Openvpn: clientes conectados ao servidor = firewall; mas não consigo acessar o banco de dados na LAN
Eu tenho 5 vlans:
vlan 2: 192.168.12.0/24
vlan 3: 192.168.13.0/24
vlan 4: 192.168.14.0/24
vlan 5: 192.168.15.0/24
vlan 6: 192.168.100.0/24Todos são LAN conectados ao Switch Cisco 3650 Layer3. O Switch Layer3 está conectado ao Firewall (Squid instalado no CentOS 6.2 e Shorewall 4);
Firewall tem eth0: 172.16.1.101 conectado ao modem:172.16.1.1; eth1: 192.168.99.99 conecte-se à camada de switch 3: 192.168.99.100 sem switchport.
O cliente VPN se conecta e possui classe IP: 192.168.10.0/24. Agora todo o tráfego da LAN para a Internet está normal, sem problemas.
Quando os clientes usam openvpn, conectam-se ao servidor com sucesso, mas não conseguem executar ping ou acessar nenhum computador na LAN. O que eu fiz errado?
Responder1
Pode ser um problema de roteamento ou firewall. Primeiro de tudo, você deve verificar se consegue executar ping no servidor/firewall a partir do cliente VPN. Verifique se você consegue executar ping no endereço eth1 e no tun1.
Se essa verificação falhar, você provavelmente terá uma rota ausente. Talvez o openVPN não force o cliente a definir rotas para a sub-rede interna.
No cliente, supondo que seja Linux, você tem que rodar route -ne verificar se ele tem gateway para sua LAN remota.
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
...
192.168.99.0 192.168.10.## 255.255.255.0 UG 0 0 0 tun1
...
192.168.10.## deve ser o endereço da interface tun1 no servidor/firewall.
Se a rota estiver lá, você poderá executar ping pelo menos no endereço iface tun1.
Para uma depuração mais rápida, você pode desabilitar o shorewall, aliás, você deve verificar suas regras de firewall, você deve habilitar o encaminhamento da interface vpn tun para lan e vice-versa.
Usar IPTables deve ser algo como:
# iptables -A FORWARD -i tun+ -o eth1 -j ACCEPT
# iptables -A FORWARD -i eth1 -o tun+ -j ACCEPT
tun+ significa "qualquer tun", você deve usar seu dispositivo tun real, verifique-o com ifconfig.