+ Responder ao Tópico



  1. #1

    Padrão Openvpn server linux ... cliente windows NÂO CONECTA

    Tenho um servidor Slackware13 com Openvpn 2.0.9 com a seguinte configuração:

    cat /etc/openvpn/servervpn.conf

    # /etc/openvpn/server.conf
    proto udp
    port 1194
    dev tun
    comp-lzo
    server 10.0.0.0 255.255.255.0
    push "route 192.168.1.0 255.255.255.0"
    push "dhcp-option DNS 192.168.1.0"
    persist-tun
    persist-key
    float
    keepalive 10 120
    ifconfig-pool-persist /etc/openvpn/ipp.txt
    max-clients 3
    tls-server
    dh /etc/openvpn/dh/dh1024.pem
    ca /etc/openvpn/certs/ca.crt
    cert /etc/openvpn/certs/server.crt
    key /etc/openvpn/keys/server.key
    tls-auth /etc/openvpn/keys/static.key
    log-append /var/log/openvpn.log
    status /var/log/openvpn-status.log
    verb 6

    Starto o serviço usando :
    #openvpn --config /etc/openvpn/servervpn.conf --daemon

    porem o serviço parece não subir pois a saida do comando netstat -nlpt não mostra o mesmo:
    # netstat -nlpt
    Active Internet connections (only servers)
    Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
    tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 2743/sshd
    tcp6 0 0 :::22 :::* LISTEN 2743/sshd

    e tbem não aparece nada no nmap:
    # nmap localhost

    Starting Nmap 5.00 ( Nmap - Free Security Scanner For Network Exploration & Security Audits. ) at 2010-02-01 14:45 BRST
    Interesting ports on localhost (127.0.0.1):
    Not shown: 999 closed ports
    PORT STATE SERVICE
    22/tcp open ssh

    Nmap done: 1 IP address (1 host up) scanned in 0.28 seconds

    mas aparece no ps aux:

    # ps aux | grep openvpn
    root 4343 0.0 0.3 3880 924 ? Ss 14:26 0:00 openvpn --config /etc/openvpn/servervpn.conf --daemon

    já no log do openvpn as linhas finais o serviço parece estar funcionando:

    # cat /var/log/openvpn.log
    TLS-Auth MTU parms [ L:1542 D:166 EF:66 EB:0 ET:0 EL:0 ]
    TUN/TAP device tun0 opened
    TUN/TAP TX queue length set to 100
    /sbin/ifconfig tun0 10.0.0.1 pointopoint 10.0.0.2 mtu 1500
    /sbin/route add -net 10.0.0.0 netmask 255.255.255.0 gw 10.0.0.2
    Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
    Socket Buffers: R=[111616->131072] S=[111616->131072]
    UDPv4 link local (bound): [undef]:1194
    UDPv4 link remote: [undef]
    MULTI: multi_init called, r=256 v=256
    IFCONFIG POOL: base=10.0.0.4 size=62
    IFCONFIG POOL LIST
    Initialization Sequence Completed

    tento conectar usando GUI openvpn for windows mas sem sucesso com a seguinte config:

    # cat client.ovpn
    # /etc/openvpn/client.conf
    remote teste.homelinux.net
    proto udp
    port 1194
    client
    pull
    dev tun
    comp-lzo
    keepalive 10 120
    float
    tls-client
    dh dh1024.pem
    ca ca.crt
    cert cliente.crt
    key cliente.key




    alguem poderia dar uma luz? Parece estar tudo normal mas não conecta

  2. #2

    Padrão

    Buenas,

    Primeiramente, falando do seu teste de Netstat para saber se a VPN esta de pé.... vc especificou para o netstat filtrar por protocolos TCP, Sua VPN esta usando protocolo UDP, então mesmo que ela estivesse de pé... não apareceria...

    Use #netstat -avnu


    Agora vou dar um toque com relação a VPN que tenho aqui.

    Seguinte... notei algumas linhas a mais nesta sua conf, não que elas não devam estar ai, mas realmente funciona sem elas....

    Nas confs do server tls-auth /etc/openvpn/keys/static.key não precisa necessáriamente estar lá... e eu prefiro usar dev tap0

    nas confs do client:

    dh dh1024.pem

    Não sei exatamente do que se trata o parâmetro Float.

    Vc tem uma interface criada no modo TUN, com o nome tun (apenas)? não falta algum numero tipo tun0, tun1 por aew.
    vc levantou o modulo tun? (modeprobe tun)

    O DEV tun foi criado corretamente no Windows? A parte de certificação digital esta ok?

    Primeiro veja se levanta o server e em seguida poste os resultados, da falha ou não da conexão do client....

    Exemplo do meu client.conf

    -----------------------------------------------------
    # openvpn-client.conf
    #
    # Set tunnel mode
    client
    dev tap

    proto udp

    # Hostname for the VPN server
    remote nome.com.br 1194

    # This end takes the client role for
    # certificate exchange
    tls-client

    # Certificate Authority file
    ca cacert.pem

    # Our certificate/public key
    cert tiago.crt

    # Our private key
    key tiagokey.crt

    comp-lzo

    # Get the rest of our configuration
    # from the server.
    pull

    #eof
    ---------------------------------------------------------

    aguardo

    Att
    Tiago Iahn



  3. #3

    Padrão

    Citação Postado originalmente por Lynx Ver Post
    Buenas,
    Use #netstat -avnu
    Active Internet connections (servers and established)
    Proto Recv-Q Send-Q Local Address Foreign Address State
    udp 0 0 0.0.0.0:1194 0.0.0.0:*
    udp 0 0 0.0.0.0:67 0.0.0.0:*
    Citação Postado originalmente por Lynx Ver Post
    Nas confs do server tls-auth /etc/openvpn/keys/static.key não precisa necessáriamente estar lá... e eu prefiro usar dev tap0
    Mudei a config conforme me disse porem ainda continua não conectando com a config
    Citação Postado originalmente por Lynx Ver Post
    Vc tem uma interface criada no modo TUN, com o nome tun (apenas)? não falta algum numero tipo tun0, tun1 por aew.
    vc levantou o modulo tun? (modeprobe tun)
    o modulo tun esta carregado sim
    # lsmod | grep tun
    tun 10560 1
    todos os tutoriais que li o dev tun estava somente dev tun e não dev tun0 .
    O dev tun sobe com uma config mais basica que fiz para testes
    #ifconfig tun
    tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
    inet addr:10.0.0.1 P-t-P:10.0.0.2 Mask:255.255.255.255
    Citação Postado originalmente por Lynx Ver Post
    O DEV tun foi criado corretamente no Windows? A parte de certificação digital esta ok?
    Primeiro veja se levanta o server e em seguida poste os resultados, da falha ou não da conexão do client....
    Tue Feb 02 16:45:09 2010 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
    Tue Feb 02 16:45:09 2010 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
    Tue Feb 02 16:45:09 2010 Cannot load certificate file server.crt: error:02001002:system library:fopen:No such file or directory: error:20074002:BIO routines:FILE_CTRL:system lib: error:140AD002:SSL routines:SSL_CTX_use_certificate_file:system lib
    Tue Feb 02 16:45:09 2010 Exiting

    Lynx consegui conectar usando essa conf no server:
    #config server OpenVPN
    dev tun
    ifconfig 10.0.0.1 10.0.0.2
    secret /etc/openvpn/keys/secret.key

    e no cliente Windows:
    #config Client OpenVPN
    remote teste.dyndns.net 1194
    dev tun
    ifconfig 10.0.0.1 10.0.0.2
    secret secret.key

    porem apos conectado o cliente não conseguiu pingar a rede interna do servidor (motivo pelo qual desejo montar um a vpn ...acessar um programa da rede interna da empresa com uma conexão segura.... a rede interna esta 192.168.x.x)mas pinga normalmente 10.0.0.1
    O desafio é apenas dois clientes com Windows conectar e usar um programa da rede da empresa estado em outra rede porem com segurança
    Obrigado por enquanto Lynx
    poderia me enviar a config do teu server vpn e regras do firewall referentes as vpn que vc usa e conecta com a config que vc enviou anteriormente?

  4. #4

    Padrão

    Daew cara, reparei que o erro apresentado na conexão, parece ser de certificados, deve ter algum coisa errada com sua cadeia de certificados, quem assina quem e etc.

    mas de qualquer forma vou te mandar minhas confs.

    Matriz:

    port 1194
    proto udp
    dev tap0
    ;dev-node MyTap
    tls-server
    ca CA-DB/cacert.pem
    cert vpncert.pem
    key vpnkey.pem # This file should be kept secret
    dh dh1024.pem
    ifconfig-pool-persist ipp.txt
    server-bridge 169.254.1.1 255.255.0.0 169.254.1.220 169.254.1.230
    push "dhcp-option DNS 169.254.1.1"
    client-to-client
    keepalive 10 120
    comp-lzo
    persist-key
    persist-tun
    status openvpn-status.log
    verb 3
    mute 20
    ################################



    Cliente:


    client
    dev tap
    proto udp
    remote IPVALIDO 1194
    tls-client
    ca cacert.pem
    cert tiago.crt
    key tiagokey.crt
    comp-lzo
    pull
    ##########################


    Para esta estrutura utilizo uma interface em modo Bridge

    usando o seguinte Script:

    #!/bin/bash

    #################################
    # Set up Ethernet bridge on Linux
    # Requires: bridge-utils
    #################################

    # Define Bridge Interface
    br="br0"

    # Define list of TAP interfaces to be bridged,
    # for example tap="tap0 tap1 tap2".
    tap="tap0"

    # Define physical ethernet interface to be bridged
    # with TAP interface(s) above.
    eth="eth0"
    eth_ip="169.254.1.1"
    eth_netmask="255.255.0.0"
    eth_broadcast="169.254.255.255"

    for t in $tap;
    do
    openvpn --mktun --dev $t
    done

    brctl addbr $br
    brctl addif $br $eth

    for t in $tap;
    do
    brctl addif $br $t
    done

    for t in $tap;
    do
    ifconfig $t 0.0.0.0 promisc up
    done

    ifconfig $eth 0.0.0.0 promisc up
    ifconfig $br $eth_ip netmask $eth_netmask broadcast $eth_broadcast
    ##########################################


    Essa Bridge é importante para que vc possa acessar sua rede com a transparência que quer, sem precisar de NAT e tals.

    Mas vc precisa rever sua cadeia de certificados, talvez refaze-la....



    Assim esta funcionando perfeito aqui na empresa, Utilizo como cliente o OpenVPN Client for Windows.

    Vai postando ai...

    Att
    Tiago Sell Iahn



  5. #5

    Padrão

    Bom Dia,

    Era bom deixar uma recado avisando se as coisas deram certo, ou não.... se foi válido ou ainda não resolveu.

    Att
    Tiago Iahn