[FUG-BR] Redes entre VPNs nao se falam

Christiano Liberato christianoliberato em gmail.com
Segunda Março 19 14:34:26 BRT 2012


Bem pessoal, estou utilizando o openbsd.

Seguem minhas confs:

*No servidor (escritorio 1)* - rede 192.168.100.0/24

dev tun0
local 200.200.200.200
port 1198
proto udp
server 10.1.1.0 255.255.255.0
ifconfig-pool-persist ipp.txt

ca /usr/local/etc/openvpn/easy-rsa/2.0/keys/ca.crt
cert /usr/local/etc/openvpn/easy-rsa/2.0/keys/srv.crt
key /usr/local/etc/openvpn/easy-rsa/2.0/keys/srv.key
dh /usr/local/etc/openvpn/easy-rsa/2.0/keys/dh1024.pem

push "route 192.168.100.0 255.255.255.0"

comp-lzo
ping-timer-rem
persist-tun
persist-key

group nobody
daemon

*No cliente (escritorio 2)* - rede 192.168.200.0/24

client
dev tun1
mssfix 1400
proto udp
remote 200.200.200.200 1198

nobind
persist-key
persist-tun
ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/filial.crt
key /usr/local/etc/openvpn/keys/filial.key
comp-lzo
verb 3
mute 20
status /var/log/openvpn/openvpn.log
log-append /var/log/openvpn/openvpn.log

Como eu disse, a rede do escritorio 2 nao fala com a rede do escritorio 1.
No firewall do escritorio 2 consigo pingar o fw e a rede do escritorio 1
(ex: 192.168.100.10)

Obrigado!

Em 19 de março de 2012 14:24, Christiano Liberato <
christianoliberato em gmail.com> escreveu:

> Pode estar faltando algo entao na minha conf.
>
> Em 19 de março de 2012 14:21, Alessandro de Souza Rocha <
> etherlinkii em gmail.com> escreveu:
>
> isto foi feito num servidor Redhat enterprise linux, que a empresa ja
>> tinha funcionando e nao queria que eu troca-se, so em caso se desse
>> algum pau.
>>
>>
>> Em 19 de março de 2012 14:15, Paulo Henrique BSD Brasil
>> <paulo.rddck em bsd.com.br> escreveu:
>> > Então no caso estou usando PFSense, não achei o arquivo openvpn.conf,
>> > mais a opção é "Remote Networks" , quando ele fecha o tunnel o proprio
>> > OpenVPN cria uma rota da seguinte forma.
>> >
>> > Lado servidor: route add 192.168.100.0/24  $ip_do_tunel_lado_servidor (
>> > 10.1.1.1 )
>> > Lado clinte: route add 192.168.254.200.0/24 $ip_do_tunnel_lado_cliente (
>> > 10.1.1.2 )
>> >
>> > Isso é feito automaticamente pelo PFSense/OpenVPN no caso de
>> SITE-TO-SITE.
>> >
>> > Att.
>> >
>> > Em 19/3/2012 13:51, Alessandro de Souza Rocha escreveu:
>> >> mode server
>> >>
>> >> port 1194
>> >> proto   udp
>> >>
>> >> dev tun
>> >>
>> >> #user nobody
>> >> #group nobody
>> >>
>> >> #Usa a biblioteca lzo
>> >> comp-lzo
>> >>
>> >> ca /etc/openvpn/keys/ca.crt
>> >> cert /etc/openvpn/keys/servidor.crt
>> >> key /etc/openvpn/keys/servidor.key
>> >> dh /etc/openvpn/keys/dh1024.pem
>> >> server 10.1.1.0 255.255.255.0
>> >>
>> >> ifconfig-pool-persist   /etc/openvpn/ipp.txt
>> >> client-config-dir /etc/openvpn/ccd
>> >>
>> >> ping 10
>> >> ping-restart 120
>> >> push "ping 10"
>> >> push "ping-restart 60"
>> >>
>> >> push "route 192.168.0.0 255.255.255.0"
>> >> push "route 192.168.1.0 255.255.255.0"
>> >> push "route 192.168.4.0 255.255.255.0"
>> >> push "route 192.168.5.0 255.255.255.0"
>> >>
>> >> route 192.168.0.0 255.255.255.0
>> >> route 192.168.4.0 255.255.255.0
>> >> route 192.168.5.0 255.255.255.0
>> >>
>> >> mssfix 1400
>> >> fragment 1400
>> >>
>> >> client-to-client
>> >>
>> >> # OpenVPN usa a porta 5000/UDP por padrão.
>> >> # Cada túnel do OpenVPN deve usar
>> >> # uma porta diferente.
>> >> # O padrão é a porta 5000
>> >> # This option prevents OpenVPN from closing and re-opening the tun/tap
>> >> # device every time it receives a SIGUSR1 signal
>> >> persist-tun
>> >>
>> >> # This is similar to the previous option, but it prevents OpenVPN from
>> >> # re-reading the key files every time
>> >> persist-key
>> >> #float
>> >>
>> >> log /var/log/openvpn-server.log
>> >> status /var/log/openvpn-server.status 10
>> >>
>> >> # Envia um ping via UDP para a parte
>> >> # remota a cada 15 segundos para manter
>> >> # a conexão de pé em firewall statefull
>> >> # Muito recomendado, mesmo se você não usa
>> >> # um firewall baseado em statefull.
>> >> #ping 15
>> >> #ping-restart 120
>> >> # Nível de log
>> >> verb 3
>> >>
>> >>
>> >>
>> >>
>> >>
>> >> Em 19 de março de 2012 13:42, Christiano Liberato
>> >> <christianoliberato em gmail.com>  escreveu:
>> >>> Tenho essa opção na conf do server mas mesmo assim o escritorio
>> cliente nao
>> >>> consegue acessar.
>> >>> Acho que deve ser alguma conf extra no openvpn.conf do server.
>> >>>
>> >>> Em 19 de março de 2012 13:32, Alessandro de Souza Rocha<
>> >>> etherlinkii em gmail.com>  escreveu:
>> >>>
>> >>>> # Atribui rota para toda a rede local
>> >>>> push "route 192.168.0.0 255.255.255.0"
>> >>>> push "route 192.168.1.0 255.255.255.0"
>> >>>> push "route 192.168.4.0 255.255.255.0"
>> >>>> push "route 192.168.5.0 255.255.255.0"
>> >>>>
>> >>>>
>> >>>> Em 19 de março de 2012 12:01, Christiano Liberato
>> >>>> <christianoliberato em gmail.com>  escreveu:
>> >>>>> Alessandro,
>> >>>>>
>> >>>>> a oção de push "route ... tenho configurado na conf do server
>> principal.
>> >>>>> Essa é a rota que o server client adiciona para falar com o
>> principal.
>> >>>>>
>> >>>>> Mas a opção route 192.168.0.0 255.255.255.0 nao tenho nas minhas
>> confs.
>> >>>>> O que ela faz?
>> >>>>>
>> >>>>>
>> >>>>> Em 19 de março de 2012 11:14, Alessandro de Souza Rocha<
>> >>>>> etherlinkii em gmail.com>  escreveu:
>> >>>>>
>> >>>>>> push "route 192.168.0.0 255.255.255.0"
>> >>>>>> push "route 192.168.1.0 255.255.255.0"
>> >>>>>> push "route 192.168.4.0 255.255.255.0"
>> >>>>>> push "route 192.168.5.0 255.255.255.0"
>> >>>>>>
>> >>>>>> route 192.168.0.0 255.255.255.0
>> >>>>>> route 192.168.4.0 255.255.255.0
>> >>>>>> route 192.168.5.0 255.255.255.0
>> >>>>>>
>> >>>>>>
>> >>>>>>
>> >>>>>> Em 19 de março de 2012 11:09, Paulo Henrique BSD Brasil
>> >>>>>> <paulo.rddck em bsd.com.br>  escreveu:
>> >>>>>>> Tem que especificar a rota para a rede remota, "remote
>> network"acho
>> >>>> que
>> >>>>>>> é a opção
>> >>>>>>> quando eu chegar no serviços vou dar uma vista no meu PFSense,
>> >>>>>>> Para passar trafego broadcast a VPN tem que ser configurado em
>> brigde
>> >>>> !!
>> >>>>>>>
>> >>>>>>> Att.
>> >>>>>>>
>> >>>>>>>
>> >>>>>>> Em 19/3/2012 09:45, Christiano Liberato escreveu:
>> >>>>>>>> Bom dia pessoal,
>> >>>>>>>>
>> >>>>>>>> Estou utilizando o openvpn para interligar escritorios.
>> >>>>>>>> Até o momento o tunel esta perfeito mas nao consigo fazer com
>> que as
>> >>>>>> redes
>> >>>>>>>> abaixo dessas VPNs se falam.
>> >>>>>>>> Vejam o ambiente:
>> >>>>>>>>
>> >>>>>>>> rede vpn
>> >>>>>>>> 10.1.1.0/24
>> >>>>>>>>
>> >>>>>>>> escritorio 1
>> >>>>>>>> rede interna: 192.168.100.0/24
>> >>>>>>>> ip vpn: 10.1.1.1 (inet 10.1.1.1 -->    10.1.1.2 netmask
>> 0xffffffff)
>> >>>>>>>>
>> >>>>>>>> escritorio 2
>> >>>>>>>> rede interna: 192.168.200.0/24
>> >>>>>>>> ip vpn: 10.1.1.10 (inet 10.1.1.10 -->    10.1.1.9 netmask
>> 0xffffffff)
>> >>>>>>>>
>> >>>>>>>> O fw do escritorio 2 consegue acessar a rede do escritorio 1.
>> Tenho
>> >>>>>> regras
>> >>>>>>>> no pf permitindo isso, mas a rede interna nao acessa.
>> >>>>>>>> O problema nao é regra pois abri tudo para testar e nada de
>> acessar.
>> >>>>>>>> Com rotas estaticas tambem nao vai.
>> >>>>>>>>
>> >>>>>>>> Existe alguma regra especifica no pf para permitir esse acesso ao
>> >>>>>>>> escritorio 1?
>> >>>>>>>>
>> >>>>>>>> Obrigado!!
>> >>>>>>>> -------------------------
>> >>>>>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> >>>>>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> >>>>>>>
>> >>>>>>> --
>> >>>>>>> "Quando a Morte decide contar uma historia,
>> >>>>>>> A melhor ação que possa fazer é ouvi-la,
>> >>>>>>> e torcer por não ser a sua própria a tal história."
>> >>>>>>>
>> >>>>>>> Flames>  /dev/null ( by Irado !! ).
>> >>>>>>> RIP Irado!
>> >>>>>>>
>> >>>>>>> Paulo Henrique.
>> >>>>>>> Analista de Sistemas / Programador
>> >>>>>>> BSDs Brasil.
>> >>>>>>> Genuine Unix/BSD User.
>> >>>>>>> Fone: (21) 9683-5433.
>> >>>>>>>
>> >>>>>>> -------------------------
>> >>>>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> >>>>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> >>>>>>
>> >>>>>>
>> >>>>>>
>> >>>>>> --
>> >>>>>> Alessandro de Souza Rocha
>> >>>>>> Administrador de Redes e Sistemas
>> >>>>>> FreeBSD-BR User #117
>> >>>>>>               Long live FreeBSD
>> >>>>>>
>> >>>>>>                       Powered by ....
>> >>>>>>
>> >>>>>>                                            (__)
>> >>>>>>                                         \\\'',)
>> >>>>>>                                           \/  \ ^
>> >>>>>>                                           .\._/_)
>> >>>>>>
>> >>>>>>                                       www.FreeBSD.org
>> >>>>>> -------------------------
>> >>>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> >>>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> >>>>>>
>> >>>>> -------------------------
>> >>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> >>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> >>>>
>> >>>>
>> >>>>
>> >>>> --
>> >>>> Alessandro de Souza Rocha
>> >>>> Administrador de Redes e Sistemas
>> >>>> FreeBSD-BR User #117
>> >>>>               Long live FreeBSD
>> >>>>
>> >>>>                       Powered by ....
>> >>>>
>> >>>>                                            (__)
>> >>>>                                         \\\'',)
>> >>>>                                           \/  \ ^
>> >>>>                                           .\._/_)
>> >>>>
>> >>>>                                       www.FreeBSD.org
>> >>>> -------------------------
>> >>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> >>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> >>>>
>> >>> -------------------------
>> >>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> >>
>> >>
>> >>
>> >
>> > --
>> > "Quando a Morte decide contar uma historia,
>> > A melhor ação que possa fazer é ouvi-la,
>> > e torcer por não ser a sua própria a tal história."
>> >
>> > Flames > /dev/null ( by Irado !! ).
>> > RIP Irado!
>> >
>> > Paulo Henrique.
>> > Analista de Sistemas / Programador
>> > BSDs Brasil.
>> > Genuine Unix/BSD User.
>> > Fone: (21) 9683-5433.
>> >
>> > -------------------------
>> > Histórico: http://www.fug.com.br/historico/html/freebsd/
>> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>>
>>
>> --
>> Alessandro de Souza Rocha
>> Administrador de Redes e Sistemas
>> FreeBSD-BR User #117
>>              Long live FreeBSD
>>
>>                      Powered by ....
>>
>>                                           (__)
>>                                        \\\'',)
>>                                          \/  \ ^
>>                                          .\._/_)
>>
>>                                      www.FreeBSD.org
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
>


Mais detalhes sobre a lista de discussão freebsd