[FUG-BR] Redes entre VPNs nao se falam

Paulo Henrique BSD Brasil paulo.rddck em bsd.com.br
Segunda Março 19 14:15:33 BRT 2012


Então no caso estou usando PFSense, não achei o arquivo openvpn.conf, 
mais a opção é "Remote Networks" , quando ele fecha o tunnel o proprio 
OpenVPN cria uma rota da seguinte forma.

Lado servidor: route add 192.168.100.0/24  $ip_do_tunel_lado_servidor ( 
10.1.1.1 )
Lado clinte: route add 192.168.254.200.0/24 $ip_do_tunnel_lado_cliente (
10.1.1.2 )

Isso é feito automaticamente pelo PFSense/OpenVPN no caso de SITE-TO-SITE.

Att.

Em 19/3/2012 13:51, Alessandro de Souza Rocha escreveu:
> mode server
>
> port 1194
> proto   udp
>
> dev tun
>
> #user nobody
> #group nobody
>
> #Usa a biblioteca lzo
> comp-lzo
>
> ca /etc/openvpn/keys/ca.crt
> cert /etc/openvpn/keys/servidor.crt
> key /etc/openvpn/keys/servidor.key
> dh /etc/openvpn/keys/dh1024.pem
> server 10.1.1.0 255.255.255.0
>
> ifconfig-pool-persist   /etc/openvpn/ipp.txt
> client-config-dir /etc/openvpn/ccd
>
> ping 10
> ping-restart 120
> push "ping 10"
> push "ping-restart 60"
>
> push "route 192.168.0.0 255.255.255.0"
> push "route 192.168.1.0 255.255.255.0"
> push "route 192.168.4.0 255.255.255.0"
> push "route 192.168.5.0 255.255.255.0"
>
> route 192.168.0.0 255.255.255.0
> route 192.168.4.0 255.255.255.0
> route 192.168.5.0 255.255.255.0
>
> mssfix 1400
> fragment 1400
>
> client-to-client
>
> # OpenVPN usa a porta 5000/UDP por padrão.
> # Cada túnel do OpenVPN deve usar
> # uma porta diferente.
> # O padrão é a porta 5000
> # This option prevents OpenVPN from closing and re-opening the tun/tap
> # device every time it receives a SIGUSR1 signal
> persist-tun
>
> # This is similar to the previous option, but it prevents OpenVPN from
> # re-reading the key files every time
> persist-key
> #float
>
> log /var/log/openvpn-server.log
> status /var/log/openvpn-server.status 10
>
> # Envia um ping via UDP para a parte
> # remota a cada 15 segundos para manter
> # a conexão de pé em firewall statefull
> # Muito recomendado, mesmo se você não usa
> # um firewall baseado em statefull.
> #ping 15
> #ping-restart 120
> # Nível de log
> verb 3
>
>
>
>
>
> Em 19 de março de 2012 13:42, Christiano Liberato
> <christianoliberato em gmail.com>  escreveu:
>> Tenho essa opção na conf do server mas mesmo assim o escritorio cliente nao
>> consegue acessar.
>> Acho que deve ser alguma conf extra no openvpn.conf do server.
>>
>> Em 19 de março de 2012 13:32, Alessandro de Souza Rocha<
>> etherlinkii em gmail.com>  escreveu:
>>
>>> # Atribui rota para toda a rede local
>>> push "route 192.168.0.0 255.255.255.0"
>>> push "route 192.168.1.0 255.255.255.0"
>>> push "route 192.168.4.0 255.255.255.0"
>>> push "route 192.168.5.0 255.255.255.0"
>>>
>>>
>>> Em 19 de março de 2012 12:01, Christiano Liberato
>>> <christianoliberato em gmail.com>  escreveu:
>>>> Alessandro,
>>>>
>>>> a oção de push "route ... tenho configurado na conf do server principal.
>>>> Essa é a rota que o server client adiciona para falar com o principal.
>>>>
>>>> Mas a opção route 192.168.0.0 255.255.255.0 nao tenho nas minhas confs.
>>>> O que ela faz?
>>>>
>>>>
>>>> Em 19 de março de 2012 11:14, Alessandro de Souza Rocha<
>>>> etherlinkii em gmail.com>  escreveu:
>>>>
>>>>> push "route 192.168.0.0 255.255.255.0"
>>>>> push "route 192.168.1.0 255.255.255.0"
>>>>> push "route 192.168.4.0 255.255.255.0"
>>>>> push "route 192.168.5.0 255.255.255.0"
>>>>>
>>>>> route 192.168.0.0 255.255.255.0
>>>>> route 192.168.4.0 255.255.255.0
>>>>> route 192.168.5.0 255.255.255.0
>>>>>
>>>>>
>>>>>
>>>>> Em 19 de março de 2012 11:09, Paulo Henrique BSD Brasil
>>>>> <paulo.rddck em bsd.com.br>  escreveu:
>>>>>> Tem que especificar a rota para a rede remota, "remote network"acho
>>> que
>>>>>> é a opção
>>>>>> quando eu chegar no serviços vou dar uma vista no meu PFSense,
>>>>>> Para passar trafego broadcast a VPN tem que ser configurado em brigde
>>> !!
>>>>>>
>>>>>> Att.
>>>>>>
>>>>>>
>>>>>> Em 19/3/2012 09:45, Christiano Liberato escreveu:
>>>>>>> Bom dia pessoal,
>>>>>>>
>>>>>>> Estou utilizando o openvpn para interligar escritorios.
>>>>>>> Até o momento o tunel esta perfeito mas nao consigo fazer com que as
>>>>> redes
>>>>>>> abaixo dessas VPNs se falam.
>>>>>>> Vejam o ambiente:
>>>>>>>
>>>>>>> rede vpn
>>>>>>> 10.1.1.0/24
>>>>>>>
>>>>>>> escritorio 1
>>>>>>> rede interna: 192.168.100.0/24
>>>>>>> ip vpn: 10.1.1.1 (inet 10.1.1.1 -->    10.1.1.2 netmask 0xffffffff)
>>>>>>>
>>>>>>> escritorio 2
>>>>>>> rede interna: 192.168.200.0/24
>>>>>>> ip vpn: 10.1.1.10 (inet 10.1.1.10 -->    10.1.1.9 netmask 0xffffffff)
>>>>>>>
>>>>>>> O fw do escritorio 2 consegue acessar a rede do escritorio 1. Tenho
>>>>> regras
>>>>>>> no pf permitindo isso, mas a rede interna nao acessa.
>>>>>>> O problema nao é regra pois abri tudo para testar e nada de acessar.
>>>>>>> Com rotas estaticas tambem nao vai.
>>>>>>>
>>>>>>> Existe alguma regra especifica no pf para permitir esse acesso ao
>>>>>>> escritorio 1?
>>>>>>>
>>>>>>> Obrigado!!
>>>>>>> -------------------------
>>>>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>>>
>>>>>> --
>>>>>> "Quando a Morte decide contar uma historia,
>>>>>> A melhor ação que possa fazer é ouvi-la,
>>>>>> e torcer por não ser a sua própria a tal história."
>>>>>>
>>>>>> Flames>  /dev/null ( by Irado !! ).
>>>>>> RIP Irado!
>>>>>>
>>>>>> Paulo Henrique.
>>>>>> Analista de Sistemas / Programador
>>>>>> BSDs Brasil.
>>>>>> Genuine Unix/BSD User.
>>>>>> Fone: (21) 9683-5433.
>>>>>>
>>>>>> -------------------------
>>>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>>
>>>>>
>>>>>
>>>>> --
>>>>> Alessandro de Souza Rocha
>>>>> Administrador de Redes e Sistemas
>>>>> FreeBSD-BR User #117
>>>>>               Long live FreeBSD
>>>>>
>>>>>                       Powered by ....
>>>>>
>>>>>                                            (__)
>>>>>                                         \\\'',)
>>>>>                                           \/  \ ^
>>>>>                                           .\._/_)
>>>>>
>>>>>                                       www.FreeBSD.org
>>>>> -------------------------
>>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>>
>>>> -------------------------
>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>>
>>>
>>> --
>>> Alessandro de Souza Rocha
>>> Administrador de Redes e Sistemas
>>> FreeBSD-BR User #117
>>>               Long live FreeBSD
>>>
>>>                       Powered by ....
>>>
>>>                                            (__)
>>>                                         \\\'',)
>>>                                           \/  \ ^
>>>                                           .\._/_)
>>>
>>>                                       www.FreeBSD.org
>>> -------------------------
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>
>

-- 
"Quando a Morte decide contar uma historia,
A melhor ação que possa fazer é ouvi-la,
e torcer por não ser a sua própria a tal história."

Flames > /dev/null ( by Irado !! ).
RIP Irado!

Paulo Henrique.
Analista de Sistemas / Programador
BSDs Brasil.
Genuine Unix/BSD User.
Fone: (21) 9683-5433.



Mais detalhes sobre a lista de discussão freebsd