Alguns clientes em uma rede VPN não podem ser acessados

Navegue suas respostas
1

O problema deste modelo é que alguns (apenas alguns) clientes não podem ser alcançados. Veja o link abaixo para mais informações sobre o modelo que está sendo descrito na próxima seção.

Descriçãodoproblema

Ambososclientes(1.1e1.2.3)podemseconectaraoservidorVPN(1).Oservidor(1)nãoestáusandoadeclaraçãoclient-to-clientnoarquivoconfdoOpenVPN.

Oservidor(1)podeexecutarpingemambososclientes(1.1e1.2.3),ambososclientes(1.1e1.2.3)podemefetuarpingunsdosoutrosepodemfazerpingnoservidor(1).Osclienteslocais(1.1.1e1.1.2)atrásdoroteador(1.1)atrásdoNATpodemefetuarpingunsaosoutrosefazeropingdoroteador(1.1).Omesmovaleparaooutronetowrk(atrásde1.2)ondetodososclientes(1.2.1,1.2.2e1.2.3)podemfazerpingunsaosoutrosetambémpodemexecutarpingnoroteador(1.2).Nãoháproblemasatéagora.

Ambososroteadores(1.1e1.2)configuraramcorretamentesuasrotasestáticas.Roteadornaprimeirarede(1.1)nãotemrotasestáticasdefinidas,elassãoempurradasdoservidorVPN.Oroteadornasegundarede(1.2)nãoéogatewaydeVPN,portantosuasrotasestãoseguindo:

network192.168.1.0/24gateway192.168.2.103

network192.168.10.0/24gateway192.168.2.103

Emseguida,oclienteVPNnasegundarede(1.2.3)fazcomqueasrotassejamenviadasdoservidornovamente.

Devoltaàsestaçõesdoclientechegando-agoraessesclientesportrásdoNATnãopodemseracessadosdeumaredeparaoutra;algunspodem,outrosnãopodem.Paradaralgunsexemplos:

  • sendologadoemumservidor(1),eupossopingar1.1.1masnãopossopingar1.1.2.

  • sendologadoemumcliente(1.1.1),eupossopingar1.2.1masnãopodepingar1.2.2.

Correçãotemporária

Paraalgunsclientes,vejoumacorreçãotemporáriaaoadicionarsuasrotasstatis,oquepodeserfeitocommáquinasLinux.Suatabeladeroteamento(porexemplo,máquina1.1.2)podeconterinformaçõesapenasparaarede1.1.Adicionararotaestáticaparaaoutrarede(1.2)fazcomquefuncione,masissonãopodeserfeitocomtodososclientes.

Outracorreçãomuitotemporáriaétentarocomandotraceroutede1.2.2para1.1.2,oquepoderealmenteatingiramultadamáquinaefazerpingporalgunsminutos.Apósumcurtoperíododetempo,arotadesapareceu.

Nadadissoéumasoluçãopermanente.

Algumasperguntasquesurgem

Euprecisoobservarquerecentementetroqueiumroteador1.2,mastodasasrotasestãoatrasadascomoestavamcomamáquinaanterior.

Existemalgumasoutrasquestõesquesurgem:

  • ÉumproblemadeDNS?Emcasoafirmativo,porqueocomandopingnãofuncionacomumIP,nãocomumnomededomínio?

  • Comootrabalhodetracerouteeopingnãopuderamserexecutados?Nãoexisteumfirewallparabloqueá-loe,mesmoquefosse,comopoderiaotrmailingforçarocomandopingafuncionarporumcurtoperíododetempo?

  • Porquealgunsclientesnãoprecisamterrotasestáticasdefinidaseoutrosprecisamdelesparaserempingáveisnarede?

  • Podeestarrelacionadocomaordemdeinicializaçãodosdispositivosnarede?Eutambémtenteireiniciar/desligartodoseles,masnãofarianada.Aideiaeraqueasrotasnamemóriaseriamapagadasapósumareinicializaçãoenovasseriam"tiradas" do roteador.

O objetivo

O objetivo é corrigir isso para que todos os clientes em todas as redes possam ser acessados, sem que rotas estáticas sejam colocadas em qualquer lugar além do roteador.

    
por kunago 03.10.2013 / 14:29

1 resposta

1

Eu mesmo encontrei a solução, isso é causado pelas regras do iptables definidas no roteador. Meu novo roteador é um ASUS RT-N12 e contém uma regra FORWARD que remove pacotes inválidos. Esta regra é problemática com o roteamento estático.

A solução é criar um script que exclua automaticamente a regra FORWARD no início: 

iptables -D FORWARD -m state --state INVALID -j DROP

Para saber mais sobre esse problema, sinta-se à vontade para ler um tópico no fórum .

    
por 14.10.2013 / 14:44

Tags

Executando o JVM 1.4.2 em um PC / Mac moderno O que permite que um servidor de correio eletrônico opere mais rápido ou manipule mais e-mails? [fechadas]