VPN Lan-to-Lan com Zeroshell (OpenVPN)

Dinho Cristenson · 11 de julho de 2017

Fala galera! Tudo tranquilo?

Estou precisando de uma ajuda para conectar a rede da minha casa com a do trabalho.

Estou errando em algo que creio que seja simples...

Estou utilizando o ZeroShell em minha casa para conectar ao pfSense do trabalho, o ZS configurei com o IP 192.168.101.1 na rede do trabalho, consigo acessar o mesmo de lá, porém há um equipamento passando pelo ZS que está com o IP 192.168.101.200, onde não consigo acessá-lo e o mesmo não responde o Ping... (vide anexo).

Creio que possa ser algo relacionado a rota estática, mas não sei se é isso, pois é a primeira vez que configuro uma VPN...

Já me disseram pra instalar o pfSense em casa, mas no meu caso não é possível pois estou usando um dispositivo com processador ARM e o pfSense não é compatível com essa arquitetura

Minha rede de casa está como 192.168.12.0/24

Se precisarem de mais informações sobre as redes me perguntem, pois não sei o que é necessário para facilitar o entendimento.

Desde já, agradeço!

---------------------------------------------------------------------

No link abaixo tem mais detalhes, postei no fórum do ZS mas até agora ninguém me deu uma luz por lá rs

http://www.zeroshell.org/forum/viewtopic.php?t=7803 (péssimo inglês kkkkk)

Zeca Pagodinho · 11 de julho de 2017

Eu não conheço o ZeroShell nem o pfSense, mas dei uma pesquisada rápida para saber do que se trata e verifiquei que os dois são sistemas operacionais completos (agora os conheço). Disso compreendo que você está, de fato, abrindo uma porta de entrada dentro da rede do teu trabalho e o faz colocando um pendrive ou um LiveCD com o ZeroShell numa máquina de lá, depois tenta acesso de casa. Até aí tudo bem? Estou certo?

Citação

Estou utilizando o ZeroShell em minha casa para conectar ao pfSense do trabalho, o ZS configurei com o IP 192.168.101.1 na rede do trabalho, consigo acessar o mesmo de lá, porém há um equipamento passando pelo ZS que está com o IP 192.168.101.200, onde não consigo acessá-lo e o mesmo não responde o Ping... (vide anexo).

No trabalho a rede interna é 192.168.101.0/24, isso? O printscreen que tu postaste foi tirado no teu trabalho ou em casa? Qual é a função da máquina com IP 192.168.101.200?

A se confirmar a tua rede interna, no trabalho, previamente criada e configurada, utilizando a faixa de endereços 192.168.101.0/24, ela estar permitindo que tu introduzas uma máquina usando o IP 192.168.101.1 é estranho. Geralmente ele é reservado para o roteador dessa rede... nesse caso, qual é o roteador da rede interna? A propósito, o pfSense é o sistema que faz o gerenciamento da rede interna no teu trabalho? É dele a tarefa de roteamento com a rede mundial?

Pois bem, comecemos por aqui. Se eu não puder te ajudar, provavelmente surgirão outros com ideias a respeito, desde que esses detalhes se esclareçam.

Dinho Cristenson · 11 de julho de 2017

3 horas atrás, Zeca Pagodinho disse:

Eu não conheço o ZeroShell nem o pfSense, mas dei uma pesquisada rápida para saber do que se trata e verifiquei que os dois são sistemas operacionais completos (agora os conheço). Disso compreendo que você está, de fato, abrindo uma porta de entrada dentro da rede do teu trabalho e o faz colocando um pendrive ou um LiveCD com o ZeroShell numa máquina de lá, depois tenta acesso de casa. Até aí tudo bem? Estou certo?

No trabalho a rede interna é 192.168.101.0/24, isso? O printscreen que tu postaste foi tirado no teu trabalho ou em casa? Qual é a função da máquina com IP 192.168.101.200?

A se confirmar a tua rede interna, no trabalho, previamente criada e configurada, utilizando a faixa de endereços 192.168.101.0/24, ela estar permitindo que tu introduzas uma máquina usando o IP 192.168.101.1 é estranho. Geralmente ele é reservado para o roteador dessa rede... nesse caso, qual é o roteador da rede interna? A propósito, o pfSense é o sistema que faz o gerenciamento da rede interna no teu trabalho? É dele a tarefa de roteamento com a rede mundial?

Pois bem, comecemos por aqui. Se eu não puder te ajudar, provavelmente surgirão outros com ideias a respeito, desde que esses detalhes se esclareçam.

Isso, tenho o ZeroShell instalado em um hardware, está rodando normalmente.

A rede do trabalho possui varias sub-redes, foi criada a 192.168.101.0/24 exclusivamente para minha VPN para não criar conflitos de IP. Lá, além desta, possui a 192.168.1.0/24 e a do pfSense que é a 10.77.1.0, sendo o pfSense 10.77.1.1, minha VPN ficou como 10.77.1.2.

Consigo acessar o meu ZeroShell instalado em minha casa na empresa utilizando o IP 192.168.101.1, ele fica como o Gateway do meu dispositivo no IP 192.168.101.200

No caso o Zeroshell possui dois IPs, 10.77.1.2 e 192.168.101.1 para servir de gateway para o ...101.200, mas este não responde o teste de PING.

No print eu fiz o teste utilizando o computador da empresa "pingando" minha rede de casa. O ZeroShell responde mas o 192.168.101.200 não.

Não sei te dizer se o pfSense faz o acesso para a Internet, mas creio que sim, ele faz o trabalho de Firewall e Net Balancer pois lá possuem duas ISPs.

Muito obrigado!

Zeca Pagodinho · 12 de julho de 2017

Ok, agora tenho uma visão mais clara dos nós de rede e pontos de possível dificuldade. Vamos a algumas considerações:

1) Pelo que compreendi a rede 10.77.1.0/24 tem como roteador a máquina com o pfSense e o micro no qual colocaste o ZeroShell tem duas interfaces de rede. Numa delas ele está conectado à rede 10.77.1.0/24 usando o IP 10.77.1.2. Na outra configuraste a segunda sub-rede, 192.168.101.0/24, e recebeu o IP 192.168.101.1.

2) A esta interface de rede conectaste uma máquina, cujo IP é o 192.168.101.200.

Certo até aqui? Tenho uma segunda hipótese, não pesquisei para ver se isso é possível. Como disse antes, não conheço o ZeroShell suficientemente. Percebi que tens duas redes com a mesma gama de IP's, uma no trabalho e outra em casa. O micro 192.168.101.200 está em casa e é dele quem tu não consegues receber resposta via ping, sendo que tu estás na sub-rede da empresa.

Observe que nos dois pontos destacados anteriormente (1 e 2), escrevi "interfaces de rede". Tomei esse cuidado de não usar "placas" ou "dispositivos de rede" porque esses termos dizem respeito ao hardware, enquanto interface de rede se aplica ao software, àquilo que manipulamos via sistema operacional. Podemos criar interfaces de rede que agrupam duas ou mais placas de rede, outras que representam pontes de rede (modo bridge), etc. Um túnel, seja de que natureza for, é uma interface de rede.

A segunda hipótese eu a imagino devido as características da tua descrição: as duas redes que serão ligadas via túnel devem ter o mesmo IP range? Tu tens certeza disso, de que conectando os dois micros que rodam o ZeroShell automaticamente terás acesso a qualquer micro pertencente à rede remota? Eu acho que o ping que você está digitando no prompt não está chegando lá na rede remota. Se tu tens duas redes com o mesmo IP range e tu estás fazendo um ping de uma delas, não se confunda, a resposta vem da rede local. Como a máquina 192.168.101.200 é remota, não há acesso.

Aguardo tuas considerações. Enquanto isso vou dar uma lida sobre o ZeroShell, rodar uma cópia numa máquina virtual, tentar repetir a experiência de criar uma VPN, enfim, procurar aprender e enfim resolvermos essa questão.

Dinho Cristenson · 12 de julho de 2017

11 horas atrás, Zeca Pagodinho disse:

Ok, agora tenho uma visão mais clara dos nós de rede e pontos de possível dificuldade. Vamos a algumas considerações:

1) Pelo que compreendi a rede 10.77.1.0/24 tem como roteador a máquina com o pfSense e o micro no qual colocaste o ZeroShell tem duas interfaces de rede. Numa delas ele está conectado à rede 10.77.1.0/24 usando o IP 10.77.1.2. Na outra configuraste a segunda sub-rede, 192.168.101.0/24, e recebeu o IP 192.168.101.1.

2) A esta interface de rede conectaste uma máquina, cujo IP é o 192.168.101.200.

Certo até aqui? Tenho uma segunda hipótese, não pesquisei para ver se isso é possível. Como disse antes, não conheço o ZeroShell suficientemente. Percebi que tens duas redes com a mesma gama de IP's, uma no trabalho e outra em casa. O micro 192.168.101.200 está em casa e é dele quem tu não consegues receber resposta via ping, sendo que tu estás na sub-rede da empresa.

Observe que nos dois pontos destacados anteriormente (1 e 2), escrevi "interfaces de rede". Tomei esse cuidado de não usar "placas" ou "dispositivos de rede" porque esses termos dizem respeito ao hardware, enquanto interface de rede se aplica ao software, àquilo que manipulamos via sistema operacional. Podemos criar interfaces de rede que agrupam duas ou mais placas de rede, outras que representam pontes de rede (modo bridge), etc. Um túnel, seja de que natureza for, é uma interface de rede.

A segunda hipótese eu a imagino devido as características da tua descrição: as duas redes que serão ligadas via túnel devem ter o mesmo IP range? Tu tens certeza disso, de que conectando os dois micros que rodam o ZeroShell automaticamente terás acesso a qualquer micro pertencente à rede remota? Eu acho que o ping que você está digitando no prompt não está chegando lá na rede remota. Se tu tens duas redes com o mesmo IP range e tu estás fazendo um ping de uma delas, não se confunda, a resposta vem da rede local. Como a máquina 192.168.101.200 é remota, não há acesso.

Aguardo tuas considerações. Enquanto isso vou dar uma lida sobre o ZeroShell, rodar uma cópia numa máquina virtual, tentar repetir a experiência de criar uma VPN, enfim, procurar aprender e enfim resolvermos essa questão.

É exatamente isto, o que acho estranho é que, no trabalho consigo acessar meu ZeroShel na minha rede de casa utilizando o IP 192.168.101.1, remotamente, mas o dispositivo que está passando pelo ZeroShell (cujo 192.168.101.200) eu não consigo.

O Ping do print foi efetuado da rede do trabalho para a minha, o 192.168.101.1 (ZeroShell) responde normalmente e acessa via navegador na rede remota, já o 192.168.101.200 dá-se como "Host de destino inacessível."

Parece que o ZeroShell não está mostrando a rota para a rede remota acessar o 192.168.101.200

Zeca Pagodinho · 12 de julho de 2017

Tu consegues acessar teus arquivos na rede remota? Quero dizer, tens como comprovar que o endereço 192.168.101.1 é do micro remoto e não do micro na tua rede interna já que os dois têm o mesmo IP?

adicionado 55 minutos depois

@Dinho Cristenson , eu estou um pouco ocupado hoje, provavelmente só consiga fazer testes à noite. Se puderes ir te comunicando durante o dia a gente vai tirando dúvidas um do outro.

Dinho Cristenson · 12 de julho de 2017

1 hora atrás, Zeca Pagodinho disse:

Tu consegues acessar teus arquivos na rede remota? Quero dizer, tens como comprovar que o endereço 192.168.101.1 é do micro remoto e não do micro na tua rede interna já que os dois têm o mesmo IP?

adicionado 55 minutos depois

@Dinho Cristenson , eu estou um pouco ocupado hoje, provavelmente só consiga fazer testes à noite. Se puderes ir te comunicando durante o dia a gente vai tirando dúvidas um do outro.

Não tem problema! Fico muito agradecido pelo seu interesse em ajudar!

Eu consigo acessar o Zeroshell pela rede da empresa sim, conforme o print em anexo.
No print estou acessando meu ZeroShell que está na rede da minha casa, pelo Internet Explorer na rede do trabalho.

Por algum motivo, parece que o 192.168.101.1 não está funcionando como Gateway para esta sub-rede.

adicionado 9 minutos depois

Eu creio que possa ser algo relacionado com isso:

http://backreference.org/2009/11/15/openvpn-and-iroute/

Mas como é a primeira vez que faço algo parecido, não compreendo muito bem

Zeca Pagodinho · 16 de julho de 2017

@Dinho Cristenson, observe no exemplo do link que postaste que nenhuma das sub-redes tem o mesmo IP range, todas são diferentes. Tu deves identificar a tua rede doméstica dentro de uma faixa de endereços diferente daquela que tu construíste dentro da empresa.

Isso se deve pelo mesmo motivo que o iroute é usado no exemplo que o autor do artigo comenta: como saber para onde encaminhar o pacote? Se a rede interna, na tua empresa, tem a mesma faixa de endereços que a rede na tua casa, como saber se a máquina 192.168.101.200 é da rede interna ou da rede da tua casa?

Não tinha te falado isso antes porque talvez fosse uma característica das VPNs, mas estudei o ZeroShell e testei algumas configurações usando máquinas virtuais. A respeito da configuração Host-to-LAN a documentação do ZeroShell deixa claro que os hosts conectados a uma VPN não se enxergam, embora estejam conectados ao mesmo servidor. Nesse mesmo documento informam que basta adicionar --client-to-client nas opções de linha de comando, mas mesmo reiniciando o serviço e reconectando os hosts não consegui acessar um host através do outro.

Restou a opção LAN-to-LAN. A documentação do ZeroShell não me pareceu clara, procurei então algo fora. Fui ao vivaolinux.com.br e lá encontrei este artigo: VPN em Linux com OpenVPN. Podes observar que mais uma vez as sub-redes têm IP range diferente entre si e, ao final do artigo, fica claro o porquê: não há como endereçar os pacotes se as duas redes forem do mesmo IP range, as rotas não fecham. Enfim, dá uma lida nisso para ver se consegue resolver o problema por conta. Eu vou tentar criar várias máquinas virtuais e conectá-las em rede para então ligar essa rede a outra via OpenVPN... vai demorar mais um tanto.

Desculpe-me a demora, não tinha deixado isso de lado, mas com duas crianças pequenas em casa fica difícil se concentrar e esse assunto é bastante denso.

Dinho Cristenson · 16 de julho de 2017

16 horas atrás, Zeca Pagodinho disse:

@Dinho Cristenson, observe no exemplo do link que postaste que nenhuma das sub-redes tem o mesmo IP range, todas são diferentes. Tu deves identificar a tua rede doméstica dentro de uma faixa de endereços diferente daquela que tu construíste dentro da empresa.

Isso se deve pelo mesmo motivo que o iroute é usado no exemplo que o autor do artigo comenta: como saber para onde encaminhar o pacote? Se a rede interna, na tua empresa, tem a mesma faixa de endereços que a rede na tua casa, como saber se a máquina 192.168.101.200 é da rede interna ou da rede da tua casa?

Não tinha te falado isso antes porque talvez fosse uma característica das VPNs, mas estudei o ZeroShell e testei algumas configurações usando máquinas virtuais. A respeito da configuração Host-to-LAN a documentação do ZeroShell deixa claro que os hosts conectados a uma VPN não se enxergam, embora estejam conectados ao mesmo servidor. Nesse mesmo documento informam que basta adicionar --client-to-client nas opções de linha de comando, mas mesmo reiniciando o serviço e reconectando os hosts não consegui acessar um host através do outro.

Restou a opção LAN-to-LAN. A documentação do ZeroShell não me pareceu clara, procurei então algo fora. Fui ao vivaolinux.com.br e lá encontrei este artigo: VPN em Linux com OpenVPN. Podes observar que mais uma vez as sub-redes têm IP range diferente entre si e, ao final do artigo, fica claro o porquê: não há como endereçar os pacotes se as duas redes forem do mesmo IP range, as rotas não fecham. Enfim, dá uma lida nisso para ver se consegue resolver o problema por conta. Eu vou tentar criar várias máquinas virtuais e conectá-las em rede para então ligar essa rede a outra via OpenVPN... vai demorar mais um tanto.

Desculpe-me a demora, não tinha deixado isso de lado, mas com duas crianças pequenas em casa fica difícil se concentrar e esse assunto é bastante denso.

Sei bem como é, também tenho um filho e só ele já dá trabalho, imagine dois haha

Então, as IP ranges são diferentes, minha rede é 192.168.12.0, a do trabalho é 192.168.1.0, a do túnel ficou como 10.77.1.0 e foi criada uma outra só para meus dispositivos, que seria a 192.168.101.0.

Fazendo os testes, ví que é algum problema de rota, parece que a rede do trabalho não reconhece o dispositivo no IP 192.168.101.200 por que meu zeroshell não está fazendo o devido roteamento.

Repare que no PING ele retorna "Host de destino inacessível" para o 192.168.101.1, e não "Esgotado o tempo limite do pedido." quando você "pinga" um IP desconhecido.

Deve ser só um detalhe que estamos deixando passar rs

Fico muito agradecido pela sua ajuda e disposição! o/

Dinho Cristenson · 19 de julho de 2017

@Zeca Pagodinho acabei fazendo funcionar na tentativa e erro. Mas como tinha dito, creio que tenha sido por causa da rota estática, acabei tentando e tentando de várias maneiras, tinha desistido de tentar, fiz umas configurações ontem e não reiniciei o zeroshell. Hoje fiz o teste e conectou! o/

Fiz a configuração abaixo, mas ainda não vou me sentir vitorioso nessa, pois quero saber realmente o que fiz kkkkkk

Irei montar outro sistema com o ZeroShell e refazer toda minha configuração, para não ter dor de cabeça depois e saber resolver um possível problema futuro.

Dinho Cristenson · 23 de julho de 2017

@Zeca Pagodinho, funcionou por um período, se eu reinicio o hardware ele não conecta mais a VPN, estou tentando descobrir o por quê. Se descobrir posto aqui