3- Configuración de OpenVPN Red a Red

Imagen de Epe

Lo mejor de la configuración red-red es que es casi idéntica a la de roadwarrior.

Esto es El Road Warrior está conectado a una red, pero él es un cliente sólo, de ésta forma:

El road warrior, con la configuración antes explicada puede perfectamente ver las máquinas de la LAN (192.168.1.0/24)

Pero qué tal que pusiéramos una red detrás del roadwarrior?, quedaría algo así:

Oh, el Road warrior es en realidad otro linux.

Linux1: Está conectado a la red 192.168.1.0/24

Linux2: Está conectado a la red 192.168.2.0/24

Al finalizar de configurar, realmente lo que sucederá es que ambos extremos (servidores) de la VPN agregan una ruta estática para cada uno de ellos poder alcanzar la red LAN del otro:

[b]Fíjense, es IMPERIOSO que ambas redes tengan diferente numeración, es decir, que sean dos redes IPs diferentes, en éste caso lo son.[/b]

Mediante OpenVPN podemos hacer que ambas redes puedan verse. Es decir, por ejemplo, que podamos hacer ping entre máquinas de la LAN1 y de la LAN2 (por ejemplo: 192.168.1.6 haciendo ping a 192.168.2.78 sin inconveniente alguno).

Configuración inicial:

Como bien indiqué anteriormente, es una configuración muy parecida al roadwarrior. El RoadWarrior sería Linux2 y el servidor sería Linux1.

Hay que configurar entonces linux1 para ser el servidor, con todas las de la ley anteriormente explicado

Hay que configurar linux2 para que actúe como un cliente (road warrior) con todas las de la ley anteriormente explicados.
[b]
Adiciones a la configuración:[/b]

Asumamos que el ejemplo anterior aplica. Es decir, la subred del cliente (linux2) es la 192.168.2.0/24 el cliente le llamaremos [b]client2[/b] (de acuerdo a los certificados y claves generados como road warrior).

[b]Cambios en el servidor:[/b]

Hay que crear el directorio ccd:


mkdir /etc/openvpn/ccd

Dentro de éste directorio creamos un archivo con el nombre del cliente (client2) que contiene la siguiente linea:

iroute 192.168.2.0 255.255.255.0

Aquí lo que le indicamos al servidor es que al conectarse client2 (este cliente remoto que es un linux con una red detrás) que por favor cree una ruta hacia la red 192.168.2.0/24 que vaya hacia ese cliente remoto. Con eso logramos que las máquinas de la red del servidor puedan ver a las del cliente.

Después hay que agregar esta linea a [i]/etc/openvpn/server.conf[/i]

client-config-dir ccd
route 192.168.2.0 255.255.255.0
client-to-client
push "route 192.168.2.0 255.255.255.0"

La directiva client-config-dir permitirá al servidor buscar dentro del directorio ccd configuraciones especiales según el cliente (en este caso client2).

¿Por qué tantas veces directivas de route? Sinceramente: no lo entiendo pero así es.

[b]Tenga cuidado, en este segundo caso no la agregamos en ccd/client2 sino en el archivo de configuración del servidor (server.conf en mi caso)[/b]

Cambios en el cliente
En el cliente simplemente tenemos que poner en 1 el ip_forwarding, esto se hace tal y como se realizó en el servidor: editando el archivo /etc/sysctl.conf y después ejecutando:

sysctl -p

debe salirte:

net.ipv4.ip_forward = 1

Ya, con esto las máquinas de una red podrán ver a las de la otra red.

Si tuvieras varias redes remotas (client2 y client3 por ejemplo) entonces debes crear un archivo llamado client3 dentro de ccd con la configuración propia de esa red. Y agregar las lineas de las rutas (route y push "route...") en el server.conf

No te olvides de reiniciar los clientes.

Me funciona.. pero si notas algo que falta o que sobre, bienvenido el comentario.

Comentarios

puerto

Imagen de mmontilla1306

Ya depure el archivo tanto del cliente como del servidor y tengo un remote debido a que mi servidor recibe ip dinamica y mi departamneto se debe conectar desde otras redes para realizar el mantenimiento correspondiente... me podrias decir como abro ese bendito puerto. Gracias

Manuel A. Montilla V
Analista de Sistemas
Insecticidas Internacionales C.A
Cagua. Edo Aragua-Venezuela
+58 414 4877196

Manuel A. Montilla V
Asesor Informatico
+58 0424 355 27 15

firewall, en el firewall

Imagen de Epe

firewall, en el firewall está cerrado, de momento no te orientes al vpn, sino al firewall, abre el puerto. y no uses tcp, en serio, te puede quitar un poco de performance.

Saludos
epe
--
EcuaLinux.com
Ecuador: +(593) 9 9246504, +(593) 2 3412402
USA: +1 404 795 0321, España: +34 917617884


Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre

se debe usar udp, no debe

Imagen de Epe

se debe usar udp, no debe usar tcp. A no ser que no quede otro remedio. tcp tiene varios mecanismos sobre cómo transmitir los pquetes y controlar los errores que no son realmente necesarios en el caso de la vpn por lo que agregar esos mecanismos puede hacer que demore un poco más el sistema.

Saludos
epe
--
EcuaLinux.com
Ecuador: +(593) 9 9246504, +(593) 2 3412402
USA: +1 404 795 0321, España: +34 917617884


Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre

Hola como van.... He estado

Hola como van....

He estado trabajando en la configuracion de las VPN, probe la RoadWarrior desde una LAN hacia un equipo Windows, ok, funciona perfecto, pero me llego la hora de montar una red a red (LAN 1= 192.168.4.0, servidor=192.168.4.1;; LAN2= 192.168.10.0, servidor=192.168.10.1),

LAN_1____________________________________VPN____________________________________LAN_2
192.168.4.0/24----192.168.4.1>200.118.x.x====internet===201.x.x.x<192.168.10.1----192.168.10.0/24
equipos_windows---servidor_Linux_(2_NIC)--------------------servidor_Linux(2_NIC)-----equipos_windows

con los siguientes resultados:

-Mando un ping desde un equipo dentro de alguna de las 2 LAN a otro equipo de la otra LAN (al otro extremo del tunel) y no responde ( por ejemplo desde el 192.168.4.9 hacia el 192.168.10.9).
-Mando un ping desde algun SERVIDOR a un equipo de la LAN que este al otro lado de la punta de la VPN, y responde perfectamente( por ejemplo desde el 192.168.4.1 hacia el 192.168.10.9)
-Mando un ping desde algun equipo de la LAN hacia el servidor que este al otro lado de la punta de la VPN, y no responde( por ejemplo desde el 192.168.4.9 hacia el 192.168.10.1)

Resumiendo, solo responde al ping las peticiones que se hacen desde el mismo servidor hacia alguna LAN, pero no desde algun equipo de una lan a otro equipo de la otra lan.

Supongo que es un problema de ruteo, pero no se como solucionarlo, por favor pido una ayudita al respecto.

es un problema en el

Imagen de Epe

es un problema en el firewall, revisa esa parte, me pasó así y organizando las reglas se arregló.

Saludos
epe
--
EcuaLinux.com
Ecuador: +(593) 9 9246504, +(593) 2 334 2795
USA: +1 305 359 4495, España: +34 91 7617884


Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre

Necesito mucha ayuda!!

Defintivamnete soy muy novato en esto ... ley el articulo completo y me funciono el ping entre las redes .. pero a la hora de revisar carpertas compartidas ... me paso algo raro ... desde la red del servidor principal del open vpn ... puedo ver las carpetas compartidas del servidor .. y viceversa para la red del servidor de la seguna red, entre servidores puedo ver tambien las carpetas ... el conflico es si quiero acceder a carpetas de la red contaria, sea desde servidor o la red mismas (ambas redes). Por lo que deduzco que es problema del firewall ... Estoy usando shorewall y ya lei la documentacion.. y he ehecho todo lo que se muestra peor no puedo hacer que entre las redes vean sus equipos. Me podrian colaborar con un ejemplo de openvpn y shorewall para dos redes.
Gracias!!

Estimados amigos de

Estimados amigos de Ecualug.

Tengo el mismo problema de que desde las maquinas servidor puedo hacer ping a la lan al otro lado del tunel VPN, pero si intento hacer ping de LAN a LAN, es imposible.

Tengo simulado, el escenario de LAN -> Firewall >>>> INTERNET >>>>> Firewall -> Lan.

En las maquinas linux no tengo ninguna regla de firewall, por lo cual no deberia tener ningun problema con el ping entre las LAN.

agradezco cualquier ayuda

MI infraestructura

Buenos días, señores yo intento conectar 3 oficinas a traves de vpn, en cada una de ellas tengo un server linux debian en configuracion de consola, como proxy y detras de ellos toda la red.
tengo algunas preguntas.
la primera es como muevo mis archivos del server a los clientes?
es necesario usar iptables?
necesito routers entre las sedes? o solo openvpn es suficiente?

Páginas