El Viernes, 13 de Marzo de 2009 Alejandro C. González Chávez escribió:
Camaleón disculpa mi ignorancia, ya puse las reglas en un script y habilite a Susefirewall para que lo leyera pero no funciona, Por otro lado justamente esa parte que mencionas es la que no entiendo, yo tengo el ip forwarding habilitado pero configurar una ruta de retorno desde la pasarela al servidor openvpn, cual es la pasarela?, por otro lado según lo que entiendo eso es cuando el openvpn esta en un servidor y la pasarela es otro equipo. En mi caso el openvpn esta instalado en el servidor linux que sirve de pasarela para mi LAN, es decir en mi servidor tengo una tarjeta con ip publica y otra tarjeta pegada a la LAN con una ip privada.
Saludos
A.C.G.CH. Telf: Casa 00505-5323667 Cel:00505-8354400 acgch@yahoo.com
¿Qué es lo que no entiendes?
[cliente] <-----VPN ---->[servidor] <----Red-Interna --->[equipos varios]
1- Conectividad cliente servidor vpn (esto ya lo tienes)
2- Conectividad cliente-->red interna (abre todo a los tuns de momento y trabajate las rutas o el masquerading)
3- reglas de filtrado y servicios (para asegurar la red y el cleintes si quieres "mas o menos el iptables -i tun+ -j ACCEPT que mencionabas...")
4- Colocar cada cosa en su sitio (reglas y rutas ) unas en los conf de openvpn y otros en susefirewall.
Te recomiendo hagas las pruebas a mano (iptables / ip route) y luego trates de hacer que cada parte del sistema haga su cometido (sufirewall / openvpn etc..)
Conviene controlar un poco de iptables /tablas NAT y FILTER sobre todo) antes de intentar saber si susefirewall ha hecho lo que pensabamos y no lo que le dijimos :-)
Susefirewall tiene su fichero de configuracion conviene leerselo ya que representa un gran trabajo de los devs y antes de quere reinverntar la rueda hay que saber que
tiene varias capacidades que no aparacen en la interfaz de Yast
El servidor de VPN debe hacer forwarding de tu ip para que llegues a la red interna. La red que uses en la VPN debe estar enrutada en tu red interna hacia la VPN,
sino puedes hacer masquerade con la ip interna de tu servidor de vpn para que así los paquetes de vuelta te lleguen al cliente.
Mira mi conf de cliente en plan sencilito:
secret /etc/openvpn/tls/static.key
auth md2
cipher blowfish
persist-key
dev tun0
mtu-disc yes
#mtu-test
#tun-mtu 1500
fragment 1300
mssfix
#persist-tun
#comp-lzo
port 1194
remote 212.128.XX.YYY:1194
ifconfig 10.8.0.2 10.8.0.1
keepalive 15 60
#up /etc/openvpn/script/tun-control
#down /etc/openvpn/script/tun-control
#up-restart
#
#up /etc/openvpn/scripts/fwmarkroute.up
#down /etc/openvpn/scripts/fwmarkroute.down
#up-restart
#up-delay
route 172.29.0.0 255.255.255.0 10.8.0.1 1
route 172.29.14.0 255.255.254.0 10.8.0.1 1
route 192.168.153.0 255.255.255.0 10.8.0.1 1
route 192.168.147.0 255.255.255.0 10.8.0.1 1
route 212.128.XX.ZZZ 255.255.255.255 10.8.0.1 1
route-delay 5
#redirect-gateway def1
# Use management interface
management 127.0.0.1 2222
management-query-passwords
management-hold
y en el servidor...
(por cortesía de susefirewall)
-A INPUT -i tun0 -j input_dmz
-A INPUT -i tun1 -j input_dmz
-A FORWARD -i tun0 -j forward_dmz
-A FORWARD -i tun1 -j forward_dmz
-A forward_dmz -i tun0 -o vlan46 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A forward_dmz -i tun1 -o vlan46 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A forward_dmz -i tun0 -o vlan64 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A forward_dmz -i tun1 -o vlan64 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A forward_dmz -i tun0 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A forward_dmz -i tun1 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
Esto se consigue desde yast/firewall o bien tocando directamente el fichero de susefirewall
te pongo algunas lineas interesantes:
sinosuke@quasar:/etc/sysconfig> grep FW_DEV SuSEfirewall2
FW_DEV_EXT="vlan46 vlan64"
FW_DEV_INT=""
FW_DEV_DMZ="tun0 tun1" <------ ¿ves? aquí estan las Tuns !!!
# internal or dmz interfaces in FW_DEV_INT or FW_DEV_DMZ.
# Requires: FW_DEV_INT or FW_DEV_DMZ, FW_ROUTE, FW_MASQ_DEV
# Old version of SuSEfirewall2 used a shell variable ($FW_DEV_EXT)
# Requires: FW_DEV_INT
# IP addesses! Hint: if FW_DEV_MASQ is set to the external interface
# FW_DEV_wlan="wlan0"
sinosuke@quasar:/etc/sysconfig> grep MASQ SuSEfirewall2
# masquerading with FW_MASQUERADE below if you want to masquerade
# Requires: FW_DEV_INT or FW_DEV_DMZ, FW_ROUTE, FW_MASQ_DEV
# This option is required for FW_MASQ_NETS and FW_FORWARD_MASQ.
FW_MASQUERADE="yes" <--------------- Esta es la ineresante
FW_MASQ_DEV="zone:ext"
FW_MASQ_NETS="0/0"
# table. Ie the forwarding rules installed by FW_MASQ_NETS do not
# *** Since you may use FW_NOMASQ_NETS together with IPsec make sure
FW_NOMASQ_NETS=""
# IP addesses! Hint: if FW_DEV_MASQ is set to the external interface
FW_FORWARD_MASQ=""
# if neither FW_FORWARD nor FW_MASQUERADE is set
# zones even if neither FW_FORWARD nor FW_MASQUERADE is set
En cuanto a lo demás recomiendo poner la interfaz tun en la DMZ (copia el fichero que está --- El vie 13-mar-09, Angel Alvarez De: Angel Alvarez Os adjunto los pantallazos de como lo tengo yo (Nota: Yo no
soy el guru ese, solo pasaba por aquí ;-). ) Yo tengo la wlan0 /eth0 como zona externa vmnet1 zona interna y tun0 / tun1 como zona dmz en la DMZ las tuns las levanta openvpn (1 perfil con clave
compartida y el otro un clientes TLS a mutiservidor TLS) en ambos perfiles tengo dadas de altas clases c del trabajo
a conveniencia (no cambio las rutas por defecto) Funciona bastante bien, y todo hay que decirlo, tengo el
VMWARE, el openvpn, el network-manager y el gestor de
perfiles
SUMF y la gestion de ancho de banda HTB del Susefirewall,
funcionando todo a la perfección (1) en 10.3 ¡Bien por
SUSE!(2) Bueno nunca he conseguido que funcione el modulo de
networmanager-openpvn y el kvpnc no me gusta asi que uso
kovpn (aunque
el autor me dijo que no lo mantendría y asi acaso lo hacia
sería para kde 4.x aka "The ugly desktop".) En fin si te vale y/o necesitas mas detalles pidelo. Como siempre, un placer el poder leer tantas cosas
inetersantes en esta lista!! Salu2 (1) vmware se entera de los cambios de red por un script de
hook en networmanager (si no recuerdo mal). (2) Pilas no incluidas El 2009-03-12 a las 14:11 -0700, Alejandro C.
González Chávez escribió: Buenos días a todos, les quiero preguntar
algo, tengo opensuse 11.0 e instalé el openvpn, modifique
el Susefirewall para poder establecer una conexión vpn
usando el udp 1194, deje el archivo de configuración tal
cual viene, solamente cambie la opcion push "route
192.168.1.0 255.255.255.0", esto con el objetivo de El Viernes, 13 de Marzo de 2009 Camaleón escribió:
poder accesar desde mi casa a la red interna donde esta
instalado el servidor vpn. La conexión se establece, puede hacer ping al servidor 10.8.0.1 pero yo quiero poder entrar a cualquiera
de los servidores internos sin ningun problema, estos son
servidores windows. --
Ningún personajillo ha sido vilipendiado si no es
necesario. El 'buen rollo' está en nuestras manos.
->>-----------------------------------------------
Clist UAH a.k.a Angel
---------------------------------[www.uah.es]-<<-- Hoy no has conseguido la iluminación divina. No importa
mañána será otro día... ¡Sé el Bello 51 de People en Español! ¡Es tu oportunidad de Brillar! Sube tus fotos ya. http://www.51bello.com/ --
No imprima este correo si no es necesario. El medio ambiente está en nuestras manos.
->>-----------------------------------------------
Clist UAH a.k.a Angel
---------------------------------[www.uah.es]-<<--
Mas vale POJO en mano que STRUTS volando.
--
Para dar de baja la suscripción, mande un mensaje a:
opensuse-es+unsubscribe@opensuse.org
Para obtener el resto de direcciones-comando, mande
un mensaje a:
opensuse-es+help@opensuse.org