Buen dia.
En la empresa tengo una red que usa el segmento 10.0.1.0/24, y el servicio OpenVPN tiene asignado el segmento 10.0.8.0/24.
Hasta ahorita puedo conectar mis equipos clientes a OpenVPN y la navegacion veo que esta pasando por el servidor de la empresa.
El detalle es que no puedo disponer de los servicios internos :(... por ejemplo, yo quiero entrar a la direccion 10.0.1.2 que es donde esta el PBX Asterisk, y mi equipo se queda pensando :S !...
Tienen idea donde estare fallando ?
Les dejo mi config. del OpenVPN
*shell# ifconfig -a* eth0 --> 192.168.1.1 (isp modem) eth1 --> 10.0.1.1 (centos with squid) tun0 --> 10.0.8.1 ( and p-t-p: 10.0.8.2)
*shell# cat /etc/openvpn/server.conf* local 192.168.1.1 port 1194 proto tcp dev tun0 ca keys/ca.crt cert keys/server.crt key keys/server.key # This file should be kept secret dh keys/dh2048.pem server 10.0.8.0 255.255.255.0 ifconfig-pool-persist ipp.txt push "dhcp-option DNS 8.8.8.8" keepalive 10 120 comp-lzo persist-key persist-tun status /var/log/openvpn/openvpn-status.log log /var/log/openvpn/openvpn.log log-append /var/log/openvpn/openvpn-append.log verb 3
*shell# cat firewall* .... otras reglas... iptables -A INPUT -p tcp --dport 1194 -j ACCEPT iptables -A FORWARD -p tcp --dport 1194 -j ACCEPT iptables -A FORWARD -i eth0 -d eth1 -j ACCEPT iptables -A FORWARD -i eth0 -d tun0 -j ACCEPT iptables -A FORWARD -i eth1 -d eth0 -j ACCEPT iptables -A FORWARD -i eth1 -d tun0 -j ACCEPT iptables -A FORWARD -i tun0 -d eth0 -j ACCEPT iptables -A FORWARD -i tun0 -d eth1 -j ACCEPT iptables -t nat -A PREROUTING --dport 80 -p tcp -i eth1 -j DNAT --to 192.168.1.1:3128 # squid para red interna iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE iptables -t nat -A POSTROUTING -i eth1 -j MASQUERADE iptables -t nat -A POSTROUTING -i tun0 MASQUERADE ... fin reglas...
Como les comento, me *conecto con exito*, *mi navegacion sale* con la IP del servidor de la empresa, pero no puedo acceder a los equipos internos con segmento 10.0.1.0/24.
Saludos !
Ya lo soluciones :D...
Solo hay que agregar la linea: *push "route 10.0.1.0 255.255.255.0" *ya que esta linea hace que todo el trafico que se genere de los clientes conectados a la VPN que vayan al segmento 10.0.1.0/24, lo *forza* a pasar por el tunel y verificarlo, de lo contrario simplemente lo pasa del tun0 al $INET.
Y como ahora ya lo toma en cuenta, puedo montar los servicios :D
Saludos !
El 16 de mayo de 2016, 21:41, angel jauregui darkdiabliyo@gmail.com escribió:
Buen dia.
En la empresa tengo una red que usa el segmento 10.0.1.0/24, y el servicio OpenVPN tiene asignado el segmento 10.0.8.0/24.
Hasta ahorita puedo conectar mis equipos clientes a OpenVPN y la navegacion veo que esta pasando por el servidor de la empresa.
El detalle es que no puedo disponer de los servicios internos :(... por ejemplo, yo quiero entrar a la direccion 10.0.1.2 que es donde esta el PBX Asterisk, y mi equipo se queda pensando :S !...
Tienen idea donde estare fallando ?
Les dejo mi config. del OpenVPN
*shell# ifconfig -a* eth0 --> 192.168.1.1 (isp modem) eth1 --> 10.0.1.1 (centos with squid) tun0 --> 10.0.8.1 ( and p-t-p: 10.0.8.2)
*shell# cat /etc/openvpn/server.conf* local 192.168.1.1 port 1194 proto tcp dev tun0 ca keys/ca.crt cert keys/server.crt key keys/server.key # This file should be kept secret dh keys/dh2048.pem server 10.0.8.0 255.255.255.0 ifconfig-pool-persist ipp.txt push "dhcp-option DNS 8.8.8.8" keepalive 10 120 comp-lzo persist-key persist-tun status /var/log/openvpn/openvpn-status.log log /var/log/openvpn/openvpn.log log-append /var/log/openvpn/openvpn-append.log verb 3
*shell# cat firewall* .... otras reglas... iptables -A INPUT -p tcp --dport 1194 -j ACCEPT iptables -A FORWARD -p tcp --dport 1194 -j ACCEPT iptables -A FORWARD -i eth0 -d eth1 -j ACCEPT iptables -A FORWARD -i eth0 -d tun0 -j ACCEPT iptables -A FORWARD -i eth1 -d eth0 -j ACCEPT iptables -A FORWARD -i eth1 -d tun0 -j ACCEPT iptables -A FORWARD -i tun0 -d eth0 -j ACCEPT iptables -A FORWARD -i tun0 -d eth1 -j ACCEPT iptables -t nat -A PREROUTING --dport 80 -p tcp -i eth1 -j DNAT --to 192.168.1.1:3128 # squid para red interna iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE iptables -t nat -A POSTROUTING -i eth1 -j MASQUERADE iptables -t nat -A POSTROUTING -i tun0 MASQUERADE ... fin reglas...
Como les comento, me *conecto con exito*, *mi navegacion sale* con la IP del servidor de la empresa, pero no puedo acceder a los equipos internos con segmento 10.0.1.0/24.
Saludos !
-- M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22 E-Mail: angel.cantu@sie-group.net Web: http://www.sie-group.net/ Cd. Reynosa Tamaulipas.
-
angel jauregui