Problemas client-to-site Cliente Windows, Server Linux.

1. Problemas client-to-site Cliente Windows, Server Linux.

rodrigocontrib
(usa Debian)

Enviado em 30/10/2014 - 11:57h

Prezados,
estou com problemas para configurar um client de openvpn no windows 7.
Tenho um servidor que tem um tunel site-to-site, e gostaria de fazer um teste com o acesso de um "cliente via client".
Consigo, no servidor, levantar o tunel responsavel pela conexão, no entanto quando tento conectar o meu cliente, na tela do aplicativo,
não aparece nada, simplesmente o serviço tenta conectar mas não conecta, mas não mostra nenhum tipo de imagem, no terminal do openvpn client , sobre um possivel carregamento da vpn, ele simplesmente, abre o terminal e depois de alguns segundos diz que a conexão falhou.
Impressionantemente, no windows,o diretorio de logs do client não tem um arquivo com os logs da vpn, por isso nao consigo avaliar qual é o problema pelos logs dentro do windows.
Nota: No meu client, não tenho firewall, desabilitei as regras de firewall do windows e pingo para o nó da vpn.Desabilitei também as regras de firewall do meu servidor.

Segue abaixo as considerações, tanto do meu servidor quanto do meu cliente:



Minha interface no servidor criada é :



tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  

          inet addr:10.10.0.1  P-t-P:10.10.0.2  Mask:255.255.255.255

As portas estão ok:

udp        0      0 0.0.0.0:6999            0.0.0.0:*                           1324/openvpn 

root@FW-RA:/etc/openvpn/keys# service openvpn status

VPN 'matriz' is running.

VPN 'site-to-site' is running.



No meu servidor, fiz apartir dos scripts padrão os seguintes arquivos:

arquivo matriz.conf, com o conteudo:

dev tun

port 6999

proto udp

ca keys/ca.crt

cert keys/matriz.crt

key keys/matriz.key

dh keys/dh1024.pem

server 10.10.0.0 255.255.255.0

push "route 192.168.171.0 255.255.255.0"

keepalive 10 120

comp-lzo

user nobody

group nogroup

persist-key

persist-tun

verb 3

Dentro do diretorio keys, tenho os arquivos abaixo:

ca.crt

dh1024.pem

matriz.csr

vendedor03.crt

vendedor03.key

ca.key

matriz.crt

matriz.key

vendedor03.csr



Exportei para o windows, em seu diretorio conf os arquivos:

vendedor03.crt

vendedor03.key

ca.crt



Segue abaixo minhas configurações com o arquivo openvpn client.

dev tun

port 6999 

proto udp 

remote 192.168.0.222     

ifconfig 10.10.0.2 10.10.0.1 

ca   C:\\Program Files\\OpenVPN\\config\\ca.crt         

cert C:\\Program Files\\OpenVPN\\config\\vendedor-03.crt

key  C:\\Program Files\\OpenVPN\\config\\vendedor-03.key   

nobind

tls-client      

keepalive 10 120

comp-lzo

user  nobody  

group nogroup

persist-key

persist-tun

verb 3

0 0

Quote

2. possivel erro

magnopeem_rj
(usa Ubuntu)

Enviado em 30/10/2014 - 13:26h

Prezado Boa tarde,

ao meu entender a configuração esta errada.

Exportei para o windows, em seu diretorio conf os arquivos:
vendedor03.crt
vendedor03.key
ca.crt

Segue abaixo minhas configurações com o arquivo openvpn client.
dev tun
port 6999
proto udp
remote 192.168.0.222
ifconfig 10.10.0.2 10.10.0.1
ca C:\\Program Files\\OpenVPN\\config\\ca.crt
cert C:\\Program Files\\OpenVPN\\config\\vendedor-03.crt
key C:\\Program Files\\OpenVPN\\config\\vendedor-03.key

0 0

Quote

3. O que estaria errado?

rodrigocontrib
(usa Debian)

Enviado em 30/10/2014 - 15:32h

Qual seria a maneira correta?

0 0

Quote

4. possivel erro

magnopeem_rj
(usa Ubuntu)

Enviado em 30/10/2014 - 21:45h

vendedor03.crt
vendedor03.key

cert C:\\Program Files\\OpenVPN\\config\\vendedor-03.crt
key C:\\Program Files\\OpenVPN\\config\\vendedor-03.key

0 0

Quote

5. Obrigado pela resposta.

rodrigocontrib
(usa Debian)

Enviado em 31/10/2014 - 11:41h

Mas mesmo após a correção dos dados continua dando erro.
Para mim, o maior problema é não poder ver logs no windows, então é 100% tentativa e erro.

0 0

Quote

6. log

rodrigocontrib
(usa Debian)

Enviado em 31/10/2014 - 14:10h

Erro no log do windows.
Um contrib. na lista do debian me indicou inserir as linhas no file de configuração do client:
status client.log
log-append client.log
feito isso, os logs abaixo foram reportados no arquivo o seguinte status de erro:

No client-side authentication method is specified. You must use either --cert/--key, --pkcs12, or --auth-user-pass

0 0

Quote

7. Problemas client-to-site Cliente Windows, Server Linux.

magnopeem_rj
(usa Ubuntu)

Enviado em 03/11/2014 - 23:44h

Prezado,

você documento todos os passos ?

vamos recomeçar a configuração?

o que acha?

0 0

Quote

8. Re: Problemas client-to-site Cliente Windows, Server Linux.

magnopeem_rj
(usa Ubuntu)

Enviado em 04/11/2014 - 01:30h

Prezado,

segue a documentação Official e funciono perfeito:

https://help.ubuntu.com/14.04/serverguide/openvpn.html

###############################################################################

#####Configuracao servidor

########inicio do arquivo created by 3minfo.com.br ################

##Protocolo de conexãtcp / udp
proto udp

# Porta do servico
port 1194

# Drive da interface de rede
dev tun

client-to-client

# Atribui enderecos dinamicos a varios clientes, ips para o
#túVPN entre servidor e clientes
server 10.0.0.0 255.255.255.0

# Acrescenta rotas aos clientes, informaçs da rede local
push "route 10.10.0.0 255.255.0.0"
#push "dhcp-option DNS 10.42.43.1"
#push "dhcp-option WINS 10.42.43.1"

# Configuracoes adicionais no cliente , verificacao de status
push "ping 10"
push "ping-restart 60"

# Compactacao lib LZO
comp-lzo
keepalive 10 120

resolv-retry infinite

# quantidade de conexoes no servidor
max-clients 10

# solicita o uso de chaves para acesso
persist-key

# indica qual interface deve ser ultilizada
persist-tun

# verificacao de los para possiveis erros futuros
log-append /etc/openvpn/erros/servidor.log

# como sera verificado os logs
verb 6

# como sera a identificacao do servidor TLS
tls-server

# Chaves necessarias para o funcionamento do servidor vpn e acesso externo de clientes
dh /etc/openvpn/keys/dh2048.pem
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/vpn.crt
key /etc/openvpn/keys/vpn.key

# Chave secreta do servidor
tls-auth /etc/openvpn/keys/vpn.key
status /etc/openvpn/erros/servidor.status

# Autenticacao PAM
#plugin /usr/lib/openvpn/openvpn-auth-pam.so login

################# Fim do arquivo Servidor ###################################

##################### Configuracao client

##############################################
# Sample client-side OpenVPN 2.0 config file #
# for connecting to multi-client server. #
# #
# This configuration can be used by multiple #
# clients, however each client should have #
# its own cert and key files. #
# #
# On Windows, you might want to rename this #
# file so it has a .ovpn extension #
##############################################

# Specify that we are a client and that we
# will be pulling certain config file directives
# from the server.
client

# Use the same setting as you are using on
# the server.
# On most systems, the VPN will not function
# unless you partially or fully disable
# the firewall for the TUN/TAP interface.
;dev tap
dev tun

# Windows needs the TAP-Win32 adapter name
# from the Network Connections panel
# if you have more than one. On XP SP2,
# you may need to disable the firewall
# for the TAP adapter.
;dev-node MyTap

# Are we connecting to a TCP or
# UDP server? Use the same setting as
# on the server.
;proto tcp
proto udp

# The hostname/IP and port of the server.
# You can have multiple remote entries
# to load balance between the servers.
remote 192.168.1.27 1194
;remote my-server-2 1194

# Choose a random host from the remote
# list for load-balancing. Otherwise
# try hosts in the order specified.
;remote-random

# Keep trying indefinitely to resolve the
# host name of the OpenVPN server. Very useful
# on machines which are not permanently connected
# to the internet such as laptops.
resolv-retry infinite

# Most clients don't need to bind to
# a specific local port number.
nobind

# Downgrade privileges after initialization (non-Windows only)
;user nobody
;group nobody

# Try to preserve some state across restarts.
persist-key
persist-tun

# If you are connecting through an
# HTTP proxy to reach the actual OpenVPN
# server, put the proxy server/IP and
# port number here. See the man page
# if your proxy server requires
# authentication.
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]

# Wireless networks often produce a lot
# of duplicate packets. Set this flag
# to silence duplicate packet warnings.
;mute-replay-warnings

# SSL/TLS parms.
# See the server config file for more
# description. It's best to use
# a separate .crt/.key file pair
# for each client. A single ca
# file can be used for all clients.
ca ca.crt
cert client01.crt
key client01.key

# Verify server certificate by checking
# that the certicate has the nsCertType
# field set to "server". This is an
# important precaution to protect against
# a potential attack discussed here:
# http://openvpn.net/howto.html#mitm
#
# To use this feature, you will need to generate
# your server certificates with the nsCertType
# field set to "server". The build-key-server
# script in the easy-rsa folder will do this.
ns-cert-type server

# If a tls-auth key is used on the server
# then every client must also have the key.
tls-auth vpn.key

# Select a cryptographic cipher.
# If the cipher option is used on the server
# then you must also specify it here.
;cipher x

# Enable compression on the VPN link.
# Don't enable this unless it is also
# enabled in the server config file.
comp-lzo

# Set log file verbosity.
verb 3

# Silence repeating messages
;mute 20

0 0

Quote

9. Obrigado

rodrigocontrib
(usa Debian)

Enviado em 04/11/2014 - 11:52h

Irei testar e te digo se funcionou ou não, muito obrigado pela ajuda.
Acho que muitos técnicos acabam optando pelo pptp, por ser mais simples de configurar, no caso foi o que eu fiz.
Na verdade estou curioso em testar ambas no meu novo laboratório.Estou criando um ambiente de sniff para testar uma possível interceptação de dados em ambos os casos, um utilizando o pptpd e outro o openvpn, tanto o site-to-site quanto o client-to-site.

0 0

Quote