On Fri, 2006-05-26 at 14:24 -0300, leo_jfa wrote:
> Caros,
> apesar de setado no arquivo de configuração do meu cliente openvpn, ele nao
> conectar na porta especificada,
> abaixo segue um netstar feito no cliente e no servidor:
>
> No servidor:
> tcp 0 0 10.0.12.101:5001 x.x.x.x:36984 ESTABLISHED 0
> 17224
>
> No client
> spyder:/etc/openvpn# netstat -ne | grep 5001
> tcp 0 0 192.168.1.99:36984 x.x.x.x:5001 ESTABELECIDA0
>
> Pela analogia que eu fiz, pude concluir que a conexão que o servider esta
> ouvindo na porta 5001 mas o cliente
> esta "falando" em outra porta, no caso a 36984. Em virtude disso estou tendo
> que deixar o FORWARD do meu
> firewall aberto para a maquina que roda o servidor. Alguem conhece alguma
> forma de fazer o cliente "falar" na
> por da que eu designei no servidor,
> abaixo vou postar o meu cliente.conf e como vocês vão poder observar la esta
> designando a porta 5001 e para o
> cliente.
>
> # Exemplo de configuração do OpenVPN
> # para a Matriz, usando o modo SSL/TLS e
> # chaves RSA.
> #
> # '#' ou ';' são comentarios.
> #
> # Obs: Tradução livre do arquivo
> # sample-config-files/tls-office.conf
> # no diretorio de sources do OpenVPN.
>
> # Usar como interface o driver tun.
> dev tun
>
> # 10.10.0.1 é o nosso IP local (matriz).
> # 10.10.0.2 é o IP remoto (filial).
> ifconfig 192.168.66.5 192.168.66.6
>
> # Diretorio onde estão todas as configurações
> cd /etc/openvpn/certs
>
> # O OpenVPN irá executar esse script
> # quando o tunel estiver carregado.
> # Ideal para setar as rotas
> ;up ./matriz.up
> ;route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.66.6
>
> # No modo SSL/TLS a matriz irá
> # assumir a parte do servidor,
> # e a filial será o cliente.
> tls-server
>
> # Parametros Diffie-Hellman (apenas no servidor)
> dh dh.pem
>
> # Certificado da CA
> ca my-ca.crt
>
> # Certificado publico da Matriz
> cert matriz.crt
>
> # Certificado privado da Matriz
> key matriz.key
>
> # OpenVPN usa a porta 5000/UDP por padrão.
> # Cada tunel do OpenVPN deve usar
> # uma porta diferente.
> # O padrão é a porta 5000
> proto tcp-server
> port 5001
>
> # Habilitando autenticação
> ;./auth-pam.pl
>
> # Mudar UID e GID para
> # "nobody" depois de iniciado
> # para uma segurança exta.
> ; user nobody
> ; group nobody
>
> # Envia um ping via UDP para a parte
> # remota a cada 15 segundos para manter
> # a coneção em firewall statefull
> # Muito recomendado, mesmo se você não usa
> # um firewall baseado em statefull.
> ping 15
>
> # Nivel dos logs.
> # 0 -- silencioso, exeto por erros fatais.
> # 1 -- quase silencioso, mas mostra erros não fatais da rede.
> # 3 -- médio, ideal para uso no dia-a-dia
> # 9 -- barulhento, ideal para solução de problemas
> verb 3
>
> Se alguem puder me dar alguma ideia agradeço.
>
> Att.
>
> Leandro Moreira.
>
> _______________________________________________
> Debian-RS mailing list
> [EMAIL PROTECTED]
> http://listas.cipsga.org.br/cgi-bin/mailman/listinfo/debian-rs
Prezados,
Posso estar enganado, todavia isto me parece estar acontecendo devido ao
NAT, ou seja, Tradução de endereços de rede. Teu modem, cria um
mapeamento TCP do ip:porta origem - ip saída(único):porta
Assim, permtie que vários dos endereçso inválidos naveguem na Internet
com um único endereço.
É possível sim fazer alguma coisa:
Sugiro coloca rum gateway linux, que também pode ser um proxy cache, por
exemplo.
Ele pode conter regras de pre-routing do iptables especificando, que
sempre que teu cliente vpn (com um ip conhecido 'a priori') enviar
pacotes através do teu gateway linux, o mapeamento deverá ser em 1:1 nas
portas. Exemplo:
vpnclient: 10.10.10.15/24
gateway linux: 10.10.10.1/24
192.168.13.2/30
modem: 192.168.13.1/30
201.205.174.23/29
tabela de pré-roteamento iptables-NETFILTER:
se origem: 10.10.10.15:5001/24 e (não destinada ao gateway, mas através
do gateway), então: NAT para 192.168.13.2:15001/30
se origem: 10.10.10.16:5001/24 e (não destinada ao gateway, mas através
do gateway), então: NAT para 192.168.13.2:16001/30
e assim por diante.
Assim, o teu firewall/modem que hoje faz NAT não terá mais portas
aleatórias, e fará nat sempre a partir de um único endereço inválido, o
que lhe permitirá fazer o mapeamento 1:1 das portas.
Abraços.
--
Eng. Ms. Fernando Augusto Bender
Pesquisador em Controle Automático
http://www.faraway.mychost.com
+55 51 8401 4413
Use Linux: http://www.debian.org
'Vi sus caras de resignación
los vi felices llenos de dolor
ellas cocinaban el arroz
el levantaba sus principios
de sutil emperador
Todo al fin se sucedió
solo que el tiempo no los esperó
la melancolia de morir en este mundo
y de vivir sin una estupida razón.' Fito Paez
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
