Les saludo y la vez les comento una configuracion de una vpn lan to lan, me falta una parte, pero no encuentro la falla, puede que alguien conozca la solucion le agradecere el aporte.
TENGO DOS REDES REMOTAS RED1 CON UNA CONEXION DE SPEEDY BUSSINESS E IP PUBLICA esta red tiene un server con firewall + proxy transparente eth0 :: 192.168.1.100 eth1 :: 192.168.10.0/24 esta red cuenta con una ip publica, ademas en el mismo router le puse la regla de nat para desde afuera llegar al server que tiene la vpn, osea: direccione el pto. 1194 hacia el ip de la eth0 de mi server
en el mismo server firewall + proxy, tambien configure el openvpn
la configuracion del openvpn la lleve a cabo sin problemas siguiendo muchos manuales comunes que hay en internet
el proxy transparente trabaja OK y las estaciones entran a internet sin problemas
por ejemplo una pc cliente seria: 192.168.10.2/255.255.255.0 gateway 192.168.10.1
AQUI LES COLOCO EL MODELO DE MI ARCHIVO DE CONFIGURACION DEL SERVIDOR VPN, los archivos crt y key del server funcionan sin problemas
###### ARCHIVO /etc/openvpn/vpn1.conf --- ARCHIVO DE CONFIGURACION DEL SERVER VPN port 1194 proto udp dev tun ca ca.crt cert vpn1.crt key vpn1.key dh dh1024.pem
###### Direcciones que se asignaran a los clientes, el server es .1 server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt #Ruta para que los clientes alcancen la red local del server (10.0/24) push "route 192.168.10.0 255.255.255.0" client-config-dir ccd route 192.168.20.0 255.255.255.0 client-to-client push "route 192.168.20.0 255.255.255.0" keepalive 10 120 comp-lzo user nobody group nobody persist-key persist-tun status openvpn-status.log verb 4 ADEMAS TAMBIEN EN EL ARCHIVO /etc/openvpn/ccd/vpn2
LE AGREGYE ESTE COMANDO --- NECESITO LLEGAR A LA RED 192.168.20.0/24 EN EL OTRO LADO iroute 192.168.20.0 255.255.255.0
TAMBIEN LE AGREGUE UN SCRIPT PARA CREAR RUTAS
/sbin/route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.10.1 /sbin/route add -net 192.168.20.0 netmask 255.255.255.0 gw 192.168.10.1 /sbin/route add -net 10.8.0.0 netmask 255.255.255.255 gw 192.168.10.1 Y EL SCRIPT DE MIS REGLAS DE IPTABLES EN ESTE SERVIDOR ES
echo -n Aplicando Reglas de Firewall... iptables=/sbin/iptables ## LIMPIEZA TOTAL DE LAS REGLAS ACTUALES #### PARA QUE SE CARGUEN ESTAS NUEVAS REGLAS ############################################ iptables -F iptables -X iptables -Z iptables -t nat -F #### DECLARACION DE VARIABLES #### LO HACEMOS PARA TENER ORDEN Y CLARIDAD LAN=192.168.10.0/24 NUBE=0.0.0.0/0 WAN="192.168.1.100" ## DECLARANDO LAS POLITICAS PRINCIPALES DEL FIREWALL #### AQUI SE DECIDE SI SERA ABIERTO Y CERRADO #### YA DEPENDE DEL ADMINISTRADOR #### EN ESTE CASO ESTAMOS ABRIENDO TODOS LOS PUERTOS Y CERRAMOS LOS QUE DESEAMOS iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT ## CARGA FORZADA DE MODULOS IMPORTANTES ### A VECES EN ALGUNOS SISTEMAS NO ESTAN CARGADOS modprobe iptable_nat modprobe ip_nat_ftp modprobe ip_conntrack_ftp ## POLITICAS POR DEFECTO POR LA VPN iptables -F FORWARD
iptables -P FORWARD ACCEPT
iptables -A INPUT -i tun0 -j ACCEPT iptables -A FORWARD -i tun0 -j ACCEPT iptables -A FORWARD -o tun0 -j ACCEPT iptables -A OUTPUT -o tun0 -j ACCEPT iptables -A INPUT -i tap0 -j ACCEPT iptables -A FORWARD -i tap0 -j ACCEPT iptables -A INPUT -p udp --dport 1194 -j ACCEPT iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE iptables -A FORWARD -s 192.168.20.0/24 -j ACCEPT iptables -t nat -A POSTROUTING -s 192.168.20.0/24 -o eth0 -j MASQUERADE ## SE AUMENTAN EL NUMERO DE CONEXIONES SEGUIDAS echo 65535 > /proc/sys/net/ipv4/ip_conntrack_max ## SE IGNORAN LOS ERRORES DEL ICMP echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses ## SE HABILITA EL FORWARD DE LOS PAQUETES echo 1 > /proc/sys/net/ipv4/ip_forward ## SE HABILITA LA PROTECCION CONTRA LOS SYN FLOODS echo 1 > /proc/sys/net/ipv4/tcp_syncookies ## SE QUITAN LOS REGISTROS DE BROADCAST EN /var/log/messages iptables -t mangle -I PREROUTING -j DROP -d 224.0.0.0/8 ## SE CONECTA LA LAN CON EL PROXY TRANSPARENTE #### YA NO ES NECESARIO COLOCAR EN LOS NAVEGADORES LO DEL PROXY iptables -t nat -A PREROUTING -i eth1 -p tcp -s $LAN -d $NUBE --dport 80 -j REDIRECT --to-port 3128 ###### MANEJO DE PUERTO ESPECIAL PARA LAS VPNS - OPENVPN iptables -A INPUT -i eth0 -p tcp --dport 1194 -j ACCEPT ##### ENMASCARAMOS LAS CONEXIONES DE LOS DNS ENTERNOS, MSN Y OTROS PARA TODAS iptables -t nat -A POSTROUTING -p tcp -s $LAN -d $NUBE --dport 53 -j MASQUERADE iptables -t nat -A POSTROUTING -p udp -s $LAN -d $NUBE --dport 53 -j MASQUERADE iptables -t nat -A POSTROUTING -p tcp -s $LAN -d $NUBE --dport 5190 -j MASQUERADE iptables -t nat -A POSTROUTING -p udp -s $LAN -d $NUBE --dport 5190 -j MASQUERADE iptables -t nat -A POSTROUTING -p tcp -s $LAN -d $NUBE --dport 1863 -j MASQUERADE iptables -t nat -A POSTROUTING -p udp -s $LAN -d $NUBE --dport 1863 -j MASQUERADE iptables -t nat -A POSTROUTING -p tcp -s $LAN -d $NUBE --dport 1024:65535 -j MASQUERADE iptables -t nat -A POSTROUTING -p udp -s $LAN -d $NUBE --dport 1024:65535 -j MASQUERADE #### YA HACIENDO EL NAT EN LA V iptables -t nat -A POSTROUTING -s $LAN -d $NUBE -j SNAT --to-source $WAN # /root/cbq.init stats | more iptables -t nat -L -n
###################################################################################################### ######################################################################################################
CONFIGURACION DEL SERVER2 EN EL OTRO LOCAL
RED2 CON UNA CONEXION DE SPEEDY CLASS SIN IP PUBLICA esta red tiene un server con firewall + proxy transparente eth0 :: 192.168.1.101 eth1 :: 192.168.20.0/24
en el mismo server firewall + proxy, tambien configure el openvpn
el proxy transparente trabaja OK y las estaciones entran a internet sin problemas
por ejemplo una pc cliente seria: 192.168.20.2/255.255.255.0 gateway 192.168.20.1
AQUI LES COLOCO EL MODELO DE MI ARCHIVO DE CONFIGURACION DEL SERVIDOR VPN2, los archivos crt y key del server funcionan sin problemas -- vim /etc/openvpn/vpn2.conf
client
dev tun
proto udp
remote 190.41.110.99 1194
resolv-retry infinite
nobind ####### PARA QUE ME SIRVE ESTE COMANDO ALGUIEN LO PUEDE ACLARAR
#Las dos siguientes opciones no van en windows
user nobody
group nobody
persist-key
persist-tun
ca ca.crt
cert vpn2.crt
key vpn2.key
comp-lzo
verb 4
TAMBIEN CREE UN SCRIPT DE RUTAS
/sbin/route add -net 10.8.0.0 netmask 255.255.255.255 gw 192.168.20.1
/sbin/route add -net 192.168.10.0 netmask 255.255.255.0 gw 192.168.20.1
/sbin/route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.20.1
MI SCRIPT DE FIREWALL DE ESTA RED
echo -n Aplicando Reglas de Firewall...
iptables=/sbin/iptables
## LIMPIEZA TOTAL DE LAS REGLAS ACTUALES
#### PARA QUE SE CARGUEN ESTAS NUEVAS REGLAS
############################################
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
#### DECLARACION DE VARIABLES
#### LO HACEMOS PARA TENER ORDEN Y CLARIDAD
LAN=192.168.20.0/24
NUBE=0.0.0.0/0
WAN="192.168.1.101"
## DECLARANDO LAS POLITICAS PRINCIPALES DEL FIREWALL
#### AQUI SE DECIDE SI SERA ABIERTO Y CERRADO
#### YA DEPENDE DEL ADMINISTRADOR
#### EN ESTE CASO ESTAMOS ABRIENDO TODOS LOS PUERTOS Y CERRAMOS LOS QUE DESEAMOS
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
## CARGA FORZADA DE MODULOS IMPORTANTES
### A VECES EN ALGUNOS SISTEMAS NO ESTAN CARGADOS
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
## POLITICAS POR DEFECTO POR LA VPN
iptables -F FORWARD
iptables -P FORWARD ACCEPT
iptables -A INPUT -i tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -j ACCEPT
iptables -A FORWARD -o tun0 -j ACCEPT
iptables -A OUTPUT -o tun0 -j ACCEPT
iptables -A INPUT -i tap0 -j ACCEPT
iptables -A FORWARD -i tap0 -j ACCEPT
iptables -A INPUT -p udp --dport 1194 -j ACCEPT
iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
iptables -A FORWARD -s 192.168.10.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE
## SE AUMENTAN EL NUMERO DE CONEXIONES SEGUIDAS
echo 65535 > /proc/sys/net/ipv4/ip_conntrack_max
## SE IGNORAN LOS ERRORES DEL ICMP
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
## SE HABILITA EL FORWARD DE LOS PAQUETES
echo 1 > /proc/sys/net/ipv4/ip_forward
## SE HABILITA LA PROTECCION CONTRA LOS SYN FLOODS
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
## SE QUITAN LOS REGISTROS DE BROADCAST EN /var/log/messages
iptables -t mangle -I PREROUTING -j DROP -d 224.0.0.0/8
## SE CONECTA LA LAN CON EL PROXY TRANSPARENTE
#### YA NO ES NECESARIO COLOCAR EN LOS NAVEGADORES LO DEL PROXY
iptables -t nat -A PREROUTING -i eth1 -p tcp -s $LAN -d $NUBE --dport 80 -j REDIRECT --to-port 3128
###### MANEJO DE PUERTO ESPECIAL PARA LAS VPNS - OPENVPN
iptables -A INPUT -i eth0 -p tcp --dport 1194 -j ACCEPT
##### ENMASCARAMOS LAS CONEXIONES DE LOS DNS ENTERNOS, MSN Y OTROS PARA TODAS LAS VES Y VLANS
iptables -t nat -A POSTROUTING -p tcp -s $LAN -d $NUBE --dport 53 -j MASQUERADE
iptables -t nat -A POSTROUTING -p udp -s $LAN -d $NUBE --dport 53 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp -s $LAN -d $NUBE --dport 5190 -j MASQUERADE
iptables -t nat -A POSTROUTING -p udp -s $LAN -d $NUBE --dport 5190 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp -s $LAN -d $NUBE --dport 1863 -j MASQUERADE
iptables -t nat -A POSTROUTING -p udp -s $LAN -d $NUBE --dport 1863 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp -s $LAN -d $NUBE --dport 1024:65535 -j MASQUERADE
iptables -t nat -A POSTROUTING -p udp -s $LAN -d $NUBE --dport 1024:65535 -j MASQUERADE
#### YA HACIENDO EL NAT EN LA V
iptables -t nat -A POSTROUTING -s $LAN -d $NUBE -j SNAT --to-source $WAN
# /root/cbq.init stats | more
iptables -t nat -L –n
EN CADA SERVER LEVANTA el dev tun0 sin problemas
EN EL SERVER2 SE LE ASIGNA UNA IP 10.8.0.6 en el dev tun0
YA QUE EL dev tun0 DEL SERVER1 tiene asignado 10.8.0.1
entre la red 10.8.0.0/24 puedo hacer ping sin problemas, PERO ENTRE LOS SERVERS NO PUEDO HACER PING NI A LA 192.168.10.1 NI A LA 192.168.20.1, COMO CONSECUENCIA UNA ESTACION DE LA RED1 NO PUEDE HACER PING A UNA PC DE LA RED2 Y VICEVERSA
DONDE ESTA LA FALLA
HAY QUE HACER ALGO EN EL ROUTER DEL SPEEDY CLASS DE LA RED2 O NO
DESDE LA RED2 QUIERO ACCEDER A UN SISTEMA QUE LO RTIENE UNA PC DE LA RED1, ESE ES MI OBJETIVO PERO NO LOGRO.
ESPERO SUS COMENTARIOS
ATT.
PAUL CRIOLLO
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
## POLITICAS POR DEFECTO POR LA VPN
iptables -F FORWARD
iptables -P FORWARD ACCEPT
iptables -A INPUT -i tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -j ACCEPT
iptables -A FORWARD -o tun0 -j ACCEPT
iptables -A OUTPUT -o tun0 -j ACCEPT
iptables -A INPUT -i tap0 -j ACCEPT
iptables -A FORWARD -i tap0 -j ACCEPT
iptables -A INPUT -p udp --dport 1194 -j ACCEPT
iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
iptables -A FORWARD -s 192.168.10.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE
## SE AUMENTAN EL NUMERO DE CONEXIONES SEGUIDAS
echo 65535 > /proc/sys/net/ipv4/ip_conntrack_max
## SE IGNORAN LOS ERRORES DEL ICMP
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
## SE HABILITA EL FORWARD DE LOS PAQUETES
echo 1 > /proc/sys/net/ipv4/ip_forward
## SE HABILITA LA PROTECCION CONTRA LOS SYN FLOODS
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
## SE QUITAN LOS REGISTROS DE BROADCAST EN /var/log/messages
iptables -t mangle -I PREROUTING -j DROP -d 224.0.0.0/8
iptables -t nat -A PREROUTING -i eth1 -p tcp -s $LAN -d $NUBE --dport 80 -j REDIRECT --to-port 3128
iptables -A INPUT -i eth0 -p tcp --dport 1194 -j ACCEPT
iptables -t nat -A POSTROUTING -p tcp -s $LAN -d $NUBE --dport 53 -j MASQUERADE
iptables -t nat -A POSTROUTING -p udp -s $LAN -d $NUBE --dport 53 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp -s $LAN -d $NUBE --dport 5190 -j MASQUERADE
iptables -t nat -A POSTROUTING -p udp -s $LAN -d $NUBE --dport 5190 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp -s $LAN -d $NUBE --dport 1863 -j MASQUERADE
iptables -t nat -A POSTROUTING -p udp -s $LAN -d $NUBE --dport 1863 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp -s $LAN -d $NUBE --dport 1024:65535 -j MASQUERADE
iptables -t nat -A POSTROUTING -p udp -s $LAN -d $NUBE --dport 1024:65535 -j MASQUERADE
iptables -t nat -A POSTROUTING -s $LAN -d $NUBE -j SNAT --to-source $WAN
iptables -t nat -L –n
EN CADA SERVER LEVANTA el dev tun0 sin problemas
EN EL SERVER2 SE LE ASIGNA UNA IP 10.8.0.6 en el dev tun0
YA QUE EL dev tun0 DEL SERVER1 tiene asignado 10.8.0.1
entre la red 10.8.0.0/24 puedo hacer ping sin problemas, PERO ENTRE LOS SERVERS NO PUEDO HACER PING NI A LA 192.168.10.1 NI A LA 192.168.20.1, COMO CONSECUENCIA UNA ESTACION DE LA RED1 NO PUEDE HACER PING A UNA PC DE LA RED2 Y VICEVERSA
DONDE ESTA LA FALLA
HAY QUE HACER ALGO EN EL ROUTER DEL SPEEDY CLASS DE LA RED2 O NO
DESDE LA RED2 QUIERO ACCEDER A UN SISTEMA QUE LO RTIENE UNA PC DE LA RED1, ESE ES MI OBJETIVO PERO NO LOGRO.
ESPERO SUS COMENTARIOS
ATT.
PAUL CRIOLLO
Les saludo y la vez les comento una configuracion de una vpn lan to lan, me falta una parte, pero no encuentro la falla, puede que alguien conozca la solucion le agradecere el aporte.
TENGO DOS REDES REMOTAS RED1 CON UNA CONEXION DE SPEEDY BUSSINESS E IP PUBLICA esta red tiene un server con firewall + proxy transparente eth0 :: 192.168.1.100 eth1 :: 192.168.10.0/24 esta red cuenta con una ip publica, ademas en el mismo router le puse la regla de nat para desde afuera llegar al server que tiene la vpn, osea: direccione el pto. 1194 hacia el ip de la eth0 de mi server
en el mismo server firewall + proxy, tambien configure el openvpn
la configuracion del openvpn la lleve a cabo sin problemas siguiendo muchos manuales comunes que hay en internet
el proxy transparente trabaja OK y las estaciones entran a internet sin problemas
por ejemplo una pc cliente seria: 192.168.10.2/255.255.255.0 gateway 192.168.10.1
AQUI LES COLOCO EL MODELO DE MI ARCHIVO DE CONFIGURACION DEL SERVIDOR VPN, los archivos crt y key del server funcionan sin problemas
###### ARCHIVO /etc/openvpn/vpn1.conf --- ARCHIVO DE CONFIGURACION DEL SERVER VPN port 1194 proto udp dev tun ca ca.crt cert vpn1.crt key vpn1.key dh dh1024.pem
###### Direcciones que se asignaran a los clientes, el server es .1 server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt #Ruta para que los clientes alcancen la red local del server (10.0/24) push "route 192.168.10.0 255.255.255.0" client-config-dir ccd route 192.168.20.0 255.255.255.0 client-to-client push "route 192.168.20.0 255.255.255.0" keepalive 10 120 comp-lzo user nobody group nobody persist-key persist-tun status openvpn-status.log verb 4 ADEMAS TAMBIEN EN EL ARCHIVO /etc/openvpn/ccd/vpn2
LE AGREGYE ESTE COMANDO --- NECESITO LLEGAR A LA RED 192.168.20.0/24 EN EL OTRO LADO iroute 192.168.20.0 255.255.255.0
TAMBIEN LE AGREGUE UN SCRIPT PARA CREAR RUTAS
/sbin/route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.10.1 /sbin/route add -net 192.168.20.0 netmask 255.255.255.0 gw 192.168.10.1 /sbin/route add -net 10.8.0.0 netmask 255.255.255.255 gw 192.168.10.1 Y EL SCRIPT DE MIS REGLAS DE IPTABLES EN ESTE SERVIDOR ES
echo -n Aplicando Reglas de Firewall... iptables=/sbin/iptables
iptables -F iptables -X iptables -Z iptables -t nat -F #### DECLARACION DE VARIABLES #### LO HACEMOS PARA TENER ORDEN Y CLARIDAD LAN=192.168.10.0/24 NUBE=0.0.0.0/0 WAN="192.168.1.100"
iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT ## CARGA FORZADA DE MODULOS IMPORTANTES ### A VECES EN ALGUNOS SISTEMAS NO ESTAN CARGADOS modprobe iptable_nat modprobe ip_nat_ftp modprobe ip_conntrack_ftp ## POLITICAS POR DEFECTO POR LA VPN iptables -F FORWARD
iptables -P FORWARD ACCEPT
iptables -A INPUT -i tun0 -j ACCEPT iptables -A FORWARD -i tun0 -j ACCEPT iptables -A FORWARD -o tun0 -j ACCEPT iptables -A OUTPUT -o tun0 -j ACCEPT iptables -A INPUT -i tap0 -j ACCEPT iptables -A FORWARD -i tap0 -j ACCEPT iptables -A INPUT -p udp --dport 1194 -j ACCEPT iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE iptables -A FORWARD -s 192.168.20.0/24 -j ACCEPT iptables -t nat -A POSTROUTING -s 192.168.20.0/24 -o eth0 -j MASQUERADE ## SE AUMENTAN EL NUMERO DE CONEXIONES SEGUIDAS echo 65535 > /proc/sys/net/ipv4/ip_conntrack_max ## SE IGNORAN LOS ERRORES DEL ICMP echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses ## SE HABILITA EL FORWARD DE LOS PAQUETES echo 1 > /proc/sys/net/ipv4/ip_forward ## SE HABILITA LA PROTECCION CONTRA LOS SYN FLOODS echo 1 > /proc/sys/net/ipv4/tcp_syncookies ## SE QUITAN LOS REGISTROS DE BROADCAST EN /var/log/messages iptables -t mangle -I PREROUTING -j DROP -d 224.0.0.0/8 ## SE CONECTA LA LAN CON EL PROXY TRANSPARENTE #### YA NO ES NECESARIO COLOCAR EN LOS NAVEGADORES LO DEL PROXY iptables -t nat -A PREROUTING -i eth1 -p tcp -s $LAN -d $NUBE --dport 80 -j REDIRECT --to-port 3128 ###### MANEJO DE PUERTO ESPECIAL PARA LAS VPNS - OPENVPN iptables -A INPUT -i eth0 -p tcp --dport 1194 -j ACCEPT ##### ENMASCARAMOS LAS CONEXIONES DE LOS DNS ENTERNOS, MSN Y OTROS PARA TODAS iptables -t nat -A POSTROUTING -p tcp -s $LAN -d $NUBE --dport 53 -j MASQUERADE iptables -t nat -A POSTROUTING -p udp -s $LAN -d $NUBE --dport 53 -j MASQUERADE iptables -t nat -A POSTROUTING -p tcp -s $LAN -d $NUBE --dport 5190 -j MASQUERADE iptables -t nat -A POSTROUTING -p udp -s $LAN -d $NUBE --dport 5190 -j MASQUERADE iptables -t nat -A POSTROUTING -p tcp -s $LAN -d $NUBE --dport 1863 -j MASQUERADE iptables -t nat -A POSTROUTING -p udp -s $LAN -d $NUBE --dport 1863 -j MASQUERADE iptables -t nat -A POSTROUTING -p tcp -s $LAN -d $NUBE --dport 1024:65535 -j MASQUERADE iptables -t nat -A POSTROUTING -p udp -s $LAN -d $NUBE --dport 1024:65535 -j MASQUERADE
iptables -t nat -A POSTROUTING -s $LAN -d $NUBE -j SNAT --to-source $WAN
iptables -t nat -L -n
CONFIGURACION DEL SERVER2 EN EL OTRO LOCAL
RED2 CON UNA CONEXION DE SPEEDY CLASS SIN IP PUBLICA esta red tiene un server con firewall + proxy transparente eth0 :: 192.168.1.101 eth1 :: 192.168.20.0/24
en el mismo server firewall + proxy, tambien configure el openvpn
el proxy transparente trabaja OK y las estaciones entran a internet sin problemas
por ejemplo una pc cliente seria: 192.168.20.2/255.255.255.0 gateway 192.168.20.1
AQUI LES COLOCO EL MODELO DE MI ARCHIVO DE CONFIGURACION DEL SERVIDOR VPN2, los archivos crt y key del server funcionan sin problemas -- vim /etc/openvpn/vpn2.conf
client
dev tun
proto udp
remote 190.41.110.99 1194
resolv-retry infinite
nobind ####### PARA QUE ME SIRVE ESTE COMANDO ALGUIEN LO PUEDE ACLARAR
#Las dos siguientes opciones no van en windows
user nobody
group nobody
persist-key
persist-tun
ca ca.crt
cert vpn2.crt
key vpn2.key
comp-lzo
verb 4
TAMBIEN CREE UN SCRIPT DE RUTAS
/sbin/route add -net 10.8.0.0 netmask 255.255.255.255 gw 192.168.20.1
/sbin/route add -net 192.168.10.0 netmask 255.255.255.0 gw 192.168.20.1
/sbin/route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.20.1
MI SCRIPT DE FIREWALL DE ESTA RED
echo -n Aplicando Reglas de Firewall...
iptables=/sbin/iptables
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
#### DECLARACION DE VARIABLES
#### LO HACEMOS PARA TENER ORDEN Y CLARIDAD
LAN=192.168.20.0/24
NUBE=0.0.0.0/0
WAN="192.168.1.101"
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
iptables -F FORWARD
iptables -P FORWARD ACCEPT
iptables -A INPUT -i tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -j ACCEPT
iptables -A FORWARD -o tun0 -j ACCEPT
iptables -A OUTPUT -o tun0 -j ACCEPT
iptables -A INPUT -i tap0 -j ACCEPT
iptables -A FORWARD -i tap0 -j ACCEPT
iptables -A INPUT -p udp --dport 1194 -j ACCEPT
iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
iptables -A FORWARD -s 192.168.10.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE
echo 65535 > /proc/sys/net/ipv4/ip_conntrack_max
## SE IGNORAN LOS ERRORES DEL ICMP
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
iptables -t mangle -I PREROUTING -j DROP -d 224.0.0.0/8
iptables -t nat -A PREROUTING -i eth1 -p tcp -s $LAN -d $NUBE --dport 80 -j REDIRECT --to-port 3128
iptables -A INPUT -i eth0 -p tcp --dport 1194 -j ACCEPT
iptables -t nat -A POSTROUTING -p tcp -s $LAN -d $NUBE --dport 53 -j MASQUERADE
iptables -t nat -A POSTROUTING -p udp -s $LAN -d $NUBE --dport 53 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp -s $LAN -d $NUBE --dport 5190 -j MASQUERADE
iptables -t nat -A POSTROUTING -p udp -s $LAN -d $NUBE --dport 5190 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp -s $LAN -d $NUBE --dport 1863 -j MASQUERADE
iptables -t nat -A POSTROUTING -p udp -s $LAN -d $NUBE --dport 1863 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp -s $LAN -d $NUBE --dport 1024:65535 -j MASQUERADE
iptables -t nat -A POSTROUTING -p udp -s $LAN -d $NUBE --dport 1024:65535 -j MASQUERADE
iptables -t nat -A POSTROUTING -s $LAN -d $NUBE -j SNAT --to-source $WAN
iptables -t nat -L –n
EN CADA SERVER LEVANTA el dev tun0 sin problemas
EN EL SERVER2 SE LE ASIGNA UNA IP 10.8.0.6 en el dev tun0
YA QUE EL dev tun0 DEL SERVER1 tiene asignado 10.8.0.1
entre la red 10.8.0.0/24 puedo hacer ping sin problemas, PERO ENTRE LOS SERVERS NO PUEDO HACER PING NI A LA 192.168.10.1 NI A LA 192.168.20.1, COMO CONSECUENCIA UNA ESTACION DE LA RED1 NO PUEDE HACER PING A UNA PC DE LA RED2 Y VICEVERSA
DONDE ESTA LA FALLA
HAY QUE HACER ALGO EN EL ROUTER DEL SPEEDY CLASS DE LA RED2 O NO
DESDE LA RED2 QUIERO ACCEDER A UN SISTEMA QUE LO RTIENE UNA PC DE LA RED1, ESE ES MI OBJETIVO PERO NO LOGRO.
ESPERO SUS COMENTARIOS
ATT.
PAUL CRIOLLO
2010/6/1 paulcriollo@gmail.com:
Les saludo y la vez les comento una configuracion de una vpn lan to lan, me falta una parte, pero no encuentro la falla, puede que alguien conozca la solucion le agradecere el aporte.
Paul, unas líneas para que no te sientas tan solo :D
Hemos leído tu mensaje pero está tan largo, y tu ambiente es tan complejo, que resulta muy difícil y costoso en tiempo para seguirlo; son demasiados detalles que para ti son claros porque estás acostumbrado al ambiente pero para nosotros son muy difíciles de abarcar.
Una sugerencia: en lugar de ping, prueba con traceroute a ver hasta dónde llegas. En mi experiencia personal, esto no siempre funciona porque el ruteo se ve alterado por la existencia de las interfaces virtuales, sin embargo tengo acceso de LAN a LAN. Otra: trata de acceder de LAN a LAN mediante otro protocolo que no sea ICMP, a ver si el resultado es diferente. Podría tratarse de firewalling en algún lugar que no está considerando ICMP. Otra: con un ping continuo, y/o con un script que haga requests por algún otro protocolo, de LAN a LAN, considera el camino compuesto por las LANs y el túnel y ponte a escuchar con tcpdump u otro sniffer, cada una de las interfaces en el camino. Sigue la pista del pedido y de la respuesta. Es que no pasa el pedido o que no sabe volver la respuesta? Con esa información se podría razonar más fácilmente.
Dinos si algo de esto ayuda Un saludo
-
Eduardo Grosclaude -
paulcriollo@gmail.com