[FUG-BR] OpenVPN Matriz não acessa filiais

irado furioso com tudo irado em bsd.com.br
Domingo Setembro 5 18:09:31 BRT 2010 

Em Sun, 5 Sep 2010 16:03:02 -0300
João Filho <j-joao em hotmail.com>, conhecido consumidor/usuário de drogas
(Windows e BigMac com Coke) escreveu:

> Já testei as configurações usando interface tun, tap e bridge, 

isto só acrescenta variáveis ao problema, sem oferecer DE FATO caminho
para a solução.

> mas em
> nenhuma das configs eu consigo acessar os clientes atravéz da
> matriz.

a condição normal é de as máquinas atrás do gw da filial serem
atingidas pelas máquinas que estão atrás do gw da matriz, ou seja, em
condição LAN-LAN; Dependendo da implementação (IPSec no FreeBSD, por
ex) os gw NÃO se "pingam".


> Os clientes acessam a matriz e uns aos outros normalmente, 

aqui é algo bem incomum: o "uns aos outros normalmente"; dentro do
conceito de VPNs, NÃO EXISTE contato se não houverem túneis então isso
aí indicou que existem um montão de túneis pra tudo quanto é lado, cada
filial sendo (praticamente) um hub de conexão estrela. É um exagero
(embora não impossível de se implementar) Defina melhor isso aí.

> mas
> a matriz sequer pinga os clientes.

"pingar" não chega a ser definição de (in)existência de túneis. Vc pode
se comunicar de inúmeras formas e rejeitar o "ping".

bem.. vamos começar do começo:

em primeiro lugar, selecione UM dispositivo de conexão em ambas as
pontas e fixe-se nêle. Usemos o default da OpenVPN que é udp/tun0 e com
a porta convencional. Use o log verborragicamente, alterando em
openvpn.conf de 3 para 9.

indique-nos quais os ip de LAN que está usando em cada ponta e qual a
situação geral do gw, por exemplo:

lan1 192.168.0.0/24, gw 192.168.0.1--gw 192.168.1.1,lan 192.168.1.0/24

levante o tunel em ambas as pontas, "ping" cliente.lan1 a partir de
cliente.lan2 (ou vice-versa) e analise ambos os logs, ou no-los envie
para que analisemos. Por enquanto só queremos UM túnel para analisar,
pra não "embolar o meio de campo".

qualquer que seja a condição (dispositivo não subiu, ou subiu mas não
está com o ip.addr ou..) o openvpn.log apresentará informação adequada.

-- 
 saudações,
 irado furioso com tudo
 Linux User 179402/FreeBSD BSD50853/FUG-BR 154
 Não uso drogas - 100% Miko$hit-free
"Não paramos de nos divertir por ficarmos velhos. Envelhecemos porque
paramos de nos divertir" (Anonimo)

Mais detalhes sobre a lista de discussão freebsd