>Notei que no server eu determino quais vão ser os ips dos clientes, >atravez de um pool... até ai tudo certo.... (...) >Começei a pensar se eu não teria problemas com as minhas rotas a cada >momento de queda das VPNs, pois teoricamente o cliente poderia pegar um >ip diferente, mas vendo a documentação, vi que ele faz referência a >determinada maquina em um arquivo ipp.txt, sendo assim, ele não pegaria >um ip diferente do que pegou na primeira vez... (...) >Mas olhando este arquivo, também notei que ele coloca um ip diferente do >que o cliente pegou... (...) >A minha outra dúvida é sobre roteamento.... (...)
Boa tarde Rodrigo e pessoal da lista. Uso o OpenVPN desde a versão 1.5 e te digo que é fantástica, no início bati bastante cabeça até entender como ela funciona, depois ficou muito prático implementá-la. Você não precisa adicionar nenhuma rota manualmente, nem no servidor, nem no cliente (a menos que você queira habilitar a comunicação entre clientes), tudo isso é feito de forma automática no momento da conexão. Veja alguns detalhes: 1) A configuração de ip estático para cada cliente é feito dentro de um arquivo texto com o mesmo nome do arquivo de chave e dentro de ./ccd/ e não dentro de ipp.txt; 2) O servidor quebra a rede ip usada no tunelamento automaticamente em subredes de quatro em quatro ip's, ou seja, todas de comprimento 30 bit's, e usa o 1º ip disponível para o gateway e o 2º para a outra ponta. Digamos que essa rede para tunelamento seja 192.168.254.0/24, o primeiro cliente leva o ip 192.168.254.2 e seu gateway será 192.168.254.1 (192.168.254.0 e 192.168.254.3 são reservados para o endereço da subrede e de broadcast dela, respectivamente); 3) Dentro do arquivo server.conf você coloca a rede interna atrás do servidor que deseja ser alcançada pela rede interna do cliente, através da opção push. Digamos que essa rede seja 192.168.0.0/24, a opção é push "route 192.168.0.0 255.255.255.0" 4) Também dentro do arquivo server.conf e do arquivo texto mencionado no ítem 1 você coloca a rede atrás do firewall do cliente que deseja ser alcançada pela rede atrás do servidor. Digamos que a rede interna do cliente seria 192.168.1.0/29 você usa a opção route "192.168.1.0 255.255.255.248" no arquivo server.conf e no arquivo texto você colocaria: iroute 192.168.1.0 255.255.255.248 ifconfig-push 192.168.254.2 192.168.254.1 (ip cliente + gateway) Pronto. Isso basta para o OpenVPN inserir automaticamente essas rotas nas tabelas de cada kernel (servidor e cliente). Digamos que você deseja colocar um segundo cliente que possua a rede interna 192.168.254.4/29, aí sim você precisaria executar um route add ... ... ... em cada cliente e habilitar a comunicação entre clientes no server.conf. Dê uma boa olhada nos comentários do server.conf que é bem auto-explicativo e também na documentação online do produto. Vai ver que o OpenVPN é muito poderoso. Outra vantagem desse produto é que ele usa uma única porta UDP para conexão e assim sendo ficá prático trabalhar com priorização de banda na porta, por exemplo um HTB para garantir uma velocidade boa na comunicação matriz/filial(is). Espero ter ajudado. Abraço a todos. Valcir. --------------------------------------------------------------------------- Esta lista é patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br Regras de utilização da lista: http://linux-br.conectiva.com.br FAQ: http://www.zago.eti.br/menu.html
