[FUG-BR] RES: OpenVPN

Márcio Elias marcioelias em gmail.com
Segunda Março 3 17:35:57 BRT 2008 

Já respondi isso na lista antes... tenho 1 matriz e 5 filiais todas com adsl
ou radio, ip dinamico usando no-ip e consigo acessar todas as estações de
todos os pontos partindo de qualquer estação da um dos pontos conectados a
vpn, funciona que eh uma maravilha, inclusive o proprio openvpn se
"auto-reconecta" no caso de uma queda da conexão com a internet mesmo do
servidor central, o grande porem é que cada empresa (ponto) de vpn tem um
server roteando uma rede classe C diferente das demais, por exemplo, a
matriz é a rede 192.168.1.0/24. a filial 1 é 192.168.2.0/24 a filial 2
192.168.3.0/24 e assim por diante, nao estou usando o openvpn em modo
bridge, o que tambem seria uma saida...mais de qualquer forma deixo aqui a
mesma resposta que deixei no outro topico.

" Acho que finalmente entendi o que vc quer, no caso vc tem uma rede e nessa
rede naum tem servidor dedicado bsd ou linux, então vc quer que uma das
maquinas windows se conecte com o cliente openvpn for windows e de acesso a
todas as maquinas da rede eh isso....
se sim naum tenho ideia de como fazer, no meu caso tambem estou recebendo
mascaras 252 nas interfaces da vpn (tun/tap), o diferencial é q distribuo as
rotas com o server vpn e em cada rede uso um servidor bsd q roteia os
pacotes da rede atravez da rede vpn....

da uma olhada nos meus arquivos de configuração....

server - bsd

# Interface da VPN
dev tun
# Ouvir em que endereço (Esta comentado ouvirá em todos os ips)
;local a.b.c.d
# Ouvir em que porta
port 1194
# Protocolo TCP ou UDP
proto udp
# Tornar o servidor de VPN seu gateway padráo para a internet
# Rede e Classe de Rede entre Clientes e Servidor
server 10.10.1.0 255.255.255.0
# Arquivo aonde fica armazenado os ips dos clientes
ifconfig-pool-persist ipp.txt
# Certificados para a autenticação da VPN
ca /usr/local/etc/openvpn/easy-rsa/keys/ca.crt
cert /usr/local/etc/openvpn/easy-rsa/keys/girassol.crt
key /usr/local/etc/openvpn/easy-rsa/keys/girassol.key
dh /usr/local/etc/openvpn/easy-rsa/keys/dh1024.pem
# As rotas que o cliente deve pegar
#configuracao dos terminais clientes **
client-config-dir ccd
route 192.168.2.0 255.255.255.0
client-to-client
push "route 192.168.2.0 255.255.255.0"
push "route 192.168.1.0 255.255.255.0"
client-config-dir ccd
# Usar compressão na VPN
comp-lzo
# Reestabelece a conexão se por ventura a mesma falhar
ping-timer-rem
persist-tun
persist-key
# Rodar o OpenVPN como Daemon mas com privilégios de usuario nobody
group nobody
daemon
# não repetir muitas vezes o mesmo erro
mute 20
keepalive 10 120
client-to-client


**dentro do diretório ccd existe um arquivo para cada cliente deixa eu
explicar....
quando vc cria as chaves (filial1.key, filial2.key etc...) tem um campo
assim
Organizational Unit Name (eg, section) []:
onde vc coloca o nome da unidade, da filial etc.... exmplo:
Organizational Unit Name (eg, section) []: TRM_MARAVILHA
essa chave vai para a filial MARAVILHA, onde a rede interna é 192.168.2.0/24
a rede atraz do servidor da matriz é 192.168.1.0/24
ate ai blz.. o importante é que cada filial tenha um nome diferente nesse
campo, pois isso identificara cada uma na hora do servidor atribuir as rotas
dos clientes....

agora voltando ao diretorio ccd, como falei... dentro desse diretorio vai
ter um arquivo para cada cliente.. no exemplo acima teriamos o arquivo
TRM_MARAVILHA com o seguinte conteúdo:

iroute 192.168.2.0 255.255.255.0

isso faz com q o proprio servidor vpn estabeleça uma rota para a rede
192.168.2.0/24 sempre q o cliente TRM_MARAVILHA se conectar...


openvpn.conf filial

client
remote ip.ser.ver.vpn 1194
dev tun
comp-lzo
ca ca.crt
cert maravilha.crt
key maravilha.key
group nobody
daemon
verb 3
mute-replay-warnings
mute 20

assim qq maquina da rede 192.168.2.0/24 consegue acessar qualquer maquina da
rede 192.168.1.0/24 atravez do ip, caso vc queira seguir esse exemplo vc
pode como jah foi dito antes usar um server wins em cada ponta para a
resolução de nomes, mais ai naum sei como te explicar, pois naum cheguei a
esse ponto....

nao sei se me fiz entender, mais ta ai, qq coisa entra em contato
novamente...  "


On 2/28/08, Cobausque <cobausque em ig.com.br> wrote:

> Consegui resolver meu problema com o Vpn .. era somente um ajuste no meu
> firewall que precisei fazer com relação a interface tun0 após modificar
> uma
> estação win Xp passou a funcionar na rede normalmente uma outra maquina
> que
> Tb é XP não tava dando certo mas notei que era aquele firewall do XP que
> tava atrapalhando desativei ele e passou a funcionar.. mas pra resolver o
> problema da mascara pra ficar mais fácil criei atalhos de rede onde o
> usuário clica e a maquina consegue encontrar tranquilamente as outras que
> estão na outra ponta do vpn através destes atalhos. E não estou com
> problemas mais na minha rede,, esta tudo beleza.
> No mais obrigado .. !!!
>
>
> -----Mensagem original-----
> De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] Em nome
> de Welkson Renny de Medeiros
> Enviada em: quinta-feira, 28 de fevereiro de 2008 15:42
> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> Assunto: Re: [FUG-BR] OpenVPN
>
> Não sei se entendi sua pergunta... mas vou falar como uso o openvpn aqui.
>
> Na matriz tenho o FreeBSD com o OpenVPN Server.
>
> Nas filiais tenho apenas UMA máquina com Windows que conecta ao openvpn da
> matriz... essa máquina tenho tanto com XP quanto com 2003... nela eu ativo
> o
>
> serviço de roteamento nos "serviços" do windows, crio rotas, etc... e as
> outras máquinas da filiais seto o gateway para esse xp/2003 que tá com o
> openvpn client... e tudo funfa 100%... é mais ou menos isso que precisa?
> os
> terminais das filiais usam tef, internet, tudo passando por um gateway
> xp/2003 que está conectado ao openvpnserver da matriz com FreeBSD.
>
> Espero ter sido claro!
>
> Abraço,
>
> --
> Welkson Renny de Medeiros
> Focus Automação Comercial
> Desenvolvimento / Gerência de Redes
> welkson em focusautomacao.com.br
>
>
>
>                      Powered by ....
>
>                                           (__)
>                                        \\\'',)
>                                          \/  \ ^
>                                          .\._/_)
>
>                                      www.FreeBSD.org<http://www.freebsd.org/>
>
>
> ----- Original Message -----
> From: "Cobausque" <cobausque em ig.com.br>
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> <freebsd em fug.com.br>
> Sent: Thursday, February 28, 2008 11:12 AM
> Subject: [FUG-BR] OpenVPN
>
>
> Pessoal estou com um problema aqui em minha rede com o Open Vpn ele
> esta funcioanndo perfeitamente so que quando os clientes autenticam..
> eu preciso que a mascara de rede .. seja 255.255.255.0 alguem ai tem
> algum exemplo de arquivo de configuraçao pra que eu possa ajustar ..
> ??pois quando o cliente conecra sua mascara é 252 nao podendo ver
> outras maquinas na rede .. que é o que eu nao quero.
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> No virus found in this incoming message.
> Checked by AVG Free Edition.
> Version: 7.5.516 / Virus Database: 269.21.1/1303 - Release Date:
> 28/02/2008
> 12:14
>
>
> No virus found in this outgoing message.
> Checked by AVG Free Edition.
> Version: 7.5.516 / Virus Database: 269.21.1/1303 - Release Date:
> 28/02/2008
> 12:14
>
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
_______________________________
      <? echo "Márcio Elias<br>
       webmaster - webdesigner"; ?>

Mais detalhes sobre a lista de discussão freebsd