[RESOLVIDO] Openvpn Matriz x Filiais



  • Pessoal, estou com um problema relacionado ao Openvpn. Primeiramente vou tentar explicar o ambiente que tenho e então o problema.

    Hoje possuo o seguinte cenario utilizando o openvpn com linux.

    |   –---  FILIAL 1
    Matriz|   -----  FILIAL 2
           |   -----  FILIAL 3

    Tudo tranquilo.

    Estou  fazendo o mesmo ambiente com o PFsense (como o servidor de VPN) + Filiais com Linux

    LAN da MATRIZ - 192.168.15.0/24
    LAN da FILIAL   - 192.168.13.0/24

    Porém, eu não consigo fazer com que as máquinas da matriz enxergarem as máquinas da filiais, mas as máquinas das filiais enxergam  qualquer máquina da matriz.

    A VPN é estabelecida normalmente, as rotas são criadas.

    Segue anexo algumas imagens do cenario. Se alguém puder dar uma dica, fico grato.

    att,











  • Na sua aba de regras do openvpn, você lembrou de configurar acesso para as duas direções?

    O que você já conseguiu identificar com o tcpdump?



  • @marcelloc:

    Na sua aba de regras do openvpn, você lembrou de configurar acesso para as duas direções?

    2 direções? Eu coloquei any to any para efeito de testes

    Veja anexo.

    @marcelloc:

    O que você já conseguiu identificar com o tcpdump?

    O que consegui com o tcpdump foi apenas identificar que as requisições das máquinas da matriz chegam somente até a LAN do pfsense, é como ele não fizesse o forward ou devido roteamento para a interface do openvpn.

    LAN

    tcpdump -vv  -i bce0 dst host 192.168.13.1
    tcpdump: listening on bce0, link-type EN10MB (Ethernet), capture size 96 bytes

    12:03:11.228712 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
       192.168.15.27 > 192.168.13.1: ICMP echo request, id 1051, seq 153, length 64
    12:03:12.236774 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
       192.168.15.27 > 192.168.13.1: ICMP echo request, id 1051, seq 154, length 64
    12:03:13.244790 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
       192.168.15.27 > 192.168.13.1: ICMP echo request, id 1051, seq 155, length 64
    12:03:14.252823 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
       192.168.15.27 > 192.168.13.1: ICMP echo request, id 1051, seq 156, length 64
    12:03:15.260753 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
       192.168.15.27 > 192.168.13.1: ICMP echo request, id 1051, seq 157, length 64
    12:03:16.268705 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
       192.168.15.27 > 192.168.13.1: ICMP echo request, id 1051, seq 158, length 64

    OPENVPN

    tcpdump -vv -i ovpns1 dst host 192.168.13.1
    tcpdump: listening on ovpns1, link-type NULL (BSD loopback), capture size 96 bytes

    ou

    tcpdump -vv -i ovpns1  host 192.168.15.27
    tcpdump: listening on ovpns1, link-type NULL (BSD loopback), capture size 96 bytes

    att,




  • Na aba do openvpn server, voce esqueceu de colocar o 'push' com as rotas entre aspas.



  • Não é necessário Marcello.

    Como eu defini minha rede local no campo  "Local Network" como 192.168.15.0/24

    Ele automaticamente gerou o arquivo com o push!

    cat /var/etc/openvpn/server1.conf | grep -i push

    push "route 192.168.15.0 255.255.255.0"

    Vou verificar as regras de Lan (não sei pode ter algo relacionado)

    att



  • você fez da rede 15, mas não fez da rede 13.

    Confere as duas.



  • @marcelloc:

    você fez da rede 15, mas não fez da rede 13.

    Confere as duas.

    Da rede 13 eu só preciso do route (que eu já coloquei)

    Mas eu acho que já descobri. Não sei se é o modo correto, mas funcionou.

    Criei 2 Regras na aba Floating para a interface LAN, com o SRC e DST à rede da Filial.

    (alias, até agora não entendi muito bem essa aba Floating) :P

    Veja como ficou




  • A aba floating são regras para o bom e velho ipfw equanto as outras abas são para o pf.



  • @marcelloc:

    A aba floating são regras para o bom e velho ipfw equanto as outras abas são para o pf.

    Obrigado!   ;D


Log in to reply