+ Responder ao Tópico



  1. #1

    Padrão openvpn - problemas de conexao

    Experts,

    estou tendo problemas com o openvpn para matriz e filial se conectarem.

    No log do server:
    read UDPv4 [ECONNREFUSED]: Connection refused (code=111)

    No log da Filial:
    TLS Error: Unroutable control packet received from 200.200.200.200:1194 (si=3 op=P_ACK_V1)

    Em ambas as pontas a distro o mandriva 2006 powerpack / openvpn versao 2.0.1.
    No meu firewall as chains estao da seguinte maneira:
    INPUT ACCEPT
    FORWARD ACCEPT
    OUTPUT ACCEPT


    Já refiz todo o procedimento, mas o mesmo ocorre.

    Alguém já passou por isso?


    big abraço
    Cldn

  2. #2

    Padrão

    Geralmente isso acontece quando o daemon não está configurado corretamente e não sobe. É a mesma coisa tentar acessar um apache onde não existe um rodando.

    Bem, pra ajudar você a gente vai precisar dos seus arquivos de configuração, tanto matriz quanto filial.


    Abraços!

  3. #3

    Padrão

    cfe solicitado os arqs de conf:

    [ No server: ]
    [root@mail openvpn]# cat matriz-filial.conf
    dev tun
    ifconfig 172.16.0.1 172.16.0.2
    up ./matriz-filial.up
    port 5000
    tls-server
    dh dh1024.pem
    ca ca.crt
    cert matriz.crt
    key matriz.key
    comp-lzo
    ping 10
    ping-restart 120
    persist-tun
    persist-key
    verb 3
    status /var/log/openvpn/matriz-status.log
    log-append /var/log/openvpn/matriz.log

    [root@mail openvpn]# cat rc.openvpn-startup
    #!/bin/bash
    dir=/etc/openvpn
    modprobe tun
    openvpn --cd $dir --config matriz-filial.conf --daemon
    ========================================

    [ Na Filial: ]
    [root@gateway openvpn]# cat filial-matriz.conf
    dev tun
    remote 201.202.203.204
    ifconfig 172.16.0.2 172.16.0.1
    up ./filial-matriz.up
    port 5000
    tls-client
    dh dh1024.pem
    ca ca.crt
    cert filial.crt
    key filial.key
    comp-lzo
    ping 10
    ping-restart 60
    persist-tun
    persist-key
    verb 3
    status /var/log/openvpn/filial-status.log
    log-append /var/log/openvpn/filial.log

    [root@gateway openvpn]# cat rc.openvpn-startup
    #!/bin/bash
    dir=/etc/openvpn
    modprobe tun
    openvpn --cd $dir --config filial-matriz.conf --daemon


    Esses são os arquivos ...

    Big abraço!

  4. #4

    Padrão

    Experts,
    consegui fechar o túnel com a filial e vice-versa !

    Mas há um detalhe:

    Na "filial" consigo pingar as máquinas da sub-rede da matriz e acessar o compartilhamento do servidor normalmente, mas o mesmo não acontece da "matriz" para filial.

    - Não consigo acessar o server da filial \\192.168.0.100 , mas consigo pingar:
    C:\>ping 192.168.0.100
    Disparando contra 192.168.0.100 com 32 bytes de dados:
    Resposta de 192.168.0.100: bytes=32 tempo=78ms TTL=126
    Resposta de 192.168.0.100: bytes=32 tempo=78ms TTL=126

    - rotas do sistema:
    [root@mail ~]# route -n
    Tabela de Roteamento IP do Kernel
    Destino Roteador MáscaraGen. Opções Métrica Ref Uso Iface
    172.16.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
    192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
    192.168.0.0 172.16.0.2 255.255.255.0 UG 0 0 0 tun0
    10.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 eth0
    0.0.0.0 10.1.1.1 0.0.0.0 UG 0 0 0 eth0

    O q pode ser??

    Abraços !!!

  5. #5

    Padrão

    Dá uma olhada se o roteamento entre interfaces está habilitado.

    Código :
    # cat /proc/sys/net/ipv4/ip_forward

    O valor deve estar como 1. Isso na filial. Lembre-se também que no servidor da matriz deve existir uma rota apontando para a rede interna da filial.

  6. #6

    Padrão

    Sim já verifiquei esta possibilidade
    [root@gateway ~]# cat /proc/sys/net/ipv4/ip_forward
    1

    "Todo mundo pinga/enxerga todo mundo na vpn."

    As filiais acessam o mapeamento no server da matriz sem erros:
    \\192.168.1.200\F

    Mas da matriz acessar qquer mapeamento numa das filiais não vai...
    Nao acha o server na subnet da filial, mas pinga o mesmo.
    Fora isto, está tudo ok.

    Qquer dica é bem vinda.

    abraços !!!

  7. #7

    Padrão

    Não tem nenhuma regrinha boba de iptables aí não?

  8. #8

    Thumbs up

    Citação Postado originalmente por xstefanox Ver Post
    Não tem nenhuma regrinha boba de iptables aí não?
    xstefanox,
    desse um pista mortal para o meu problema.

    Solução:
    Exceto a chain OUTPUT, as demais tem política default "DROP".
    O windows usa a porta 138,139 tcp para acesso a estes shares...

    iptables -A FORWARD -s $LOCALNET -p tcp -m multiport -d $FILAIL1 --dports 138,139 -j ACCEPT

    Agora ficou categoria !!

    Estou documentando tudo, passo-a-passo, para fazer um tutorial da instalação e conf. do openvpn/openssl no Mandriva Powerpack2006 e em breve disponibilizarei no wiki.


    Grande abraço a todos + Tks !!!!

  9. #9

  10. #10

    Padrão

    Ae pessoal, aproveitando o assunto, estou com um problema de cair o OpenVPN.
    Se cai o link em uma das pontas eu tenho que restartar o serviço nos dois servidores.
    Alguém saberia me dizer o que posso fazer para acabar com isso?!?!?

    grato!

  11. #11

    Padrão

    Você pode adicionar no seu arquivo de configuração do OpenVPN a seguinte configuração:

    Código :
    ping-restart 15

    Tenha certeza que no mesmo arquivo de configuração não exista uma opção chamada "ping-exit". Essa opção vai fazer com que caso em 15 segundos não seja alcançado o host, é lançado um restart do nó.

    Abraços!