aparentemente sua tabela de rotas está correta, provavelmente os gateways das redes estão certo também: micros da LAN do firewall 1 com o gateway: 172.16.1.8
micros da LAN do firewall 2 com gateway: 172.17.0.1 a mascara de sub rede dos computadores das 2 lans também deve estar correta 255.255.0.0 não deve haver nenhuma rota a mais nos micros da LAN, somente o gateway padrão. Era pra estar tudo funcionando ai. Tenho um servidor com OpenVPN funcionando aqui com configuração um pouco diferente do seu. No meu a interface está em tap, no seu deve estar em tun. No meu, eu nem fiz rotas nas demais máquinas, coloquei o parametro direto no servidor. e quando eu me conecto nele ele me envia as rotas que funcionam normalmente. Minhas rotas ficam assim no conf do servidor: push "route 192.168.0.0 255.255.255.0" -->>®!©@®dø<<-- ________________________________ TECNOLOGIA EM REDES DE COMPUTADORES. PÓS GRADUANDO EM SISTEMAS DE INFORMAÇÃO LIVRE POR NECESSIDADE, LINUX POR OPÇÃO! NÃO SEJA PRÁTICO, SEJA EFICIENTE! USE A FORÇA, OLHE OS FONTES! ________________________________ De: Jorge Quiterio <jquiteri...@gmail.com> Para: Ricardo César <ricardo_...@yahoo.com> Cc: d-u-p <debian-user-portuguese@lists.debian.org> Enviadas: Terça-feira, 12 de Março de 2013 22:38 Assunto: Re: iptables openvpn Ricardo.. Não funcionou... ----------------------------------------------- Traceroute de lab (LAN1 - 172.16.0.0/16) para interface lan(eth1) de Firewall 2 root@lab:/# traceroute -n -m 10 172.17.0.1 traceroute to 172.17.0.1 (172.17.0.1), 10 hops max, 60 byte packets 1 172.16.1.8 0.459 ms 0.510 ms 1.015 ms 2 * * * 3 * * * 4 * * * 5 * * * 6 * * * 7 * * * 8 * * * 9 * * * 10 * * * ------------------------------------------------- Traceroute de lab (LAN1 - 172.16.0.0/16) para interface tun0 de firewall 1 root@lab:/# traceroute -n -m 10 10.9.0.1 traceroute to 10.9.0.1 (10.9.0.1), 10 hops max, 60 byte packets 1 10.9.0.1 0.631 ms 0.624 ms 1.204 ms ----------------------------------------------------- Traceroute de lab (LAN 1 - 172.16.0.0/16) para interface tun0 de firewall 2 root@lab:/# traceroute -n -m 10 10.9.0.2 traceroute to 10.9.0.2 (10.9.0.2), 10 hops max, 60 byte packets 1 172.16.1.8 0.641 ms 0.635 ms 1.190 ms 2 10.9.0.2 14.240 ms 14.797 ms 14.798 ms ------------------------------------------------------- Traceroute a partir de Firewall 2 para interface lan(eth1) de firewall 1 root@fw2:/# traceroute -n -m 10 172.16.1.8 traceroute to 172.16.1.8 (172.16.1.8), 10 hops max, 60 byte packets 1 172.16.1.8 41.545 ms 41.483 ms 41.494 ms --------------------------------------------------------- Trace router a partir de Firewall 1 para interface lan(eth1) de firewall 2 root@fw1:/# traceroute -n -m 10 172.17.0.1 traceroute to 172.17.0.1 (172.17.0.1), 10 hops max, 60 byte packets 1 172.17.0.1 14.357 ms 14.067 ms 14.261 ms --------------------------------------------------------- Obrigado No dia 13 de Março de 2013 à46 01:02, Ricardo César <ricardo_...@yahoo.com> escreveu: tenta adicionar estas rotas nos seus firewalls: >Firewall1: >ip route add 172.17.0.0/16 via 10.9.0.2 > > >Firewall2: >ip route add 172.16.0.0/16 via 10.9.0.1 > > >Caso não funcione libera o forward no seu firewall e faz um novo teste. >Firewall1: > >iptables --append FORWARD --in-interface eth1 --out-interface tun0 -s >172.16.0.0/255.255.0.0 -j ACCEPT > >iptables --append FORWARD --in-interface tun0 --out-interface eth1 -d >172.16.0.0/255.255.0.0 -j ACCEPT > > > >Firewall2: > >iptables --append FORWARD --in-interface eth1 --out-interface tun0 -s >172.17.0.0/255.255.0.0 -j ACCEPT > >iptables --append FORWARD --in-interface tun0 --out-interface eth1 -d >172.17.0.0/255.255.0.0 -j ACCEPT > > >Caso ainda não funcione, rode o comando abaixo em uma das máquinas da Lan1 e >me manda o resultado. > > >Caso a maquina seja windows rode: >tracert -d <IP de alguma máquina da lan2> >Ex: tracert -d 172.17.0.5 > > >Caso a máquina esteja com linux rode: > traceroute -n <IP de alguma máquina da lan2> >Ex: traceroute -n 172.17.0.5 > > > > >Testa lá e me fala se deu certo. >=D > >-->>®!©@®dø<<-- >>________________________________ >TECNOLOGIA EM REDES DE COMPUTADORES. >PÓS GRADUANDO EM SISTEMAS DE INFORMAÇÃO >LIVRE POR NECESSIDADE, LINUX POR OPÇÃO! >NÃO SEJA PRÁTICO, SEJA EFICIENTE! >USE A FORÇA, OLHE OS FONTES! > > > > >________________________________ > De: Jorge Quiterio <jquiteri...@gmail.com> >Para: Ricardo César <ricardo_...@yahoo.com> >Cc: d-u-p <debian-user-portuguese@lists.debian.org> >Enviadas: Terça-feira, 12 de Março de 2013 20:28 >Assunto: Re: iptables openvpn > > > >Ricardo, > >Firewall1 > tun0: 10.9.0.1 >eth1: 172.16.0.8/16 > > >Lan1: 172.16.0.0/16 > > >Firewall2 >tun0: 10.9.0.2 >eth1: 172.17.0.1/16 > >Lan2: 172.17.0.0/16 > > >Obrigado > > > > > > > >No dia 12 de Março de 2013 à19 16:24, Ricardo César <ricardo_...@yahoo.com> >escreveu: > >Como estão as configurações de IP. >> >> >>Me diga quais os IPs da interface TUN do firewall 1 e 2 e o ip da interfaces >>de rede do firewall ligado a LAN1 e LAN2 >> >> >>-->>®!©@®dø<<-- >>>>________________________________ >> TECNOLOGIA EM REDES DE COMPUTADORES. >>PÓS GRADUANDO EM SISTEMAS DE INFORMAÇÃO >>LIVRE POR NECESSIDADE, LINUX POR OPÇÃO! >>NÃO SEJA PRÁTICO, SEJA EFICIENTE! >>USE A FORÇA, OLHE OS FONTES! >> >> >> >> >>________________________________ >> De: Jorge Quiterio <jquiteri...@gmail.com> >>Para: d-u-p <debian-user-portuguese@lists.debian.org> >>Enviadas: Terça-feira, 12 de Março de 2013 8:19 >>Assunto: iptables openvpn >> >> >> >>Bom a todos!!! >> >>Tenho dois sites ligados via openvpn. >> >>nesses dois sites há um firewall configurados para trabalharem como gatway >>para internet... >> >> >> >>mais ou menos assim >> >> >>LAN 1--- Firewall 1---- ISP 1----------- ISP2------ Firewall 2----- LAN2 >> >> >>em Firewall 1 e em Firewall 2... existem três interfaces: >> >>eth0 - local >> >>eth1 - internet >> >>tun0 - vpn >> >> >>em Cada Firewall tenho... >> >> >> >>route add -net LAN[1,2]/24 gw tun0IP dev tun0 >> >> >> >>Consigo...: >> >> >>Pingar entre as interfaces tun0 das duas máquinas... >> >>Pingar entre as interfaces eth1 das duas máquinas.. >> >> >> >>No entanto não consigo fazer com que as máquinas das LAN's 1 e 2 se comuniquem >> >> >>Alguém tem alguma dica? >> >> >> >>Obrigado >> >> >> >>-- >>Jorge Quitério >>IT Specialist >>unix.co.ao >> >>Linux User: #533142 >>jquiteri...@gmail.com >>+244 927 161 667 >> >> >> >> >> > > >-- >Jorge Quitério >IT Specialist >unix.co.ao > >Linux User: #533142 >jquiteri...@gmail.com >+244 927 161 667 > > > > > -- Jorge Quitério IT Specialist unix.co.ao Linux User: #533142 jquiteri...@gmail.com +244 927 161 667
