[GTER] OpenVPN "IP nateado"
Danilo Neves
danilorpneves at bsd.com.br
Tue Dec 4 15:06:25 -02 2012
Cara...resolvi meu problema e acho que era mesmo esse problema de NAT.
Mas o engraçado que não estava funcionando na hora que eu desativei o nat,
por isso achava que não era esse o problema.
Depois olhei todas as regras de NAT no cliente e especifiquei a interface
e só depois de um tempo funcionou.
Será que tem algum remapeamento ou algo do tipo??? Mas enfim resolveu :D.
Valeu abraços.
Em 4 de dezembro de 2012 11:21, Danilo Neves <danilorpneves at bsd.com.br>escreveu:
> Pois é, até imaginei isso e inclusive desabilitei as regras mas ainda
> continua chegando nateado com o IP do tunel.
> Se eu pingo de uma máquina (192.168.1.67) interna da matriz para filial
> (192.168.5.25), chego com o ip correto no destino, sem ser nateado ou seja
> chego com ip 192.168.1.67.
> Agora se eu pingar de uma máquina (192.168.5.25) da rede da filial na
> matriz (192.168.1.37) eu chego com IP do tunel que no meu caso é 10.69.0.6
> e não com o IP 192..168.5.25.
>
> Só falta resolver isso e tudo lindo :D.
>
>
>
>
>
> Servidor Matriz (FreeBSD)
> tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
> options=80000<LINKSTATE>
> inet6 fe80::215:17ff:fe2e:9f25%tun0 prefixlen 64 scopeid 0xe
> inet 10.69.0.1 --> 10.69.0.2 netmask 0xffffffff
> nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
> Opened by PID 2288
>
>
> Servidor Filial (cliente) (Linux)
> tun0 Link encap:Não Especificado Endereço de HW
> 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
> inet end.: 10.69.0.6 P-a-P:10.69.0.5 Masc:255.255.255.255
> UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Métrica:1
> RX packets:190811 errors:0 dropped:0 overruns:0 frame:0
> TX packets:222418 errors:0 dropped:0 overruns:0 carrier:0
> colisões:0 txqueuelen:100
> RX bytes:134745423 (128.5 MiB) TX bytes:51393261 (49.0 MiB)
>
>
>
> Rota na matriz
> 192.168.5.0/24 10.69.0.2 UGS 0 32730 tun0
>
>
> Rota na filial
> 192.168.1.0 10.69.0.5 255.255.255.0 UG 0 0 0
> tun0
>
>
>
> Em 4 de dezembro de 2012 00:12, Guilherme Domingues <
> guilherme.domingues.oliveira at gmail.com> escreveu:
>
> Danilo boa noite,
>>
>> Vamos supor que a saída para internet de sua filial é pela eth3. Logo
>> terei
>> que fazer masquerade apenas por esta interface. E as demais interfaces
>> vpn,
>> não entram para o nat de rede interna.
>>
>> iptables -t nat -A POSTROUTING -s rede_interna -o eth3 -j MASQUERADE
>>
>> Att.
>> Guilherme Domingues
>>
>>
>> LPI 102
>> LPI000161013
>> https://cs.lpi.org/caf/Xamman/certification/process_verify
>> code verification: v8bwxqzja7
>> Linux ID #425752
>> ---
>> "A mente que se abre a uma nova idéia jamais voltará ao seu tamanho
>> original." Albert Einstein
>>
>>
>>
>> 2012/12/3 Danilo Neves <danilorpneves at bsd.com.br>
>>
>> > Acredito que devo usar minha VPN em modo bridge...vou fazer essa
>> > configuração e testar.
>> >
>> > Em 3 de dezembro de 2012 16:08, Danilo Neves <danilorpneves at bsd.com.br
>> > >escreveu:
>> >
>> > > O problema não é esse porque desativei todas as regras de NAT e mesmo
>> > > assim não deu certo.
>> > > Alguem pode enviar suas confs para fazer um comparação.
>> > >
>> > > Em 2 de dezembro de 2012 15:49, Diego Cananéa <diegocananea at gmail.com
>> > >escreveu:
>> > >
>> > > Creio que seja o que o Guilherme falou. No meu trabalho também temos
>> umas
>> > >> VPNs e deixamos no cliente sem regras no firewall, apenas
>> adicionamos a
>> > >> rota default pela VPN e deixamos o ip_forward habilitado.
>> > >>
>> > >>
>> > >> Em 30 de novembro de 2012 16:21, Guilherme Domingues <
>> > >> guilherme.domingues.oliveira at gmail.com> escreveu:
>> > >>
>> > >> > Pela forma que explicou, acredito que na filial esteja com alguma
>> > regra
>> > >> de
>> > >> > nat "geral" para rede interna.
>> > >> >
>> > >> > Retirando todas as regras de nat, e aplicando uma específica para
>> > natear
>> > >> > apenas para a interface de internet, já deverá resolver o problema
>> > >> > apontando.
>> > >> >
>> > >> > Att.
>> > >> > Guilherme Domingues
>> > >> >
>> > >> > LPI 102
>> > >> > LPI000161013
>> > >> > https://cs.lpi.org/caf/Xamman/certification/process_verify
>> > >> > code verification: v8bwxqzja7
>> > >> > Linux ID #425752
>> > >> > ---
>> > >> > "A mente que se abre a uma nova idéia jamais voltará ao seu tamanho
>> > >> > original." Albert Einstein
>> > >> >
>> > >> >
>> > >> >
>> > >> > 2012/11/30 Danilo Neves <danilorpneves at bsd.com.br>
>> > >> >
>> > >> > > Bom dia caro colegas.
>> > >> > > Tenho uma configuração de VPN com OpenVPN funcionando
>> corretamente.
>> > >> > > Acontece que as conexões vindas das filiais (clientes vpn) para
>> > meus
>> > >> > > servidores na matriz chegam com o IP do tunel e não com
>> > >> > > IP de origem.
>> > >> > > Exemplo:
>> > >> > >
>> > >> > > Tenho um servidor proxy na matriz com ip 192.168.1.30 e tenho
>> minhas
>> > >> > > unidades com faixas de ip 192.168.2.0/24192.168.3.0/24 ...
>> através
>> > de
>> > >> > VPN.
>> > >> > > Monitorando os logs do proxy e tcpdump, os clientes chegam com o
>> IP
>> > do
>> > >> > > tunel, como se fosse nateado, ou seja assim eu não consigo saber
>> o
>> > IP
>> > >> de
>> > >> > > origem de fato
>> > >> > > da filial.
>> > >> > > Agora se eu pingar da matriz na filial eu chego com o IP
>> correto de
>> > >> > > origem.
>> > >> > >
>> > >> > >
>> > >> > > Alguém pode me ajudar a resolver isso, quero que as requisições
>> de
>> > IP
>> > >> das
>> > >> > > unidades não cheguem "nateado".
>> > >> > >
>> > >> > >
>> > >>
>> -----------------------------------------------------------------------
>> > >> > > #Configuração na matriz onde é o server VPN.
>> > >> > >
>> > >> > >
>> > >> > > proto udp
>> > >> > > dev tun
>> > >> > > server 10.69.0.0 255.255.0.0
>> > >> > > push "route 192.168.1.0 255.255.255.0"
>> > >> > > push "route 192.168.3.0 255.255.255.0"
>> > >> > > push "route 192.168.5.0 255.255.255.0"
>> > >> > > push "route 192.168.6.0 255.255.255.0"
>> > >> > > push "route 192.168.7.0 255.255.255.0"
>> > >> > > #push "route 192.168.20.0 255.255.255.0"
>> > >> > >
>> > >> > > comp-lzo
>> > >> > > keepalive 10 120
>> > >> > > #ifconfig-pool-persist /usr/local/etc/openvpn/ipp.txt
>> > >> > > max-clients 5
>> > >> > > client-config-dir ccd
>> > >> > >
>> > >> > > #mode server
>> > >> > > client-to-client
>> > >> > >
>> > >> > > route 192.168.6.0 255.255.255.0
>> > >> > > route 192.168.5.0 255.255.255.0
>> > >> > > route 192.168.7.0 255.255.255.0
>> > >> > > route 192.168.3.0 255.255.255.0
>> > >> > > route 192.168.20.0 255.255.255.0
>> > >> > >
>> > >> > > #Chaves
>> > >> > > dh /usr/local/etc/openvpn/keys/dh1024.pem
>> > >> > > ca /usr/local/etc/openvpn/keys/ca.crt
>> > >> > > cert /usr/local/etc/openvpn/keys/servidor.crt
>> > >> > > key /usr/local/etc/openvpn/keys/servidor.key
>> > >> > > persist-key
>> > >> > > persist-tun
>> > >> > >
>> > >> > > #Logs
>> > >> > > status /var/log/openvpn/openvpn-status.log
>> > >> > > log /var/log/openvpn/openvpn.log
>> > >> > > log-append /var/log/openvpn/openvpn.log
>> > >> > > verb 3
>> > >> > >
>> > >> > >
>> > >> > >
>> > >> >
>> > >>
>> >
>> ---------------------------------------------------------------------------------------------
>> > >> > > #Configuração do cliente VPN das filiais
>> > >> > >
>> > >> > > remote 187.90.230.21 #IP de exemplo
>> > >> > > remote 200.124.89.78 #IP de exemplo
>> > >> > >
>> > >> > > proto udp
>> > >> > > dev tun
>> > >> > > client
>> > >> > > pull
>> > >> > > comp-lzo
>> > >> > >
>> > >> > > route 192.168.10.0 255.255.255.0
>> > >> > > route 192.168.69.0 255.255.255.0
>> > >> > >
>> > >> > > #Chaves
>> > >> > > dh /etc/openvpn/keys/dh1024.pem
>> > >> > > ca /etc/openvpn/keys/ca.crt
>> > >> > > cert /etc/openvpn/keys/eldorado.crt
>> > >> > > key /etc/openvpn/keys/eldorado.key
>> > >> > > persist-key
>> > >> > > persist-tun
>> > >> > >
>> > >> > > #Logs
>> > >> > > status /var/log/openvpn/openvpn-status.log
>> > >> > > log /var/log/openvpn/openvpn.log
>> > >> > > log-append /var/log/openvpn/openvpn.log
>> > >> > > verb 6
>> > >> > > --
>> > >> > > gter list https://eng.registro.br/mailman/listinfo/gter
>> > >> > >
>> > >> > --
>> > >> > gter list https://eng.registro.br/mailman/listinfo/gter
>> > >> >
>> > >>
>> > >>
>> > >>
>> > >> --
>> > >> Diego Cananéa Nóbrega de Azevedo
>> > >> http://diegocananea@wordpress.com
>> > >> www.twitter.com/diegocananea
>> > >> www.facebook.com/diegocananea
>> > >> --
>> > >> gter list https://eng.registro.br/mailman/listinfo/gter
>> > >>
>> > >
>> > >
>> > --
>> > gter list https://eng.registro.br/mailman/listinfo/gter
>> >
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
>
>
More information about the gter
mailing list