcp 3306
ACCEPT:info loc fw udp 3306

#NTOP
#acesso web comentado por seguranca somente local liberado que eh loc - fw
#ACCEPT net fw tcp 3000
#ACCEPT loc fw tcp 3000

#Apache porta 80 externo liberado
ACCEPT net fw tcp 80
ACCEPT loc fw tcp 80
ACCEPT net fw udp 80
ACCEPT loc fw udp 80

#Sitrad externo 5000 liberado
ACCEPT net fw tcp 5000
ACCEPT loc fw tcp 5000
ACCEPT net fw udp 5000
ACCEPT loc fw udp 5000

#openvpn liberado
ACCEPT net fw tcp 5001
ACCEPT net fw udp 5001
ACCEPT loc fw tcp 5001
ACCEPT loc fw udp 5001
ACCEPT vpn fw tcp 5001
ACCEPT vpn fw udp 5001
ACCEPT net fw tcp 1194
ACCEPT net fw udp 1194
ACCEPT loc fw tcp 1194
ACCEPT loc fw udp 1194
ACCEPT vpn fw tcp 1194
ACCEPT vpn fw udp 1194



#Samba externo sistema liberado SDR
ACCEPT net fw tcp 137
ACCEPT net fw udp 137
ACCEPT net fw tcp 138
ACCEPT net fw udp 138
ACCEPT net fw tcp 139
ACCEPT net fw udp 139
ACCEPT net fw tcp 445
ACCEPT net fw udp 445
ACCEPT loc fw tcp 137
ACCEPT loc fw udp 137
ACCEPT loc fw tcp 138
ACCEPT loc fw udp 138
ACCEPT loc fw tcp 139
ACCEPT loc fw udp 139
ACCEPT loc fw tcp 445
ACCEPT loc fw udp 445
ACCEPT vpn fw tcp 137
ACCEPT vpn fw udp 137
ACCEPT vpn fw tcp 138
ACCEPT vpn fw udp 138
ACCEPT vpn fw tcp 139
ACCEPT vpn fw udp 139
ACCEPT vpn fw tcp 445
ACCEPT vpn fw udp 445

#HAVP ANTIVIRUS REDE LOCAL LIBERADO
ACCEPT loc fw tcp 8082
ACCEPT loc fw udp 8082

#webmin porta 10000 liberado rede local
#ACCEPT net fw tcp 10000
ACCEPT loc fw tcp 10000
ACCEPT loc fw udp 10000

#Openfire porta 9090 liberado rede local
#ACCEPT net fw tcp 9090
#ACCEPT loc fw tcp 9090
#ACCEPT loc fw tcp 5222
#ACCEPT loc fw tcp 5269
#ACCEPT loc fw tcp 7070
#ACCEPT loc fw tcp 7443
#ACCEPT loc fw tcp 7777

DNS/ACCEPT loc fw
DNS/ACCEPT vpn fw
#SSH/ACCEPT:info loc fw
SMB/ACCEPT loc fw
SMB/ACCEPT vpn fw

ACCEPT loc fw udp 67 # DHCP Server
ACCEPT vpn fw udp 67 # DHCP Server

Ping/ACCEPT loc fw
Ping/ACCEPT vpn fw
AllowICMPs loc fw
AllowICMPs vpn fw


#################################
## Imput: Internet -> Firewall ##
#################################

# from all Internet hosts
#SSH/ACCEPT:info net fw
Ping/ACCEPT net fw
AllowICMPs net fw

###################################################
## Forward with SourceNAT: Local Net -> Internet ##
###################################################

# from: all Local Net hosts -> to: all Internet hosts
HTTPS/ACCEPT:info loc net
HTTPS/ACCEPT:info vpn net
HTTP/ACCEPT:info vpn net
HTTP/ACCEPT:info loc net:186.226.0.0/16,187.45.0.0/16,200.201.166.0/24,200.201.173.0/24,200.201.174.0/24,201.15.10.0/24,189.26.122.0/24,72.26.193.0/24,72.251.217.0/24,187.4.200.0/24,50.17.254.0/24,170.66.0.0/16,187.115.75.0/24 # Conectividade Social
ACCEPT loc net tcp 2082 #Acesso Cpanel Hostgator
ACCEPT loc net tcp 3456 # Receita Net
ACCEPT loc net tcp 6699 #Radio 103 Online
ACCEPT loc net udp 6699 #Radio 103 Online
ACCEPT loc net tcp 6600 #Radio 103 Online
ACCEPT loc net udp 6600 #Radio 103 Online
ACCEPT loc net tcp 8001 #Radio 103 Online
ACCEPT loc net tcp 2095 #Webmail via web hospregional.org
ACCEPT loc net tcp 110 #Outlook POP3
ACCEPT loc net udp 110 #Outlook POP3
ACCEPT loc net tcp 26 #Outlook SMTP
ACCEPT loc net udp 26 #Outlook SMTP
ACCEPT loc net tcp 995 #POP3 SSL
ACCEPT loc net udp 995 #POP3 SSL
ACCEPT loc net tcp 465 #smtp ssl
ACCEPT loc net udp 465 #smtp ssl
ACCEPT loc net tcp 25
ACCEPT loc net udp 25
ACCEPT loc net tcp 81
ACCEPT loc net udp 81
ACCEPT loc net tcp 2095 #acesso webmail hospital via http
ACCEPT loc net udp 2095 #acesso webmail hospital via http
ACCEPT loc net udp 123 #Porta servidor Sincronia NTP (RELOGIOS)
ACCEPT loc net tcp 554 #Radios uol
ACCEPT loc net udp 554 #Radios uol
ACCEPT loc net tcp 1935 #Radios uol
ACCEPT loc net udp 1935 #Radios uol
ACCEPT loc:10.1.1.200 net tcp 8080 #replicador systema
ACCEPT loc:10.1.1.200 net udp 8080 #replicador systema
ACCEPT loc:10.1.1.222 net tcp - - #pc oftalmo email Dr. Mateus
ACCEPT loc:10.1.1.222 net udp - - #pc oftalmo email Dr. Mateus
ACCEPT loc:10.1.1.94 net tcp 9020 #cadweb pc sidiane
ACCEPT loc:10.1.1.94 net udp 9020 #cadweb pc sidiane
ACCEPT loc:10.1.1.44 net tcp 9020 #cadweb pc sirlei
ACCEPT loc:10.1.1.44 net udp 9020 #cadweb pc sirlei
ACCEPT loc:10.1.2.22 net tcp 10799 #computador propagandas pronto socorro
ACCEPT loc:10.1.1.172 net tcp 8080 #pc anfiteatro conferencia
ACCEPT loc:10.1.1.172 net udp 8080 #pc anfiteatro conferencia
ACCEPT loc:10.1.2.22 net udp 10799 #computador propagandas pronto socorro
ACCEPT loc:10.1.2.22 net tcp 10805 #computador propagandas pronto socorro
ACCEPT loc:10.1.2.22 net udp 10805 #computador propagandas pronto socorro
ACCEPT loc:10.1.2.23 net tcp - - #Wireless HRTGB-TVBOX HALL CENTRAL
ACCEPT loc:10.1.2.23 net udp - - #Wireless HRTGB-TVBOX HALL CENTRAL
ACCEPT loc:10.1.2.24 net tcp 10799 #computador tvbox hall central
ACCEPT loc:10.1.2.24 net udp 10799 #computador tvbox hall central
ACCEPT loc:10.1.2.24 net tcp 10805 #computador tvbox hall central
ACCEPT loc:10.1.2.24 net udp 10805 #computador tvbox hall central
ACCEPT loc:10.1.1.52 net tcp - - #Radios marcieli
ACCEPT loc:10.1.1.50 net tcp 8080 #pagina toxilab.com.br
ACCEPT loc:10.1.1.50 net udp 8080 #pagina toxilab.com.br
ACCEPT loc:10.1.1.3 net tcp - - #Pc valmor
ACCEPT loc:10.1.1.3 net udp - - #Pc valmor
ACCEPT loc:10.1.1.52 net udp - - #Radios marcieli
ACCEPT loc:10.1.1.6 net tcp - - #win server
ACCEPT loc:10.1.1.6 net udp - - #win server
ACCEPT loc:10.1.1.247 net tcp - - #pc edivan radios
ACCEPT loc:10.1.1.247 net udp - - #pc edivan radios
ACCEPT loc:10.1.1.16 net tcp - - #berenice
ACCEPT loc:10.1.1.16 net udp - - #berenice
ACCEPT loc:10.1.1.171 net tcp - - #jakson
ACCEPT loc:10.1.1.171 net udp - - #jakson
ACCEPT loc:10.1.1.37 net tcp - - #note rojao
ACCEPT loc:10.1.1.37 net udp - - #note rojao
ACCEPT loc:10.1.1.57 net tcp - - #pc eduardo roma
ACCEPT loc:10.1.1.101 net tcp - - #pc carol
ACCEPT loc:10.1.1.101 net udp - - #pc carol
ACCEPT loc:10.1.1.27 net tcp - - #pc simone prest. contas
ACCEPT loc:10.1.1.27 net udp - - #pc simone prest. contas
ACCEPT loc:10.1.1.57 net udp - - #pc eduardo roma
ACCEPT loc:10.1.1.4 net tcp - - #pc evely radio
ACCEPT loc:10.1.1.4 net udp - - #pc evely radio
ACCEPT loc:10.1.1.51 net tcp - - #PC LABORATORIO
ACCEPT loc:10.1.1.91 net tcp - - #note dr. adalberon
ACCEPT loc:10.1.1.91 net udp - - #note dr. adalberon
ACCEPT loc:10.1.1.179 net tcp - - #pc cleber CAT5 seg. trabalho
ACCEPT loc:10.1.1.179 net udp - - #pc cleber CAT5 seg. trabalho
ACCEPT loc:10.1.1.104 net tcp - - #pc unidade III
ACCEPT loc:10.1.1.104 net udp - - #pc unidade III
ACCEPT loc:10.1.1.51 net udp - - #PC LABORATORIO
ACCEPT loc:10.1.1.201 net tcp 8080 #HRTGB-SYSTEMA BIONEXO
ACCEPT loc:10.1.1.201 net udp 8080 #HRTGB-SYSTEMA BIONEXO
ACCEPT loc:10.1.1.22 net tcp 8080 #Sistema ISSQN Prefeitura Paranatinga
ACCEPT loc:10.1.1.22 net udp 8080 #Sistema ISSQN Prefeitura Paranatinga
ACCEPT loc:10.1.1.68 net tcp 8080 #Sistema ISSQN Prefeitura Paranatinga
ACCEPT loc:10.1.1.68 net udp 8080 #Sistema ISSQN Prefeitura Paranatinga
ACCEPT loc:10.1.1.55 net tcp - - #note magrao
ACCEPT loc:10.1.1.55 net udp - - #note magrao
ACCEPT loc:10.1.1.15 net tcp - - #pc vanda questor
ACCEPT loc:10.1.1.15 net udp - - #pc vanda questor
ACCEPT loc:10.1.1.237 net tcp - - #pc serverpacs liberado tcp
ACCEPT loc:10.1.1.237 net udp - - #pc serverpacs liberado udp
ACCEPT loc:10.1.1.98 net tcp 5000 #pc ivan sitrad
ACCEPT loc:10.1.1.98 net udp 5000 #pc ivan sitrad
#ACCEPT loc:10.1.1.241 net tcp - - #note jardel
#ACCEPT loc:10.1.1.241 net udp - - #note jardel
#DNAT:info net loc:10.1.1.2 tcp 5900
#DNAT:info net loc:10.1.1.2 udp 5900
#DNAT:info net loc:10.1.1.2 tcp 5800
#DNAT:info net loc:10.1.1.2 udp 5800
DNAT:info net loc:10.1.1.1:137 tcp 137 #pc systema samba
DNAT:info net loc:10.1.1.1:137 udp 137 #pc systema samba
DNAT:info net loc:10.1.1.1:138 tcp 138 #pc systema samba
DNAT:info net loc:10.1.1.1:138 udp 138 #pc systema samba
DNAT:info net loc:10.1.1.1:139 tcp 139 #pc systema samba
DNAT:info net loc:10.1.1.1:139 udp 139 #pc systema samba
DNAT:info net loc:10.1.1.1:445 tcp 445 #pc systema samba
DNAT:info net loc:10.1.1.1:445 udp 445 #pc systema samba
DNAT:info net loc:10.1.1.237:3390 tcp 3390 #pc serverpacs rdp tcp
DNAT:info net loc:10.1.1.237:3390 udp 3390 #pc serverpacs rdp udp
DNAT:info net loc:10.1.1.98:5000 tcp 5000 #pc manutencao ivan gerenciamento ar condicionado
DNAT:info net loc:10.1.1.98:5000 udp 5000 #pc manutencao ivan gerenciamento ar condicionado
ACCEPT loc net tcp 21 #FTP
ACCEPT loc net tcp 20 #FTP TRANSFERENCIA DADOS
ACCEPT loc net udp 21 #FTP
ACCEPT loc net udp 20 #FTP TRANSFERENCIA DADOS

Ping/ACCEPT loc net
Ping/ACCEPT vpn net
AllowICMPs loc net
AllowICMPs vpn net


#####################################
## Redirect for Proxy Transparenty ##
#####################################
###
#
#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL
# PORT(S) PORT(S) DEST
#10.1.1.16 berenice fora do proxy
REDIRECT:info loc:!10.1.1.16 3128 tcp http - !186.226.0.0/16,187.45.0.0/16,200.201.166.0/24,200.201.173.0/24,200.201.174.0/24,201.15.10.0/24,189.26.122.0/24,72.26.193.0/24,72.251.217.0/24,187.4.200.0/24,50.17.254.0/24,170.66.0.0/16,187.115.75.0/24
REDIRECT:info vpn 3128 tcp http
HTTP/ACCEPT loc:10.1.1.16 net

#
## (end added by OPL installer)

removido
(usa Nenhuma)

Enviado em 22/06/2012 - 14:04h

então já que o problema para receber pacotes na máquina com windows foi resolvido. faça o seguinte execute a seguinte regra:

Supondo que a vpn tem a seguinte faiza de ip 172.16.0.0 com máscara 255.255.255.0

iptables -I INPUT -s 172.16.0.0/24 -j ACCEPT

iptables -I OUTPUT -d 172.16.0.0/24 -j ACCEPT

 

as duas regras acima faz com que sejam aceitos pacotes que venham da rede 172.16.0.0 com máscara 255.255.255.0 e que saiam para este destino também.

depois tenta pingar...

removido
(usa Nenhuma)

Enviado em 22/06/2012 - 14:41h

Com essa regra resolveu mas configurei no shorewall também pra usar a ZONA: VPN relacionada a INTERFACE: TAP2

#ZONE INTERFACE BROADCAST OPTIONS
net eth0 detect routefilter
loc eth1 detect blacklist
vpn tap2 detect


Só que não estou conseguindo mapear uma pasta do samba no servidor que está na 10.1.1.1


o nmap me lista o seguinte:
C:\nmap>nmap 172.16.0.1

Starting Nmap 5.51 ( http://nmap.org ) at 2012-06-22 14:42 Hora oficial do Brasi
l
Nmap scan report for 172.16.0.1
Host is up (0.0024s latency).
Not shown: 993 closed ports
PORT STATE SERVICE
53/tcp open domain
80/tcp open http
443/tcp open https
1723/tcp open pptp
3128/tcp open squid-http
9999/tcp open abyss
10000/tcp open snet-sensor-mgmt
MAC Address: 76:06:6E:82:BE:85 (Unknown)

removido
(usa Nenhuma)

Enviado em 22/06/2012 - 14:58h

bem caro amigo, creio que o problema do ping foi resolvido. então marca como resolvido e a melhor resposta e abre um novo tópico com esse novo problema para continuar o suporte, blz ?

quando abrir o tópico diz ai que te ajudo.

removido
(usa Nenhuma)

Enviado em 22/06/2012 - 14:59h

Tranquilo velho..

Muito obrigado pela ajuda cara.. obrigado mesmo mano :)

removido
(usa Nenhuma)

Enviado em 22/06/2012 - 15:05h

por nada. abri o novo tópico ai.

removido
(usa Nenhuma)

Enviado em 22/06/2012 - 15:07h

aah.. esqueci de 1 coisa..

eu vou usar essa vpn em 3 máquinas então eu tenho que configurar no servidor 3 matriz.conf e nos clientes 3 filial.conf?

No caso no server uma matriz pra cada cliente e nos clientes cada um com sua filial.conf com portas diferentes?

removido
(usa Nenhuma)

Enviado em 22/06/2012 - 15:14h

acho que sua vpn ficará muita mais bem elaborada caso use certicados para autenticação e outra configuração para atribuir os ips dinamicamente, abaixo segue alguns links que pode te ajudar:

http://www.hardware.com.br/tutoriais/openvpn_2/pagina2.html
http://www.hardware.com.br/tutoriais/vpn-alta-disponibilidade/pagina2.html


para cada link tem outros links no rodapé da página que são referentes a continuação de cada artigo. ler ambos e aproveita pois vai te ajudar.

removido
(usa Nenhuma)

Enviado em 22/06/2012 - 15:15h

respondendo sua pergunta. não precisa um servidor VPN para conexão, você pode usar esse mesmo servidor para ser o server do cliente atual e de outros clientes, leia o material que passei no link acima que vai entender.

removido
(usa Nenhuma)

Enviado em 22/06/2012 - 15:19h

tá ok..

obrigado pela ajuda velho..

daqui a pouco verifico o problema com o samba e se não conseguir resolver eu abro 1 tópico pro pessoal me ajudar..

abração

removido
(usa Nenhuma)

Enviado em 22/06/2012 - 15:24h

tranguilo.