Pessoal, meu OpenVPN agora está funcionando, problema resolvido. Com o objetivo de enriquecer a lista vou postar como ficou. IP externo do firewall de borda, o PF: 10.0.0.4. IP interno do firewall de borda, o PF: 192.168.254.252. Tudo que chega na porta UDP 1194 do 10.0.0.4 é redirecionado ao 192.168.254.122, que é onde o OpenVPN está instalado, neste servidor há outro firewall também, o PF. Para o redirecionamento, eu fiz o seguinte no firewall de borda: pass in quick log on $velox_if proto udp from any to $openvpn port 1194 synproxy state Seria o mesmo que : iptables -t nat -A PREROUTING -i eth0 -p udp –port 1194 -j DNAT -to 192.168.254.122:1194 A regra que vocês estão sugerindo: iptables -t nat -A POSTROUTING -s 172.20.0.0/28 -d 192.168.254.0/24 -o eth0 -j MASQUERADE Ficou, no PF do OpenVPN: nat on tun0 from 172.20.0.0/28 to any → tun0 nat on em0 from 192.168.254.0/24 to any → em0 Deve ser feita no servidor OpenVPN, acredito que meu problema está acontecendo principalmente por conta dessa configuração que fiz, não instalei o OpenVPN no firewall de borda. -- att, Adiel de Lima Ribeiro facebook.com/sembr.dyndns.info On Tue, 2013-06-04 at 18:23 -0300, Mauro Collin wrote: > O que solucionou minha vida foi: > > > redeinterna=192.168.0.0/24 > > > > iptables -t nat -I POSTROUTING -s $redeinterna -j MASQUERADE > > > tenta ai. > > > abs. > > > Em 4 de junho de 2013 18:15, Linux - Junior Polegato > <linux@juniorpolegato.com.br> escreveu: > Em 04-06-2013 17:57, Adiel de Lima Ribeiro escreveu: > > Bom, o meu pf está com RDR, o que é equivalente ao > DNAT do iptables. > Por exemplo, parte relevante: > rdr on tun0 to any -> em0 > Seria o mesmo que : > iptables -t nat -A PREROUTING -i tun0 -j DNAT -to > 192.168.254.0/24 > > > Não estou falando de DNAT e sim de SNAT ou MASQUERADE, tipo: > > iptables -t nat -A POSTROUTING -s 172.20.0.0/28 -d > 192.168.x.y/z -o ethX -j MASQUERADE > > ou em vez de MASQUERADE usa-se SNAT --to 192.168.t.w quando se > tem vários IPs na mesma interface. > > Assim o pacote circula na sua rede com IP do server de OpenVPN > e volta para ele, visto que se ele circular com IP 172 vai > para o FW e aí no FW você também deve direcionar os pacotes > para 172 viando da rede local para o IP do OpenVPN. > > > []'s > Junior Polegato > > > -- > To UNSUBSCRIBE, email to > debian-user-portuguese-REQUEST@lists.debian.org > with a subject of "unsubscribe". Trouble? Contact > listmaster@lists.debian.org > > Archive: > [🔎] 51AE58E8.1050500@juniorpolegato.com.br">http://lists.debian.org/[🔎] 51AE58E8.1050500@juniorpolegato.com.br > > > > > > -- > Att. > > > Mauro Collin. > Analista de Suporte Pleno. > TI-Infraestrutura / Rede / Servidores Linux/Windows. > Skype: mauro.collin > > Cel: 21 8728-5445 (Oi). > Cel: 21 8055-3606 (Tim). > > Cel: 21 9600-5348 (Vivo).
Attachment:
unknown-9XGLYW
Description: PNG image