Problemas con IP's en VPN

Miguel Oyarzo miguelaustro en gmail.com
Lun Ago 15 20:58:25 CLT 2011


On 16/08/2011 10:32 AM, Juan Pablo San Martín wrote:
> El día 15 de agosto de 2011 20:24, Miguel Oyarzo
> <miguelaustro en gmail.com>  escribió:
>> On 16/08/2011 10:04 AM, Juan Pablo San Martín wrote:
>>> El día 9 de agosto de 2011 19:51, Miguel Oyarzo
>>> <miguelaustro en gmail.com>    escribió:
>>>> Lo unico que se me ocurre es una programacion incompleta/incorrecta de
>>>> los
>>>> script a cada lado.
>>>> Estan omitiendo parametros por lo visto.
>>>>
>>>> Quizas deberias pegar tu sciript.
>>>> Estas usando VPN tipo Bridge (br0) en cada lado?
>>>>
>>>> Atte,
>>>>
>>>> =====================================
>>>> Miguel Oyarzo O.
>>>> =====================================
>>>>
>>>>
>>>> On 10/08/2011 3:42 AM, Juan Pablo San Martín wrote:
>>>>> Estimados:
>>>>>
>>>>>       Siguiendo sus consejos, finalmente monté una VPN entre las dos
>>>>> oficinas con OPENVPN: El elnace funciona bien, los pings entre las dos
>>>>> redes andan impecables, pero, se me presenta un problema. Desde la lan
>>>>> del servidor, al acceder a la red remota no realiza nateo de las IP
>>>>> (cada equipo se presenta con su propia IP), lo cual es bueno, pero del
>>>>> lado contrario, si realiza nateo, lo cual me trae varios problemas.
>>>>> Ambos IPtables están configurados de la misma manera. ¿Alguna idea?
>>>>>
>>>>> JPS
>>> Script en la sucursal:
>>>
>>> client
>>> dev tun
>>> proto udp
>>> remote xxx.yyy.zzz.aaa 8080
>>> resolv-retry infinite
>>> nobind
>>> persist-key
>>> persist-tun
>>> ca ca.crt
>>> key conce.key
>>> cert conce.crt
>>> tun-mtu 1500
>>> keepalive 10 120
>>> verb 4
>>>
>>> Script en el servidor:
>>>
>>> dev tun
>>> proto udp
>>> port 8080
>>> ca /etc/openvpn/keys/ca.crt
>>> cert /etc/openvpn/keys/server.crt
>>> key /etc/openvpn/keys/server.key
>>> dh /etc/openvpn/keys/dh1024.pem
>>> user nobody
>>> group nogroup
>>> server 10.6.0.0 255.255.255.0
>>> client-config-dir ccd
>>> ifconfig-pool-persist /etc/openvpn/clients.txt
>>> status /etc/openvpn/status.txt
>>> persist-key
>>> persist-tun
>>> push "route 172.16.0.0 255.255.248.0"
>>> push "route 192.168.100.0 255.255.255.0"
>>> route 192.168.101.0 255.255.255.0
>>> keepalive 10 120
>>> verb 3
>>> max-clients 25
>>> client-to-client
>>>
>>> Si necesitas algo más, favor avisar.
>>>
>>> JPS
>>>
>> pega tu POSTROUTING del lado del cliente (a ver como se ve)
>>
>> =====================================
>> Miguel Oyarzo O.
>> ICT Network Engineer
>> Melbourne, Australia
>> miguelaustro en gmail.com
>> http://linkedin.com/in/mikeaustralia
>> Linux User: # 483188 - counter.li.org
>> =====================================
>>
>>
>>
>>
> iptables -t nat -A POSTROUTING -s 192.168.101.0/24 -o eth0 -j MASQUERADE
>
> He probado también con y sin esta línea, pero pasa lo mismo
>
> iptables -t nat -A POSTROUTING -s 10.6.0.0/24 -o eth1 -j MASQUERADE
> (esta línea aparecía en los ejemplos de configuración de OPENVPN).
>

este comando client-to-client definitivamente tiene que ver con la 
visibilidad de los equipos detras de cada extremo, deberias darle un 
vistaso a la documentacion.

No obstante estas corriendo la VPN cliente destras de NAT y ademas 
quieres crear un routed OpenVPN..  busca asi en gooogle:" OpenVPN behind 
nat"

Podras ver que algunos  agregan FORWARD -j accept -i tunX
y otros agrerarian mananualmente una ruta a 10.6.0.0 255.255.255.0 
(segun tu ejemplo), del lado de tu cliente.

Lo que te pasa es un problema mas o menos habitual y hay mas de una 
forma de resolverlo.

regards!

=====================================
Miguel Oyarzo O.
ICT Network Engineer
Melbourne, Australia
miguelaustro en gmail.com
http://linkedin.com/in/mikeaustralia
Linux User: # 483188 - counter.li.org
=====================================





Más información sobre la lista de distribución Linux