Openvpn server linux ... cliente windows NÂO CONECTA

[ontracks]

Tenho um servidor Slackware13 com Openvpn 2.0.9 com a seguinte configuração:

cat /etc/openvpn/servervpn.conf

# /etc/openvpn/server.conf
proto udp
port 1194
dev tun
comp-lzo
server 10.0.0.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
push "dhcp-option DNS 192.168.1.0"
persist-tun
persist-key
float
keepalive 10 120
ifconfig-pool-persist /etc/openvpn/ipp.txt
max-clients 3
tls-server
dh /etc/openvpn/dh/dh1024.pem
ca /etc/openvpn/certs/ca.crt
cert /etc/openvpn/certs/server.crt
key /etc/openvpn/keys/server.key
tls-auth /etc/openvpn/keys/static.key
log-append /var/log/openvpn.log
status /var/log/openvpn-status.log
verb 6

Starto o serviço usando :
#openvpn --config /etc/openvpn/servervpn.conf --daemon

porem o serviço parece não subir pois a saida do comando netstat -nlpt não mostra o mesmo:
# netstat -nlpt
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 2743/sshd
tcp6 0 0 :::22 :::* LISTEN 2743/sshd

e tbem não aparece nada no nmap:
# nmap localhost

Starting Nmap 5.00 ( Nmap - Free Security Scanner For Network Exploration & Security Audits. ) at 2010-02-01 14:45 BRST
Interesting ports on localhost (127.0.0.1):
Not shown: 999 closed ports
PORT STATE SERVICE
22/tcp open ssh

Nmap done: 1 IP address (1 host up) scanned in 0.28 seconds

mas aparece no ps aux:

# ps aux | grep openvpn
root 4343 0.0 0.3 3880 924 ? Ss 14:26 0:00 openvpn --config /etc/openvpn/servervpn.conf --daemon

já no log do openvpn as linhas finais o serviço parece estar funcionando:

# cat /var/log/openvpn.log
TLS-Auth MTU parms [ L:1542 D:166 EF:66 EB:0 ET:0 EL:0 ]
TUN/TAP device tun0 opened
TUN/TAP TX queue length set to 100
/sbin/ifconfig tun0 10.0.0.1 pointopoint 10.0.0.2 mtu 1500
/sbin/route add -net 10.0.0.0 netmask 255.255.255.0 gw 10.0.0.2
Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Socket Buffers: R=[111616->131072] S=[111616->131072]
UDPv4 link local (bound): [undef]:1194
UDPv4 link remote: [undef]
MULTI: multi_init called, r=256 v=256
IFCONFIG POOL: base=10.0.0.4 size=62
IFCONFIG POOL LIST
Initialization Sequence Completed

tento conectar usando GUI openvpn for windows mas sem sucesso com a seguinte config:

# cat client.ovpn
# /etc/openvpn/client.conf
remote teste.homelinux.net
proto udp
port 1194
client
pull
dev tun
comp-lzo
keepalive 10 120
float
tls-client
dh dh1024.pem
ca ca.crt
cert cliente.crt
key cliente.key




alguem poderia dar uma luz? Parece estar tudo normal mas não conecta

[Lynx]

Buenas,

Primeiramente, falando do seu teste de Netstat para saber se a VPN esta de pé.... vc especificou para o netstat filtrar por protocolos TCP, Sua VPN esta usando protocolo UDP, então mesmo que ela estivesse de pé... não apareceria...

Use #netstat -avnu


Agora vou dar um toque com relação a VPN que tenho aqui.

Seguinte... notei algumas linhas a mais nesta sua conf, não que elas não devam estar ai, mas realmente funciona sem elas....

Nas confs do server tls-auth /etc/openvpn/keys/static.key não precisa necessáriamente estar lá... e eu prefiro usar dev tap0

nas confs do client:

dh dh1024.pem

Não sei exatamente do que se trata o parâmetro Float.

Vc tem uma interface criada no modo TUN, com o nome tun (apenas)? não falta algum numero tipo tun0, tun1 por aew.
vc levantou o modulo tun? (modeprobe tun)

O DEV tun foi criado corretamente no Windows? A parte de certificação digital esta ok?

Primeiro veja se levanta o server e em seguida poste os resultados, da falha ou não da conexão do client....

Exemplo do meu client.conf

-----------------------------------------------------
# openvpn-client.conf
#
# Set tunnel mode
client
dev tap

proto udp

# Hostname for the VPN server
remote nome.com.br 1194

# This end takes the client role for
# certificate exchange
tls-client

# Certificate Authority file
ca cacert.pem

# Our certificate/public key
cert tiago.crt

# Our private key
key tiagokey.crt

comp-lzo

# Get the rest of our configuration
# from the server.
pull

#eof
---------------------------------------------------------

aguardo

Att
Tiago Iahn

[ontracks]

Buenas,
Use #netstat -avnu

Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
udp 0 0 0.0.0.0:1194 0.0.0.0:*
udp 0 0 0.0.0.0:67 0.0.0.0:*

Nas confs do server tls-auth /etc/openvpn/keys/static.key não precisa necessáriamente estar lá... e eu prefiro usar dev tap0

Mudei a config conforme me disse porem ainda continua não conectando com a config

Vc tem uma interface criada no modo TUN, com o nome tun (apenas)? não falta algum numero tipo tun0, tun1 por aew.
vc levantou o modulo tun? (modeprobe tun)

o modulo tun esta carregado sim
# lsmod | grep tun
tun 10560 1
todos os tutoriais que li o dev tun estava somente dev tun e não dev tun0 .
O dev tun sobe com uma config mais basica que fiz para testes
#ifconfig tun
tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.0.0.1 P-t-P:10.0.0.2 Mask:255.255.255.255

O DEV tun foi criado corretamente no Windows? A parte de certificação digital esta ok?
Primeiro veja se levanta o server e em seguida poste os resultados, da falha ou não da conexão do client....

Tue Feb 02 16:45:09 2010 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Tue Feb 02 16:45:09 2010 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Tue Feb 02 16:45:09 2010 Cannot load certificate file server.crt: error:02001002:system library:fopen:No such file or directory: error:20074002:BIO routines:FILE_CTRL:system lib: error:140AD002:SSL routines:SSL_CTX_use_certificate_file:system lib
Tue Feb 02 16:45:09 2010 Exiting

Lynx consegui conectar usando essa conf no server:
#config server OpenVPN
dev tun
ifconfig 10.0.0.1 10.0.0.2
secret /etc/openvpn/keys/secret.key

e no cliente Windows:
#config Client OpenVPN
remote teste.dyndns.net 1194
dev tun
ifconfig 10.0.0.1 10.0.0.2
secret secret.key

porem apos conectado o cliente não conseguiu pingar a rede interna do servidor (motivo pelo qual desejo montar um a vpn ...acessar um programa da rede interna da empresa com uma conexão segura.... a rede interna esta 192.168.x.x)mas pinga normalmente 10.0.0.1
O desafio é apenas dois clientes com Windows conectar e usar um programa da rede da empresa estado em outra rede porem com segurança
Obrigado por enquanto Lynx
poderia me enviar a config do teu server vpn e regras do firewall referentes as vpn que vc usa e conecta com a config que vc enviou anteriormente?

[Lynx]

Daew cara, reparei que o erro apresentado na conexão, parece ser de certificados, deve ter algum coisa errada com sua cadeia de certificados, quem assina quem e etc.

mas de qualquer forma vou te mandar minhas confs.

Matriz:

port 1194
proto udp
dev tap0
;dev-node MyTap
tls-server
ca CA-DB/cacert.pem
cert vpncert.pem
key vpnkey.pem # This file should be kept secret
dh dh1024.pem
ifconfig-pool-persist ipp.txt
server-bridge 169.254.1.1 255.255.0.0 169.254.1.220 169.254.1.230
push "dhcp-option DNS 169.254.1.1"
client-to-client
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
mute 20
################################



Cliente:


client
dev tap
proto udp
remote IPVALIDO 1194
tls-client
ca cacert.pem
cert tiago.crt
key tiagokey.crt
comp-lzo
pull
##########################


Para esta estrutura utilizo uma interface em modo Bridge

usando o seguinte Script:

#!/bin/bash

#################################
# Set up Ethernet bridge on Linux
# Requires: bridge-utils
#################################

# Define Bridge Interface
br="br0"

# Define list of TAP interfaces to be bridged,
# for example tap="tap0 tap1 tap2".
tap="tap0"

# Define physical ethernet interface to be bridged
# with TAP interface(s) above.
eth="eth0"
eth_ip="169.254.1.1"
eth_netmask="255.255.0.0"
eth_broadcast="169.254.255.255"

for t in $tap;
do
openvpn --mktun --dev $t
done

brctl addbr $br
brctl addif $br $eth

for t in $tap;
do
brctl addif $br $t
done

for t in $tap;
do
ifconfig $t 0.0.0.0 promisc up
done

ifconfig $eth 0.0.0.0 promisc up
ifconfig $br $eth_ip netmask $eth_netmask broadcast $eth_broadcast
##########################################


Essa Bridge é importante para que vc possa acessar sua rede com a transparência que quer, sem precisar de NAT e tals.

Mas vc precisa rever sua cadeia de certificados, talvez refaze-la....



Assim esta funcionando perfeito aqui na empresa, Utilizo como cliente o OpenVPN Client for Windows.

Vai postando ai...

Att
Tiago Sell Iahn

[Lynx]

Bom Dia,

Era bom deixar uma recado avisando se as coisas deram certo, ou não.... se foi válido ou ainda não resolveu.

Att
Tiago Iahn