[FUG-BR] Ajuda com VPN URGENTE

[Márcio Elias]

Acho que finalmente entendi o que vc quer, no caso vc tem uma rede e nessa
rede naum tem servidor dedicado bsd ou linux, então vc quer que uma das
maquinas windows se conecte com o cliente openvpn for windows e de acesso a
todas as maquinas da rede eh isso....
se sim naum tenho ideia de como fazer, no meu caso tambem estou recebendo
mascaras 252 nas interfaces da vpn (tun/tap), o diferencial é q distribuo as
rotas com o server vpn e em cada rede uso um servidor bsd q roteia os
pacotes da rede atravez da rede vpn....

da uma olhada nos meus arquivos de configuração....

server - bsd

# Interface da VPN
dev tun
# Ouvir em que endereço (Esta comentado ouvirá em todos os ips)
;local a.b.c.d
# Ouvir em que porta
port 1194
# Protocolo TCP ou UDP
proto udp
# Tornar o servidor de VPN seu gateway padráo para a internet
# Rede e Classe de Rede entre Clientes e Servidor
server 10.10.1.0 255.255.255.0
# Arquivo aonde fica armazenado os ips dos clientes
ifconfig-pool-persist ipp.txt
# Certificados para a autenticação da VPN
ca /usr/local/etc/openvpn/easy-rsa/keys/ca.crt
cert /usr/local/etc/openvpn/easy-rsa/keys/girassol.crt
key /usr/local/etc/openvpn/easy-rsa/keys/girassol.key
dh /usr/local/etc/openvpn/easy-rsa/keys/dh1024.pem
# As rotas que o cliente deve pegar
#configuracao dos terminais clientes **
client-config-dir ccd
route 192.168.2.0 255.255.255.0
client-to-client
push "route 192.168.2.0 255.255.255.0"
push "route 192.168.1.0 255.255.255.0"
client-config-dir ccd
# Usar compressão na VPN
comp-lzo
# Reestabelece a conexão se por ventura a mesma falhar
ping-timer-rem
persist-tun
persist-key
# Rodar o OpenVPN como Daemon mas com privilégios de usuario nobody
group nobody
daemon
# não repetir muitas vezes o mesmo erro
mute 20
keepalive 10 120
client-to-client

**dentro do diretório ccd existe um arquivo para cada cliente deixa eu
explicar....
quando vc cria as chaves (filial1.key, filial2.key etc...) tem um campo
assim
Organizational Unit Name (eg, section) []:
onde vc coloca o nome da unidade, da filial etc.... exmplo:
Organizational Unit Name (eg, section) []: TRM_MARAVILHA
essa chave vai para a filial MARAVILHA, onde a rede interna é 192.168.2.0/24
a rede atraz do servidor da matriz é 192.168.1.0/24
ate ai blz.. o importante é que cada filial tenha um nome diferente nesse
campo, pois isso identificara cada uma na hora do servidor atribuir as rotas
dos clientes....

agora voltando ao diretorio ccd, como falei... dentro desse diretorio vai
ter um arquivo para cada cliente.. no exemplo acima teriamos o arquivo
TRM_MARAVILHA com o seguinte conteúdo:

iroute 192.168.2.0 255.255.255.0

isso faz com q o proprio servidor vpn estabeleça uma rota para a rede
192.168.2.0/24 sempre q o cliente TRM_MARAVILHA se conectar...


openvpn.conf filial

client
remote ip.ser.ver.vpn 1194
dev tun
comp-lzo
ca ca.crt
cert maravilha.crt
key maravilha.key
group nobody
daemon
verb 3
mute-replay-warnings
mute 20
assim qq maquina da rede 192.168.2.0/24 consegue acessar qualquer maquina da
rede 192.168.1.0/24 atravez do ip, caso vc queira seguir esse exemplo vc
pode como jah foi dito antes usar um server wins em cada ponta para a
resolução de nomes, mais ai naum sei como te explicar, pois naum cheguei a
esse ponto....

nao sei se me fiz entender, mais ta ai, qq coisa entra em contato
novamente...




2008/1/18 Cobausque <cobausque em ig.com.br>:

> aqui esta o meu openvpn.conf=====SERVIDOR
>
> ;dev tap
> dev tun
>
>
> local 172.16.1.2
>
> port 1194
>
> proto udp
>
>
> server 10.1.251.0 255.255.255.0
> push "redirect-gateway"
> push "dhcp-option DNS 10.1.251.1"
> client-to-client
> ;duplicate-cn
>
> ;server-bridge 10.1.252.60 255.255.255.0 10.1.252.61 10.1.252.69
>
>
> ifconfig-pool-persist ipp.txt
>
>
> ca /usr/local/etc/openvpn/easy-rsa/keys/ca.crt
> cert /usr/local/etc/openvpn/easy-rsa/keys/servidor.crt
> key /usr/local/etc/openvpn/easy-rsa/keys/servidor.key
> dh /usr/local/etc/openvpn/easy-rsa/keys/dh1024.pem
>
> push "route 10.1.252.0 255.255.255.0"
>
> comp-lzo
>
> ping-timer-rem
> persist-tun
> persist-key
>
> group nobody
> daemon
>
> mute 20
>
> keepalive 10 120
>
>
> aqui o cliente =================]WINDOWS===
>
> client
>
>
> ;dev tap
> dev tun
>
> dev-node vpn
>
> ;proto tcp
> proto udp
>
>
> remote 172.16.1.2 1194
> ;remote my-server-2 1194
>
>
> ;remote-random
>
>
> resolv-retry infinite
>
> nobind
>
>
> ;user nobody
> ;group nobody
>
> persist-key
> persist-tun
>
> ;http-proxy-retry # retry on connection failures
> ;http-proxy [proxy server] [proxy port #]
>
>
> ;mute-replay-warnings
>
> ca ca.crt
> cert filial.crt
> key filial.key
>
>
> ;ns-cert-type server
>
>
> ;tls-auth ta.key 1
>
>
> ;cipher x
>
>
> comp-lzo
>
>
> verb 3
>
>
> ;mute 20
> ===========================FIM.=====
>
> Em 18/01/08, Marcelo de Souza Sant'Anna <marcelo.santanna em gmail.com>
> escreveu:
> >
>  > Esta máscara 252 foi definida por vocês porque isto não é fixo.
> >
> > Meus clientes por exemplo são bsd, linux e windows e não tenho
> > problemas. Todos pegam
> > o endereço e máscara corretos.
> >
> > Coloque os confs aqui, tanto o server quanto o client.
> >
> > On Fri, 2008-01-18 at 14:56 -0200, Cobausque wrote:
> >
> > > entao .. bom .. nos locais onde tem freebsd ja esta funcioando mas tem
> > uns 2
> > > windows e vou instalar o cliente para windows do openvpn entao no caso
> o
> > > open vpn repassa a mac 252 por causa da interface tun ? ai sim entao
> eu
> > > precisaria do modo bridje certo ? pois nas maquinas windows se ele
> > repassar
> > > mascara correta seria perfeito em resumo é possivel um cliente que se
> > > conecta diretamente ao vpn adquirir mascara 255.255.255.0? esta é
> minha
> > > duvida...
> >
> >
> >
>  > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> >
> >
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
_______________________________
     <? echo "Márcio Elias<br>
      webmaster - webdesigner"; ?>