VPN entre MATRIZ e FILIAIS (URGENTE)

[marcellod9]

Olá a Todos,

Galera estou precisando de uma ajuda urgente, tenho um Indian. 2.4 instalado, preciso conectar quatro filiais a esse indian. Através da VPN, meu cenário e o seguinte:

MATRIZ – 172.20.1.0/24

FILIAL1 – 172.20.2.0/24

FILIAL2 – 172.20.3.0/24

FILIAL3 – 172.20.4.0/24

FILIAL4 – 172.20.5.0/24

Estou usando a VPN (GW2GW), quando reinicio o endian da Filial1 a conexão e estabelecida, acessando o endian da filial1 via ssh eu consigo a comunicação com toda a rede da MATRIZ mais as máquinas da filial1 não se comunicam com as máquinas da MATRIZ.

Já tentei vários tutoriais aqui da comunidade mais nenhum funcionou, se que alguém que já tem esse cenário configurado pode me mandar uma passo a passo???

Por favor, e Urgente!

[Eduardo Silva]

Marcello,

Você tem rotas entre todas as VPNS?

Experimente fazer um traceroute de uma máquina que fique na matriz para uma máquina em uma das filiais, veja qual o caminho que foi percorrido.

Caso precise adicionar rotas, no servidor da Matriz (onde rota o servidor vpn), configure a opção VPNOpenVPN server advanced “Push these networks” e coloque a rede da matriz ali.

Depois nas contas de cada cliente, configure a opção: “networks behind this client”

Também pode ser necessário que você modifique alguma regra em firewall VPN Traffic.

[]’s

[marcellod9]

Olá Eduardo obrigado pela dica.

O que acontece e o seguinte:

Estou testando a primeira conexão que tem o seguinte cenário.

Matriz – 172.20.1.0/24

Filial – 172.20.2.0/24

A conexão esta sendo estabelecida normalmente, tanto que da Matriz eu consigo acessar todas as máquinas da filial, o problema e que da Filial eu não consigo acessar nada na Matriz.

Alguma dica?

Obrigado!

[thiagomespb]

Já tentou desabilitar o IDS ? outra coisa.. vc tem que fazer duas conexões.. de Matriz para Filial e outra Filial para matriz.

[Eduardo Silva]

Marcello,

Verifique as rotas e o firewall como eu havia falado…

Não é necessário, correto, nem prático estabelecer duas VPNs entre as duas unidades apenas para este fim.

No openvpn você consegue rotear pacotes tanto para o lado do cliente quanto para o lado do servidor, desde que faça as configurações corretamente.

[marcellod9]

Eduardo,

Dei um tracert da matriz em direção a um IP da filial e o resultado foi o seguinte,

IpMatriz – 172.20.1.122

IpFilial – 172.20.2.49

#############################################################################

# 1 260ms 217ms <1ms Nome.dominio.com.br [172.20.1.122] #

# 2 47ms 46ms 47ms vpn.usuariovpn.dominio.com.br [172.20.1.220] #

# 3 45ms 46ms 47ms 172.20.2.49 #

#############################################################################

Como eu disse, da matriz eu consigo enxergar as maquinas da filial.

No Firewall da MATRIZ “VPNtrafic” criei em rota assim:

origem destino serviço

QUALQUER QUALQUER QUALQUER

No firewall da FILIAL “VPNtrafic” ficou assim:

origem destino serviço

QUALQUER Verde+Openvpn QUALQUER

Alguma dica??

[marcellod9]

Olá Eduardo, tenho novidades!

Desabilitei o tráfego VPN nas duas pontas e continuo tenho acesso da matriz para a filial, agora estou conseguindo pingar da filial até a placa LAN do endian da matriz, mais ainda continuo sem acesso nas maquinas da rede da matriz.

Dei um tracert da filial para a matriz até a placa LAN do meu Endian:

#############################################################################

# 1 1ms 1ms <1ms Nome.dominio.com.br [172.20.2.250] #

# 2 47ms 46ms 47ms 172.20.1.122 #

#############################################################################

Percebi nesse tráfego que ele deu 2 saltos, 1 a menos que o da matriz para a filial, e que ele não deu o salto pelo usuário da VPN como no primeiro teste.

[marcellod9]

Olá Eduardo,

Amigo obrigado pelas dicas, consegui resolver o problema, o que eu fiz foi criar uma regra no NAT do Endian direto do utilizador da VPN (Usuário) para a minha rede verde (LAN), assim funcionou perfeitamente.

Obrigado mais uma vez

Abraços

[Eduardo Silva]

Olá Marcello,

Que bom que você conseguiu, apenas mais uma dica, se o nat está fazendo funcionar, provavelmente o problema é relacionado a rotas mesmo. Experimente ver as rotas ativas em cada unidade via ssh ou na web interface em: StatusNetworkRouting Table Entries

Você em cada lado, você deveria ter rotas para a rede green da outra unidade remota apontando para a vpn.

[]’s

[marcellod9]

Obrigado Eduardo suas dicas forão de uma ajuda enorme, só mais uma coisa segue aqui a minha tabela tabela de roteamento, desculpe a minha ignorancia mais ainda não sei ler tabelas de roteamento.

MATRIZ

Kernel tabela de roteamento IP

Destino Flags gateway Mascara Genérica Métrica Ref Uso Iface

0.0.0.0 0.0.0.0 255.255.255.248 U 0 0 0 eth2

187.xxx.xx.xxx 0.0.0.0 255.255.255.248 U 0 0 0 eth1

201.xx.x.xxx 0.0.0.0 255.255.255.248 U 0 0 0 eth2

172.20.5.0 255.255.255.0 UG 172.20.1.211 0 0 0 br0

172.20.2.0 255.255.255.0 UG 172.20.1.220 0 0 0 br0

192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br1

172.20.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br0

0.0.0.0 187.xxx.xx.xxx 0.0.0.0 UG 0 0 0 eth1

FILIAL

Kernel tabela de roteamento IP

Destino Flags gateway Mascara Genérica Métrica Ref Uso Iface

172.20.5.0 255.255.255.0 UG 172.20.1.250 0 0 0 tap2

172.20.4.0 255.255.255.0 UG 172.20.1.250 0 0 0 tap2

172.20.3.0 255.255.255.0 UG 172.20.1.250 0 0 0 tap2

172.20.2.0 0.0.0.0 255.255.255.0 U 0 0 0 br0

172.20.1.0 0.0.0.0 255.255.255.0 U 0 0 0 tap2

0.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 eth1

10.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 eth1

0.0.0.0 10.1.1.1 0.0.0.0 UG 0 0 0 eth1

Você acha que é melhor fazer o roteamento correto ou pelo NAT me atende?

[Autor]

Posts