Forums:
Hola a todos
Bueno he implementado un servidor VPN en CentOS con OpenVPN para acceder a la red interna desde una máquina remota (Configuración Roadwarrior). La red donde se encuentra mi servidor (eth1) sale a Internet a través de un Proxy-firewall que se encuentra en la red externa (eth0).
Red externa (eth0): 192.168.1.0
Red Interna (eth1): 192.168.3.0
IP de servidor Proxy-firewall para red externa: 192.168.1.40
IP de servidor Proxy-firewall para red interna: 192.168.3.40
IP real de servidor VPN: 192.168.3.50
IP de cliente interno Windows: 192.168.3.60
La implementación la realicé y funciona,
IP externa asignada por VPN a host remoto: 10.8.0.6
IP servidor VPN: 10.8.0.1
Como ven, un host remoto (Windows) accede al servidor VPN y se le asigna una IP para que pertenezca a la VPN (10.8.0.6), y puedo hacer ping entre el host remoto y el servidor VPN y también a su IP real (192.168.3.50), pero a la máquina 192.168.3.60 que pertenece a la red Interna no le puedo hacer ping.
Mi configuración es la siguiente:
Del servidor:
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.3.0 255.255.255.0"
#Ruta para que los clientes alcancen la red local del server
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
Persist-tun
status openvpn-status.log
verb 4
Del cliente (es Windows)
client
dev tun
proto udp
remote IPSservidorVPN 1194
resolv-retry infinite
Nobind
persist-key
persist-tun
ca ca.crt
cert cliente1.crt
key cliente1.key
comp-lzo
verb 4
Y las reglas que implementé para acceder al servidor VPN en mi servidor Proxy-firewall (con iptables) son las siguientes:
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -A INPUT -s 192.168.3.0/255.255.255.0 -i eth1 -j ACCEPT
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A INPUT -i tap+ -j ACCEPT
iptables -A FORWARD -i tap+ -j ACCEPT
iptables -A INPUT -p udp --dport 1194 -j ACCEPT
iptables –t nat -A PREROUTING -i eth0 -p udp -m udp --dport 1194 -j DNAT --to-destination 192.168.3.50:1194
iptables –t nat -A POSTROUTING -s 192.168.3.0/255.255.255.0 -o eth0 -j MASQUERADE
He estado buscando en Internet y dicen que puede ser por que faltan reglas en el iptables o que faltan rutas, no se que reglas me pueden faltar o que rutas….
Espero haber explicado bien y me puedan ayudar….
la maquina 192.168.3.60 tiene puerta de enlace
el servidor linux?,
tu servidor tiene habilitado el ip forward?
revisa eso.
no tengo habilitado el
no tengo habilitado el ip_foward en el servidor (192.168.3.50), y la puerta de enlace de mi red interna (192.168.3.50 y 192.168.3.60) es la 192.168.3.40, que es una de las IP de mi PROXY-FIREWALL
aver porfa que debo de modificar
pues no se si puedes tener un vpn de esa forma
y si se puede seria muy util pero yo no se como, para hacer vpn tienes que habilitar el ip_forward ademas cuando le haces ping a una maquina en tu lan ella necesita saber por donde contestar en todo caso tu gateway o puerta de enlace, pon tus maquinas apuntando al server que tiene vpn habilitas el ip forward y listo te va a funcionar.
OK...ya funciona el ping
OK...ya funciona el ping hacia la red habilitando el ip_foward en el servidor VPN y poniendoles como puerta de enlace a los otros equipos de la red interna la IP del mi servidor VPN.
No queria cambiar la puerta de enlace, porque pensaba que mi red no iba a poder salir a Internet a traves de mi proxy y por eso les pongo como puerta de enlace a la IP de mi servidor PROXY squid, pero aun poniendo la puerta de enlace de mi servidor VPN si se conecta al proxy....GRACIAS
el proxy es un proxy cache
solo te maneja todo lo que es web, no maneja conexiones pop3 ni nada que no sea web, realmente lo que hace el proxy es guardar en disco las paginas visitadas para que cuando la vuelvas a consultar te acelere las cargas de las mismas paginas para evitar usar el ancho de banda, no necesitas ponerle puerta de enlace a tus equipos si usas un cache a menos que hagas de nat y también uses proxy transparente, seguramente no lo usas así entonces tienes que programar cada equipo para que sus exploradores se conecten al puerto del proxy, si tienes un linux para que usas otro para vpn yo tengo en el mio todo, proxy, nat, firewall, vpn, QoS ftp, mail server, webserver. no pongo varios equipos para diferentes usos. linux es bien completo. pero así pienso yo porque no voy a poner 1 equipo para cada cosa si uno solo hace todo sin problemas. a menos que sea critico y necesite tener habilitados los servicios independientemente por si falla el equipo no se caiga la red pero dejame ver eso me a pasado pocas veces en el año.
saludos.