Problemas con IP's en VPN
Juan Pablo San Martín
coyotedemon en gmail.com
Mar Ago 23 12:44:32 CLST 2011
Le he dado varias vueltas al asunto, he buscado ene google, pero no
hay vueltas. Detallo más mi caso.
En la Oficina A tengo un server con openvpn. Este equipo a su vez hace
de gateway de una Central Telefónica.
En la oficina B tengo otro server con openvpn (que hace el tunes con
A), que también es gateway para la salida a internet de una red local
y de una central telefónica. Ambas centrales (con SIP) deberían
conectarse, y poder llamar entre anexos, pero eso solo funciona desde
un lado a otro (desde un anexo de la oficina A a otro de la oficina
B). Al revés no solo no hay audio, sino que no se puede realizar la
llamada. Al mismo tiempo, la central telefónica de B dice que no puede
conectarse con la central telefónica de A, pero al revés si está
conectada.
Aquí más datos:
OFICINA A:
Central telefónica: 192.168.100.10/24
Servidor: 192.168.100.1/24
172.16.1.4/21 (Para acceso a red local de datos).
10.6.0.1/24 (Tunel)
X.X.X.X/X (IP Publica)
OFICINA B:
Central telefonica: 192.168.101.10/24
Servidor: 192.168.101.1/24
10.6.0.14/24 (tunel)
YYY.YYY.YYY.YYY/Y (Ip Publica).
Cualquier indicio de ayuda me puede servir.
JPS
El día 15 de agosto de 2011 20:58, Miguel Oyarzo
<miguelaustro en gmail.com> escribió:
>
> On 16/08/2011 10:32 AM, Juan Pablo San Martín wrote:
>>
>> El día 15 de agosto de 2011 20:24, Miguel Oyarzo
>> <miguelaustro en gmail.com> escribió:
>>>
>>> On 16/08/2011 10:04 AM, Juan Pablo San Martín wrote:
>>>>
>>>> El día 9 de agosto de 2011 19:51, Miguel Oyarzo
>>>> <miguelaustro en gmail.com> escribió:
>>>>>
>>>>> Lo unico que se me ocurre es una programacion incompleta/incorrecta de
>>>>> los
>>>>> script a cada lado.
>>>>> Estan omitiendo parametros por lo visto.
>>>>>
>>>>> Quizas deberias pegar tu sciript.
>>>>> Estas usando VPN tipo Bridge (br0) en cada lado?
>>>>>
>>>>> Atte,
>>>>>
>>>>> =====================================
>>>>> Miguel Oyarzo O.
>>>>> =====================================
>>>>>
>>>>>
>>>>> On 10/08/2011 3:42 AM, Juan Pablo San Martín wrote:
>>>>>>
>>>>>> Estimados:
>>>>>>
>>>>>> Siguiendo sus consejos, finalmente monté una VPN entre las dos
>>>>>> oficinas con OPENVPN: El elnace funciona bien, los pings entre las dos
>>>>>> redes andan impecables, pero, se me presenta un problema. Desde la lan
>>>>>> del servidor, al acceder a la red remota no realiza nateo de las IP
>>>>>> (cada equipo se presenta con su propia IP), lo cual es bueno, pero del
>>>>>> lado contrario, si realiza nateo, lo cual me trae varios problemas.
>>>>>> Ambos IPtables están configurados de la misma manera. ¿Alguna idea?
>>>>>>
>>>>>> JPS
>>>>
>>>> Script en la sucursal:
>>>>
>>>> client
>>>> dev tun
>>>> proto udp
>>>> remote xxx.yyy.zzz.aaa 8080
>>>> resolv-retry infinite
>>>> nobind
>>>> persist-key
>>>> persist-tun
>>>> ca ca.crt
>>>> key conce.key
>>>> cert conce.crt
>>>> tun-mtu 1500
>>>> keepalive 10 120
>>>> verb 4
>>>>
>>>> Script en el servidor:
>>>>
>>>> dev tun
>>>> proto udp
>>>> port 8080
>>>> ca /etc/openvpn/keys/ca.crt
>>>> cert /etc/openvpn/keys/server.crt
>>>> key /etc/openvpn/keys/server.key
>>>> dh /etc/openvpn/keys/dh1024.pem
>>>> user nobody
>>>> group nogroup
>>>> server 10.6.0.0 255.255.255.0
>>>> client-config-dir ccd
>>>> ifconfig-pool-persist /etc/openvpn/clients.txt
>>>> status /etc/openvpn/status.txt
>>>> persist-key
>>>> persist-tun
>>>> push "route 172.16.0.0 255.255.248.0"
>>>> push "route 192.168.100.0 255.255.255.0"
>>>> route 192.168.101.0 255.255.255.0
>>>> keepalive 10 120
>>>> verb 3
>>>> max-clients 25
>>>> client-to-client
>>>>
>>>> Si necesitas algo más, favor avisar.
>>>>
>>>> JPS
>>>>
>>> pega tu POSTROUTING del lado del cliente (a ver como se ve)
>>>
>>> =====================================
>>> Miguel Oyarzo O.
>>> ICT Network Engineer
>>> Melbourne, Australia
>>> miguelaustro en gmail.com
>>> http://linkedin.com/in/mikeaustralia
>>> Linux User: # 483188 - counter.li.org
>>> =====================================
>>>
>>>
>>>
>>>
>> iptables -t nat -A POSTROUTING -s 192.168.101.0/24 -o eth0 -j MASQUERADE
>>
>> He probado también con y sin esta línea, pero pasa lo mismo
>>
>> iptables -t nat -A POSTROUTING -s 10.6.0.0/24 -o eth1 -j MASQUERADE
>> (esta línea aparecía en los ejemplos de configuración de OPENVPN).
>>
>
> este comando client-to-client definitivamente tiene que ver con la
> visibilidad de los equipos detras de cada extremo, deberias darle un vistaso
> a la documentacion.
>
> No obstante estas corriendo la VPN cliente destras de NAT y ademas quieres
> crear un routed OpenVPN.. busca asi en gooogle:" OpenVPN behind nat"
>
> Podras ver que algunos agregan FORWARD -j accept -i tunX
> y otros agrerarian mananualmente una ruta a 10.6.0.0 255.255.255.0 (segun tu
> ejemplo), del lado de tu cliente.
>
> Lo que te pasa es un problema mas o menos habitual y hay mas de una forma de
> resolverlo.
>
> regards!
>
> =====================================
> Miguel Oyarzo O.
> ICT Network Engineer
> Melbourne, Australia
> miguelaustro en gmail.com
> http://linkedin.com/in/mikeaustralia
> Linux User: # 483188 - counter.li.org
> =====================================
>
>
>
>
Más información sobre la lista de distribución Linux