Openvpn não comunica [RESOLVIDO]

Bom dia estou precisando de uma ajuda com um servidor Openvpn no seguinte ambiente:

Obs. Como os melhores especialistas que conheço em linux andam por aqui resolvi postar minha pergunta no local correto.. hhehehe.

Servidor no Virtualbox (estação win7 rodando virtualbox e ubuntu server 10.10 com openvpn instalado e configurado como servidor), estações clientes windows autonomas – notebooks - pelo mundo a fora vão se conectar neste servidor (futuramente um server dedicado).

Servidor Ambiente de rede:

Rede 192.168.1.0 Máscara 255.255.255.240

IP do servidor: 192.168.1.4 (rede modo bridge com uma interface eth0)

DHCP Server: 192.168.1.2

DNS Server: 192.168.1.2

Gateway: 192.168.1.1

Todas as interfaces funcionaram normalmente mas o cliente não se comunica com a matriz segundo os logs no servidor este está funcionando normalmente.

server.conf

#/etc/openvpn/server.conf

#interface porta e protocolo
dev tun

port 6969

proto udp

#certificados e chaves
ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt

cert /etc/openvpn/easy-rsa/2.0/keys/servidor.crt

key /etc/openvpn/easy-rsa/2.0/keys/servidor.key

dh /etc/openvpn/easy-rsa/2.0/keys/dh1024.pem


#configuracoes do servidor

#ip do servidor local

local 192.168.1.4 255.255.255.240

#faixa de end. utilizada pela vpn

server 10.0.0.0 255.255.255.0

#empurra a rota para o cliente para a rede principal

push "route 192.168.1.0 255.255.255.240"

#Configuracoes de DHCP

push "dhcp-option DNS 192.168.1.2"

push "default-gateway 192.168.1.1"


#esta linha faz com que o gatway senha o da matriz da vpn

push "redirect-gateway def1"

#tls servidor

tls-server

#um ping a cada 10 segundos e se por 120 segundos nao responder derruba

keepalive 10 120

#numero maximo de clientes de vpn

max-clients 5

#algoritmo de compressao utilizado

comp-lzo

#usuario e grupos para o servico vpn

user nobody

group nogroup

#mantem a interface aberta e a chave carregadas

persist-key

persist-tun

#para ips dinamicos mesmo que o ip mude o tunel continua funcionando

float

#mantem um pool de ips salvos (estilo restrict dhcp)

ifconfig-pool-persist /etc/openvpn/ipp.txt


#limita o trafego de saida nas vpns (corresponde a 50k em kbytes)

#shaper 51200


#SEGURANCA

#esta opecao protege os clientes contra ataques ddos

tls-auth /etc/openvpn/static.key 0

#esta opcao almenta a seguranca dos clientes contra man-in-the-midle

#remote-cert-tls server
(não funcionou da erro)


# logs do servidor

verb 6

status /var/log/openvpn/status.log

log-append /var/log/openvpn/messages.log

log /var/log/openvpn/logsvpn.log

_______________fim do server.conf____________________


#Client.conf

dev tun0
port 6969
proto udp
remote xxxxxxx.dyndns.org
ns-cert-type server
auth-retry nointeract
client
pull
comp-lzo
keepalive 15 120
persist-key
persist-tun
tls-auth static.key
tls-client
float
resolv-retry infinite
nobind
auth-nocache
ca key/ca.crt
dh key/dh1024.pem
cert key/cliente01.crt
cert key/cliente01.key

________________________fim do arquivo de configuração do cliente_________


O que estaria errado na configuração para que os clientes e o server não comuniquem?


Desde já meu muito obrigado pela atenção.

a hora esta exatamente igual ?
tive o mesmo problema e era a hora que estava diferente por isso não conectava
de uma olhada

Bom realmente a hora no server não estava correta eu acertei com o cliente mas mesmo assim não está pingando do cliente no server. Não consigo pingar o IP do server 192.168.1.4, acho que tem algo errado de rota mas estou com dificuldade de verificar se que na hora da configuração do server eu executei o comando:
#iptables -t nat -s 10.0.0.2 -A POSTROUTING -o eth0 -j MASQUERADE

Acabei de ver outro detalhe que no cliente não está aplicando as rotas está dando acesso negado (requer elevação de privilégio), é win7 (que meleca).

acho que devo verificar as rotas mas como faze-lo?

Seguinte descobri dois probleamas diferentes:

1) O cliente VPN na estação Win7 estava com o serviço do Openvpn Service com acesso negado isto fazia com que as configurações não funcionassem quando aplicadas eu passei o serviço para inicializar automaticamente o cliente funcionou corretamente e esta parte foi solucionada.

2) Agora estou resolvendo o problema dos roteamentos o objetivo é que os clientes acessem informações na rede da matriz e a matriz acesse informações nos clientes por enquanto não consigo buscar informações fora do server eu exclui a configuração (iptables -t nat -s 10.0.0.2 -A POSTROUTING -o eth0 -j MASQUERADE).

Se alguem puder me ajudar agradeço desde já.

1) O cliente VPN na estação Win7 estava com o serviço do Openvpn Service com acesso negado isto fazia com que as configurações não funcionassem quando aplicadas eu passei o serviço para inicializar automaticamente o cliente funcionou corretamente e esta parte foi solucionada.

Este problema eu resolvi, há um bloqueio do serviço no Openvpn Service ao inicializar o aplicativo do Openvpn onde mesmo abrindo como administrador o aplicativo dá mensagem que não pode aplicar as rotas, resolvi este problema abrindo o gerenciador de serviços e tornando o servidor Openvpn Service automático reiniciei e funcionou normalmente.

Fica faltando agora a parte de rotas, pois quero que os micros da Matriz acessem pelo servidor os clientes e que os clientes acessem os compartilhamentos dos micros e aplicativos na Matriz.


Desde já muito obrigado a quem me ajudar.

Se a conexão foi estabelecida entre servidor e cliente e só falta comunicação (ex: pingar), pode usar o dispositivo virtual tap ao invés do tun, aqui funciona beleza.

Bom dia, senhores eu efetuei todos os testes que me indicaram beleza agora com tudo no ar somente não estou conseguindo acessar dos clientes a rede da matriz, pingo perfeitamente o ip interno do servidor mas não consigo pingar os clientes dentro da rede do servidor da matriz.

cliente|(tap0 - 10.0.0.4)<----VPN----->(10.0.0.1 - tap0) SERVIDOR_VPN
......(lan - 192.168.2.1/24).................(192.168.1.4/28 - eth0)
.................................................................................(outros clientes) 192.168.1.5 até 14


ping 10.0.0.1 (responde normal)....................ping 10.0.0.4 (responde normal)
ping 191.168.1.4 (responde normal)....................ping 192.168.1.5 (responde normal na LAN)
ping 192.168.1.5 (NÃO RESPONDE)....................


Estou começando a ficar desesperado, pois não sei mais onde funcionar o acesso a lan do servidor VPN.

A rede do servidor 192.168.1.0/28 consegue pingar na rede 192.168.2.0/24 ?

1º - ative o redirecionamento de pacotes no servidor;

# echo 1 > /proc/sys/net/ipv4/ip_forward

2º - Ative o roteamento usando o nat no servidor;

# iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o interface local (usada para comunicação com 192.168.1.0/28) -j MASQUERADE

exemplo: # iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE

3º - É necessário que o cliente tenha uma rota para enviar os pacotes até 192.168.1.0/28;

Por exemplo: route add -net 192.168.1.0 netmask 255.255.255.240 gw 10.0.0.1 dev interface virtual

# route add -net 192.168.1.0 netmaks 255.255.255.240 gw 10.0.0.1 dev tap0


Comente também essas linhas abaixo no arquivo do servidor e reinicie o serviço em ambos (servidor e cliente)

push "dhcp-option DNS 192.168.1.2"
push "default-gateway 192.168.1.1"
push "redirect-gateway def1"


retorna ai..

O maravilhoso comando:

#iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

funcionou maravilhosamente bem inserido no arquivo /etc/rc.local

comentei também as opções que me falou FUNCIONOU HHHHHHHAAAAAAHULLLLLLLLL....

Sa Bo Nim Kiugné (Traduzindo SAUDAÇÃO AO MESTRE eabreu)...

Muito obrigado também a todos os outros que contribuiram.

Tive o mesmo problema do amigo citado acima, adicionei a regra do POSTROUTING e do servidor que está se conectando como cliente eu consigo acessar, porém das máquinas virtuais penduradas nele eu não consigo pingar a LAN do Server VPN.

Infra Client:

LAN=10.10.10.0/24
GATEWAY=10.10.10.1
tun1=10.0.0.2

Infra Server:

LAN=192.168.1.0/24
GATEWAY=192.168.1.45
tun0=10.0.0.1

Do servidor 10.10.10.1 eu consigo pingar a rede 192.168.1.0/24, porém ao acessar uma máquina virtual do servidor 10.10.10.1 eu não consigo pingar a rede LAN 192.168.1.0/24, eu consigo pingar apenas o gateway padrão que é 192.168.1.45.

Da LAN 192.168.1.0/24 eu consigo pingar todos os IPs dentro da LAN 10.10.10.0/24.

As rotas estão OK

Se alguém puder me dar uma luz eu agradeço =)

Se alguém poder me ajudar:

http://www.vivaolinux.com.br/topico/servidores-VPN/Comunicando-client-Debian-ao-openvpn-num-VirtualB...