Re: VPN - OPENVPN quebrando cabeça

To: Helio Loureiro <helio@loureiro.eng.br>
Cc: Debian User Portuguese <debian-user-portuguese@lists.debian.org>
Subject: Re: VPN - OPENVPN quebrando cabeça
From: Anderson Bertling <andersonbertling@gmail.com>
Date: Tue, 16 Mar 2010 08:31:45 -0300
Message-id: <[🔎] df08ae3a1003160431j414df81aw51742e9caf2855bd@mail.gmail.com>
In-reply-to: <[🔎] 9d70dc0b1003151731t4c60cf93vc4a62745cb69b6b9@mail.gmail.com>
References: <[🔎] df08ae3a1003120708o2d501389sc7dcfbaa0e1c538f@mail.gmail.com> <[🔎] 9d70dc0b1003151731t4c60cf93vc4a62745cb69b6b9@mail.gmail.com>

ola Helio
assim recebi um trabalho da facul para criar uma rede vpn, isso foi facil o que não esta sendo facil é liberar acessos por ela, para navegação na internet e afins

Descrição :
possuo 2 redes: uma wifi (essa esta ligada apenas a um roteador wifi pela placa de rede simples do servidor sem nada nesta rede. ) ip 123.123.123.0/24
rede normal, essa rede é da faculdade possue proxy para navegar na internet impressoras e afins, ip 10.32.2.0/24

meu professor me solicitou que crie essa rede sa seguinte forma, acessar pela wifi,
abrir o servidor vpn que possue 2 placas de rede uma que da na rede interna dos laboratórios e outra na wifi, ter acesso a tudo por essa rede impressora samba ssh email e mais deve poder navegar na internet mas a rede dos laboratórios possue proxy que não tem ip da rede interna é algo assim 200.200.200.200:3128

essa é a conf do servidor para ajudar a entender

dev     tun
mode    server
proto udp
tls-server
client-to-client
dh      keys/dh1024.pem
ca      keys/ca.crt
cert    keys/server.crt
key     keys/server.key
duplicate-cn
server 10.0.8.0 255.255.255.0 # IP range clients
#route-up "route delete -net 10.32.2.0/24"
route-up "route add -net 10.32.2.0/24 tun0"
push "route 10.32.2.0 255.255.255.0" # add route to protected network
push "dhcp-option DNS 10.32.1.14"
push "dhcp-option DHCP 10.32.1.16"
push "default-gateway 10.32.2.1"
port 1194
comp-lzo
persist-tun
persist-key
verb 6
log-append      /var/log/openvpn/openvpn.log
status          /var/log/openvpn/status.log
plugin /usr/lib/openvpn/openvpn-auth-pam.so common-auth
#plugin /usr/lib/openvpn/openvpn-auth-pam.so common-password
client-cert-not-required
username-as-common-name

##########################################
e esse é o firewall que estou tentando montar
#!/bin/bash

iptables -F
iptables -F INPUT
iptables -F OUTPUT
iptables -F POSTROUTING -t nat
iptables -F PREROUTING -t nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -P FORWARD ACCEPT
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -i tun0 -o tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT
iptables -A INPUT -p tcp --dport 1194 -j ACCEPT
iptables -A INPUT -p udp --dport 1194 -j ACCEPT
iptables -I INPUT -i tun+ -j ACCEPT
iptables -I OUTPUT -o tun+ -j ACCEPT
iptables -I FORWARD -i tun+ -j ACCEPT
iptables -I FORWARD -o tun+ -j ACCEPT
iptables -A POSTROUTING -t nat -s 10.32.2.0/24 -o eth0 -j MASQUERADE
iptables -A POSTROUTING -t nat -s 123.123.123.0/24 -o tun0 -j MASQUERADE
iptables -A INPUT -p icmp -j ACCEPT
iptables -A FORWARD -p icmp -j ACCEPT

iptables -A PREROUTING -t nat -i eth0 -s 0/0 -p tcp --dport 80 -j DNAT --to-destination 200.200.200.200:3128

iptables -A FORWARD -d 0/0 -p tcp -m tcp --dport 25 -j ACCEPT
iptables -A FORWARD -d 0/0 -p tcp -m tcp --dport 110 -j ACCEPT
iptables -A FORWARD -d 0/0 -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A FORWARD -d 0/0 -p tcp -m tcp --dport 8080 -j ACCEPT
iptables -A FORWARD -d 0/0 -p tcp -m tcp --dport 3128 -j ACCEPT
iptables -A FORWARD -d 0/0 -p tcp -m tcp --dport 443 -j ACCEPT
iptables -A FORWARD -d 0/0 -p tcp -m tcp --dport 53 -j ACCEPT
iptables -A FORWARD -d 0/0 -p tcp -m tcp --dport 138 -j ACCEPT
iptables -A FORWARD -d 0/0 -p tcp -m tcp --dport 139 -j ACCEPT
iptables -A FORWARD -s 0/0 -p tcp -m tcp --sport 25 -j ACCEPT
iptables -A FORWARD -s 0/0 -p tcp -m tcp --sport 110 -j ACCEPT
iptables -A FORWARD -s 0/0 -p tcp -m tcp --sport 80 -j ACCEPT
iptables -A FORWARD -s 0/0 -p tcp -m tcp --sport 3128 -j ACCEPT
iptables -A FORWARD -s 0/0 -p tcp -m tcp --sport 443 -j ACCEPT
iptables -A FORWARD -s 0/0 -p tcp -m tcp --sport 53 -j ACCEPT
iptables -A FORWARD -s 0/0 -p tcp -m tcp --sport 138 -j ACCEPT
iptables -A FORWARD -s 0/0 -p tcp -m tcp --sport 139 -j ACCEPT
iptables -A FORWARD -s 0/0 -p tcp -m tcp --sport 8080 -j ACCEPT

bom desde ja fico grato por qualquer ajuda !

Em 15 de março de 2010 21:31, Helio Loureiro <helio@loureiro.eng.br> escreveu:

> alguem sabe como posso fazer para deixar funcionando o servidor com a
> internete e acesso a rede interna ?

Experimente começar por uma melhor explicação da sua rede. Inclua
topologia, ranges de IPs númericos (se privados, e omitas os
públicos), e o motivo de ter uma VPN pra um Proxy.

--
[]´s
Helio Loureiro
http://helio.loureiro.eng.br
http://hloureiro.multiply.com
http://twitter.com/helioloureiro

--
Att

Anderson Bertling

Reply to:

References:
- VPN - OPENVPN quebrando cabeça
  - From: Anderson Bertling <andersonbertling@gmail.com>
- Re: VPN - OPENVPN quebrando cabeça
  - From: Helio Loureiro <helio@loureiro.eng.br>

Prev by Date: Re: Icedove X thunderbird
Next by Date: Re: Icedove X thunderbird
Previous by thread: Re: VPN - OPENVPN quebrando cabeça
Next by thread: OFF: Por que Linux é melhor para todos?
Index(es):
- Date
- Thread