PROBLEMA COM CONFIGURAÇÃO DE VPN [RESOLVIDO]

thiago_baptista
(usa Red Hat)

Enviado em 11/01/2012 - 16:49h

Boa tarde!

Tenho na empresa uma rede interna disposta da seguinte maneira:

O link de internet (ip fixo) é conectado a um roteador wireless, e este é conectado na placa eth0 de um firewall com squid e iptables, que se encontra ativado.
A porta eth1 do firewall está conectada a um switche, onde estão conectados todos os outros computadores da rede. O endereço do roteador, na rede interna, é 10.0.0.1, o da placa eth0 do firewall é 10.0.0.2, o da placa eth1 é 192.1687.0.118. Os computadores da rede seguem o padrao 192.168.0.x. Estou precisando criar uma vpn, com o openvpn, entre o meu note e um servidor, que se conecta à internet através do firewall. Fiz as configurações do openvpn, consigo me conectar ao servidor, porém o ping não funciona e não consigo acessar nenhum compartilhamento do server.
Os arquivos ficaram da seguinte maneira:

CLIENTE (NOTE):

dev tun
port 6559
proto udp
remote IP_EXTERNO_DA_REDE
ifconfig 192.168.255.2 192.168.255.1
ca ca.crt
cert ti-access.crt
key ti-access.key
tls-client
keepalive 10 120
comp-lzo
user TI
group NOMEDOGRUPO_NO_SERVER
persist-key
persist-tun
verb 3

SERVIDOR:

dev tun
port 6559
proto udp
ca keys/ca.crt
cert keys/matriz.crt
key keys/matriz.key
dh keys/dh1024.pem
server 192.168.255.0 255.255.255.0
pusg "route 192.168.0.0 255.255.255.0"
keepalive 10 120
max-clients 1
comp-lzo
user TI
group NOME_DO_GRUPO_NO_SERVER
persist-key
persist-tun
verb 3

Fiz as configurações no server, ativei a VPN, fiz as configurações no WINDOWS, o openvpn conecta e pega o IP 192.168.255.2, porém nao consigo realizar o ping para o 192.168.255.1 e nem acessar compartilhamentos.
Fiz o redirecionamento da porta 6559 no firewall, direcionando para o IP 192.168.0.211, que é o IP do SERVIDOR na rede interna. Liberei também o acesso através desta porta, mas nada funcionou. Redirecionei a porta 6559 do roteador para a placa eth0 (10.0.0.2).

Eu teria que redirecionar mais alguma porta? Existe alguma configuraçõa que fiz errado no servidor?

Obrigado!!!

removido
(usa Nenhuma)

Enviado em 11/01/2012 - 17:13h

se estiver tudo bem configurado, o redirecionamento de porta e de endereço e o resto da configuração de ambos, troca os dispositivos tun pelo tap

thiago_baptista
(usa Red Hat)

Enviado em 11/01/2012 - 20:32h

Boa noite,

Muito obrigado eabreu! Deu certo. Foi só mudar para TAP mesmo. Qual seria a diferença entre o TAP e o TUN?

Você sabe me dizer como que eu dou permissão para um determinado usuário rodar o daemon do openvpn?

Vlw mesmo pela ajuda! Muito obrigado!

removido
(usa Nenhuma)

Enviado em 11/01/2012 - 20:49h

Ótimo que resolveu o problema,

respondendo suas perguntas:

1º - O dispositivo virtual tun trabalha na camada de internet (rede) do protocolo tcp/ips, já o tap trabalha na camada de acesso (interface de rede).

2º - Você pode usar a permissão especial suid, porém não recomendo. abaixo segue um link para fazer isso:

http://www.vivaolinux.com.br/artigo/Linux-Permissoes-de-acesso-especiais?pagina=1

Não esquece de marcar a melhor resposta.

thiago_baptista
(usa Red Hat)

Enviado em 11/01/2012 - 21:06h

Mas a TAP é menos segura que a TUN? O daemon é melhor deixar rodando como root mesmo? Com outro usuário não consigo fazer a conexão funcionar.

Vlw!

removido
(usa Nenhuma)

Enviado em 11/01/2012 - 21:32h

Respostas:

1º - O tap é menos seguro?

R. Não, porém se quer implementar segurança pela conexão vpn pode implementar no servidor e no proprio cliente.

2º - O daemon é melhor deixar rodando como root ?

R. com certeza, pois deixar executando pro outro usuário pode dá brechas.

3º - Com outro usuário não consigo fazer funcionar ?

R. Isso foi uma pergunta ou uma afirmativa ?

Caso seja uma pergunta, sim pode fazer funcionar usando um usuário normal, caso seja uma afirmativa é só executar o daemon dando uma permissão especial suid (porém não recomendo) e pode também configurar o serviço para rodar na inicialização do sistema.

thiago_baptista
(usa Red Hat)

Enviado em 12/01/2012 - 09:03h

Ok!

Obrigado aí pela ajuda.