[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: OpenVPN.

Pessoal, meu OpenVPN agora está funcionando, problema resolvido.
Com o objetivo de enriquecer a lista vou postar como ficou.

IP externo do firewall de borda, o PF: 10.0.0.4.
IP interno do firewall de borda, o PF: 192.168.254.252.
Tudo que chega na porta UDP 1194 do 10.0.0.4 é redirecionado ao
192.168.254.122, que é onde o OpenVPN está instalado, neste servidor há
outro firewall também, o PF.
Para o redirecionamento, eu fiz o seguinte no firewall de borda:

pass in quick log on $velox_if proto udp from any to $openvpn port 1194
synproxy state
Seria o mesmo que :
iptables -t nat -A PREROUTING -i eth0 -p udp –port 1194 -j DNAT -to
192.168.254.122:1194

A regra que vocês estão sugerindo:

 iptables -t nat -A POSTROUTING -s 172.20.0.0/28 -d 192.168.254.0/24 -o
eth0 -j MASQUERADE

Ficou, no PF do OpenVPN:

nat on tun0 from 172.20.0.0/28 to any → tun0
nat on em0 from 192.168.254.0/24 to any → em0

Deve ser feita no servidor OpenVPN, acredito que meu problema está
acontecendo principalmente por conta dessa configuração que fiz, não
instalei o OpenVPN no firewall de borda.


-- 
att,
Adiel de Lima Ribeiro
facebook.com/sembr.dyndns.info



On Tue, 2013-06-04 at 18:23 -0300, Mauro Collin wrote:
> O que solucionou minha vida foi:
> 
> 
> redeinterna=192.168.0.0/24
> 
> 
> 
> iptables -t nat -I POSTROUTING -s $redeinterna -j MASQUERADE
> 
> 
> tenta ai.
> 
> 
> abs.
> 
> 
> Em 4 de junho de 2013 18:15, Linux - Junior Polegato
> <linux@juniorpolegato.com.br> escreveu:
>         Em 04-06-2013 17:57, Adiel de Lima Ribeiro escreveu:
>         
>                 Bom, o meu pf está com RDR, o que é equivalente ao
>                 DNAT do iptables.
>                 Por exemplo, parte relevante:
>                 rdr on tun0 to any ->  em0
>                 Seria o mesmo que :
>                 iptables -t nat -A PREROUTING -i tun0 -j DNAT -to
>                 192.168.254.0/24
>         
>         
>         Não estou falando de DNAT e sim de SNAT ou MASQUERADE, tipo:
>         
>         iptables -t nat -A POSTROUTING -s 172.20.0.0/28 -d
>         192.168.x.y/z -o ethX -j MASQUERADE
>         
>         ou em vez de MASQUERADE usa-se SNAT --to 192.168.t.w quando se
>         tem vários IPs na mesma interface.
>         
>         Assim o pacote circula na sua rede com IP do server de OpenVPN
>         e volta para ele, visto que se ele circular com IP 172 vai
>         para o FW e aí no FW você também deve direcionar os pacotes
>         para 172 viando da rede local para o IP do OpenVPN.
>         
>         
>         []'s
>                  Junior Polegato
>         
>         
>         -- 
>         To UNSUBSCRIBE, email to
>         debian-user-portuguese-REQUEST@lists.debian.org
>         with a subject of "unsubscribe". Trouble? Contact
>         listmaster@lists.debian.org
>         
>         Archive:
>         [🔎] 51AE58E8.1050500@juniorpolegato.com.br">http://lists.debian.org/[🔎] 51AE58E8.1050500@juniorpolegato.com.br
>         
> 
> 
> 
> 
> -- 
> Att.
> 
> 
> Mauro Collin.
> Analista de Suporte Pleno.
> TI-Infraestrutura / Rede / Servidores Linux/Windows.
> Skype: mauro.collin
> 
> Cel: 21 8728-5445 (Oi).
> Cel: 21 8055-3606 (Tim).
> 
> Cel: 21 9600-5348 (Vivo).

Attachment: unknown-9XGLYW
Description: PNG image

Reply to: