[CentOS-es] VPN lan to lan - OPENVPN + CENTOS + no conectan redes lan

paulcriollo en gmail.com paulcriollo en gmail.com
Mar Jun 1 21:55:53 EDT 2010 

modprobe iptable_nat

modprobe ip_nat_ftp

modprobe ip_conntrack_ftp



## POLITICAS POR DEFECTO POR LA VPN

iptables -F FORWARD

iptables -P FORWARD ACCEPT



iptables -A INPUT -i tun0 -j ACCEPT

iptables -A FORWARD -i tun0 -j ACCEPT

iptables -A FORWARD -o tun0 -j ACCEPT

iptables -A OUTPUT -o tun0 -j ACCEPT

iptables -A INPUT -i tap0 -j ACCEPT

iptables -A FORWARD -i tap0 -j ACCEPT

iptables -A INPUT -p udp --dport 1194 -j ACCEPT



iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE



iptables -A FORWARD -s 192.168.10.0/24 -j ACCEPT

iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE





## SE AUMENTAN EL NUMERO DE CONEXIONES SEGUIDAS

echo 65535 > /proc/sys/net/ipv4/ip_conntrack_max



## SE IGNORAN LOS ERRORES DEL ICMP

echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses



## SE HABILITA EL FORWARD DE LOS PAQUETES

echo 1 > /proc/sys/net/ipv4/ip_forward



## SE HABILITA LA PROTECCION CONTRA LOS SYN FLOODS

echo 1 > /proc/sys/net/ipv4/tcp_syncookies



## SE QUITAN LOS REGISTROS DE BROADCAST EN /var/log/messages

iptables -t mangle -I PREROUTING -j DROP -d 224.0.0.0/8



iptables -t nat -A PREROUTING -i eth1 -p tcp -s $LAN -d $NUBE --dport 80 -j
REDIRECT --to-port 3128



iptables -A INPUT -i eth0 -p tcp --dport 1194 -j ACCEPT



iptables -t nat -A POSTROUTING -p tcp -s $LAN -d $NUBE --dport 53 -j
MASQUERADE

iptables -t nat -A POSTROUTING -p udp -s $LAN -d $NUBE --dport 53 -j
MASQUERADE

iptables -t nat -A POSTROUTING -p tcp -s $LAN -d $NUBE --dport 5190 -j
MASQUERADE

iptables -t nat -A POSTROUTING -p udp -s $LAN -d $NUBE --dport 5190 -j
MASQUERADE

iptables -t nat -A POSTROUTING -p tcp -s $LAN -d $NUBE --dport 1863 -j
MASQUERADE

iptables -t nat -A POSTROUTING -p udp -s $LAN -d $NUBE --dport 1863 -j
MASQUERADE

iptables -t nat -A POSTROUTING -p tcp -s $LAN -d $NUBE --dport 1024:65535 -j
MASQUERADE

iptables -t nat -A POSTROUTING -p udp -s $LAN -d $NUBE --dport 1024:65535 -j
MASQUERADE



iptables -t nat -A POSTROUTING -s $LAN -d $NUBE -j SNAT --to-source $WAN



iptables -t nat -L –n



 EN CADA SERVER LEVANTA el dev tun0 sin problemas

EN EL SERVER2 SE LE ASIGNA UNA IP 10.8.0.6 en el dev tun0

YA QUE EL dev tun0 DEL SERVER1 tiene asignado 10.8.0.1



entre la red 10.8.0.0/24 puedo hacer ping sin problemas, PERO ENTRE LOS
SERVERS NO PUEDO HACER PING NI A LA 192.168.10.1 NI A LA 192.168.20.1, COMO
CONSECUENCIA UNA ESTACION DE LA RED1 NO PUEDE HACER PING A UNA PC DE LA RED2
Y VICEVERSA



DONDE ESTA LA FALLA



HAY QUE HACER ALGO EN EL ROUTER DEL SPEEDY CLASS DE LA RED2 O NO



DESDE LA RED2 QUIERO ACCEDER A UN SISTEMA QUE LO RTIENE UNA PC DE LA RED1,
ESE ES MI OBJETIVO PERO NO LOGRO.



ESPERO SUS COMENTARIOS



ATT.



PAUL CRIOLLO
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: http://lists.centos.org/pipermail/centos-es/attachments/20100601/eb547590/attachment.html

Más información sobre la lista de distribución CentOS-es