Eu configurei um servidor OpenVPN em um servidor no escritório para as pessoas usarem VPN. Eles podem atingir qualquer host na rede do escritório, mas se tentarem acessar nosso datacenter em outra sub-rede, nada acontecerá. Acredito que esteja na lista de acesso do roteador Cisco, mas não consigo descobrir.
Office LAN: 192.168.71.0/24
DataCenter Lan: 192.168.100.0/24
OpenVPN Server: 192.168.71.15
VPN LAN: 192.168.61.0/24
Office Router IP: 192.168.71.1
Então, quando um cliente está conectado, sua tabela de roteamento se parece com
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.61.5 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.61.1 192.168.61.5 255.255.255.255 UGH 0 0 0 tun0
192.168.100.0 192.168.61.5 255.255.255.0 UG 0 0 0 tun0
192.168.71.0 192.168.61.5 255.255.255.0 UG 0 0 0 tun0
192.168.1.0 0.0.0.0 255.255.255.0 U 2 0 0 wlan0
0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 wlan0
Um traceroute para o datacenter se parece com
traceroute to 192.168.100.52 (192.168.100.52), 30 hops max, 60 byte packets
1 192.168.61.1 (192.168.61.1) 18.851 ms 39.294 ms 39.297 ms
2 192.168.71.1 (192.168.71.1) 39.287 ms 39.278 ms 39.269 ms
3 * * *
4 * * *
5 * * *
6 * * *
7 * * *
8 * * *
9 * * *
10 * * *
Aqui está a tabela de rotas no servidor openvpn
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.61.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.71.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.61.0 192.168.61.2 255.255.255.0 UG 0 0 0 tun0
192.168.122.0 0.0.0.0 255.255.255.0 U 0 0 0 virbr0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0
0.0.0.0 192.168.71.1 0.0.0.0 UG 0 0 0 eth0
0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 eth0
Então, o pacote parece estar chegando ao roteador do escritório
Aqui está minha configuração de rota para o roteador Cisco
ip route 0.0.0.0 0.0.0.0 216.173.2.217
ip route 10.1.168.0 255.255.255.0 192.168.71.5
ip route 10.100.1.0 255.255.255.0 192.168.72.5
ip route 192.168.61.0 255.255.255.0 192.168.71.15
E aqui está minha lista de acesso
access-list 1 remark CCP_ACL Category=2
access-list 1 permit 192.168.71.0 0.0.0.255
access-list 23 permit 10.10.10.0 0.0.0.7
access-list 100 remark CCP_ACL Category=4
access-list 100 permit ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip any 192.168.0.0 0.0.255.255
access-list 101 deny ip any 172.16.0.0 0.15.255.255
access-list 101 deny ip any 10.0.0.0 0.255.255.255
access-list 101 permit ip 192.168.71.0 0.0.0.255 any
access-list 102 remark CCP_ACL Category=4
access-list 102 permit ip 192.168.71.0 0.0.0.255 any
access-list 103 remark CCP_ACL Category=4
access-list 103 permit ip 192.168.71.0 0.0.0.255 any
access-list 103 permit ip 192.168.100.0 0.0.0.255 any
access-list 120 permit ip 192.168.71.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 701 deny 0007.e917.876f 0000.0000.0000
Alguma ajuda ou dicas?
Responder1
Suponho que o seu roteador Cisco tenha duas "pernas": uma para a LAN do escritório e outra para a LAN do data center.
Seus pacotes dos usuários VPN estão chegando ao seu data center, mas não têm rota de volta porque a Cisco não sabe que o servidor Open VPN é o roteador da LAN VPN.
Você precisa adicionar uma rota no Cisco que diga para rotear pacotes com destino de 192.168.61.0/24 para 192.168.71.15, que, sendo o roteador OpenVPN, tem uma rota para essa rede e, por sua vez, encaminhará pacotes para o(s) host(s) VPN.