Eu não tenho certeza, mas parece que o Sr. está misturando maçãs e laranjas ...
Na configuração do firewall o Sr. define sua rede interna como sendo 172.12.0.xxx
Na configuração da VPN o Sr. estabelesse uma rora para a faixa 172.16.0.xxx
E define DHCP como sendo 192.168.1.1
Usando estes IPs, e todos com máscaras /24 ninguém vai falar com ninguém !!!!
Estes valores estão corretos ?
Fábio RabeloEm 25 de setembro de 2012 12:03, John Martius <hax0r3x@gmail.com> escreveu:Greyson:
O samba é acessado pelas máquinas internas através da interface eth1.
A vpn usa a interface tun0 e deixei o acesso liberado para ela na espectativa de acessar a rede interna.
Gabriel:
Conectamos a VPN e em seguida usamos o ip interno do servidor para o samba.
Fábio:
O servidor tem duas interfaces fisicas, a eth0 conectada ao modem (rede externa) e a eth1 conectada a um switch (rede interna).
Posso fazer o "forward" como você indicou mas eu tinha habilitado através do script do firewall:
echo 1 > /proc/sys/net/ipv4/ip_forward
Este é o arquivo de configuração do servidor openvpn:
################################
# usar dispositivo tun
dev tun0
# protocolo do servico
proto udp
# porta (padrao: 1194)
port 1194
# faixa ip da rede vpn
server 172.16.0.0 255.255.255.0
# habilita o cliente acessar a rede interna
push "route 192.168.23.0 255.255.255.0"
push "dhcp-option DNS 192.168.23.1"
# persistir ip para cada cliente
ifconfig-pool-persist /etc/openvpn/ipp.txt
# configuracoes para reestabelecer conexao
keepalive 10 120
comp-lzo
persist-key
persist-tun
float
# logs
status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn.log
verb 3
# limite de clientes conectados
# max-clients 10
# limite da banda por cliente
# shaper 262144
# tipo de seguranca da conexao
tls-server
# chave necessaria para criar camada de encriptacao
tls-auth /etc/openvpn/keys/ta.key 0
# arquivo indicando certificados revogados
crl-verify /etc/openvpn/keys/crl.pem
# certificado digital
dh /etc/openvpn/keys/dh1024.pem
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/servidor01.crt
key /etc/openvpn/keys/servidor01.key
################################
Att.Em 25 de setembro de 2012 11:27, Fábio Rabelo <fabio@fabiorabelo.wiki.br> escreveu:
Bom dia ...
O Sr. não colocou toda a informação necessária para uma conclusão abalizada ....
Qual a topologia da sua rede ?
O arquivo de configuração da vpn ?
Pto tudo que podemos fazer aqui é "chutar"....
Meu chute, o Sr. habilitou "forward" no Kernel ?
edite o /etc/sysctl.conf e descomente a linha :
net.ipv4.ip_forward=1
E reinicie a máquina .
Fábio RabeloEm 25 de setembro de 2012 08:52, John Martius <hax0r3x@gmail.com> escreveu:Olá pessoal,
Instalamos o openvpn no servidor. Tambem criei uma regra no firewall para acessar as maquinas da rede interna através da vpn.
Até ai está tudo bem...
Mas no próprio servidor vpn temos o samba, só que este fica "transparente" impossibilitando seu acesso.
Sei que o problema está no firewall, mas não sei como resolver. Alguem pode me ajudar, por favor?
Segue as regras do firewall que podem ser uteis:
#########################################
# declara interfaces
$IF_EXT=eth0 # externa
$IF_INT=eth1 # interna
# carrega modulos
modprobe ip_tables
modprobe iptable_nat
# define polices
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
# habilitada compartilhamento da conexao
echo 1 > /proc/sys/net/ipv4/ip_forward
# cria NAT
iptables -t nat -A POSTROUTING -o $IF_EXT -j MASQUERADE
# libera trafego da vpn para rede interna
iptables -t nat -s 172.12.0.0/24 -A POSTROUTING -o $IF_INT -j MASQUERADE
# libera input loopback
iptables -A INPUT -i lo -j ACCEPT
# libera input de pacotes sincronizados input
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# libera input da rede interna
iptables -A INPUT -i $IF_INT -j ACCEPT
# libera acesso (externo) a rede vpn
iptables -A INPUT -p udp --dport 1194 -j ACCEPT
# libera trafego atraves da vpn
iptables -A INPUT -i tun0 -j ACCEPT
# libera resposta de conexao tcp (iniciada internamente)
iptables -A INPUT -i $IF_EXT -p tcp ! --syn -j ACCEPT
# libera pings que sao uteis
iptables -A INPUT -p icmp --icmp-type host-unreachable -j ACCEPT
iptables -A INPUT -p icmp --icmp-type source-quench -j ACCEPT
#########################################
Att.
John