VPN [RESOLVIDO]

juliansoares
(usa Debian)

Enviado em 17/01/2012 - 09:19h

Bom dia amigos, estou tendo problemas com minha VPN,

tenho um servidor em casa, e quero colocar uma vpn lá, ja instalei tudo, gerei os certificaddos (build-key) dh etc...

preciso ter um 1 conf no servidor e outro na maquina que ira acessar?

uso ip dinamico, dai uso o no-ip


meu server.conf

proto udp
port 1194


dev tun
ifconfig 10.10.0.0 255.255.255.0.0
push "route 10.0.0.1 255.255.0.0"
comp-lzo
keepalive 10 120
persist-key
persist-tun
float
tls-server

dh /etc/openvpn/key-server/dh1024.pem
ca /etc/openvpn/key-server/ca.crt
cert /etc/openvpn/key-server/warmachine.crt
key /etc/openvpn/key-server/warmachine.key
tls-auth /etc/openvpn/key-server/chave.key
status /var/log/openvpn-status.log
log-append /var/log/openvpn.lo



client.conf

remote soarescps.no-ip.org (no-ip)
remote 10.0.0.1 (ifconfig do server, redelocal)
remote soarescps.no-ip.org:8080 (no-ip c port 8080 para apache)
remote 201.53.X.X (ip virtua)
remote 10.10.0.0 (ip VPN)

proto udp

port 1194

client
pull
dev tun
comp-lzo
keepalive 10 120
persist-key
persist-tun
float
tls-client

dh /etc/openvpn/keys/dh1024.pem
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/julian.crt
key /etc/openvpn/keys/julian.key
tls-auth /etc/openvpn/keys/chave.key
status /var/log/openvpn-status.log
log-append /var/log/openvpn.lo



ja liberei no firewall o ip 10.10.0.0 para redelocal e a porta 1194


log do openvpn ao tentar conectar de uma rede fora da minha , sem firewall sem nada.

Jan 17 09:03:36 zeus NetworkManager[1517]: <info> Starting VPN service 'openvpn'...
Jan 17 09:03:36 zeus NetworkManager[1517]: <info> VPN service 'openvpn' started (org.freedesktop.NetworkManager.openvpn), PID 5158
Jan 17 09:03:36 zeus NetworkManager[1517]: <info> VPN service 'openvpn' appeared; activating connections
Jan 17 09:03:36 zeus NetworkManager[1517]: <info> VPN plugin state changed: init (1)
Jan 17 09:03:36 zeus NetworkManager[1517]: <info> VPN plugin state changed: starting (3)
Jan 17 09:03:36 zeus NetworkManager[1517]: <info> VPN connection 'Server Home' (Connect) reply received.
Jan 17 09:03:36 zeus nm-openvpn[5161]: OpenVPN 2.2.1 x86_64-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Dec 20 2011
Jan 17 09:03:36 zeus nm-openvpn[5161]: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Jan 17 09:03:36 zeus nm-openvpn[5161]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Jan 17 09:03:36 zeus nm-openvpn[5161]: LZO compression initialized
Jan 17 09:03:36 zeus nm-openvpn[5161]: Attempting to establish TCP connection with [AF_INET]10.10.0.0:1194 [nonblock]
Jan 17 09:03:47 zeus nm-openvpn[5161]: TCP: connect to [AF_INET]10.10.0.0:1194 failed, will try again in 5 seconds: Connection timed out
Jan 17 09:04:01 zeus nm-openvpn[5161]: TCP: connect to [AF_INET]10.10.0.0:1194 failed, will try again in 5 seconds: Connection timed out
Jan 17 09:04:16 zeus nm-openvpn[5161]: TCP: connect to [AF_INET]10.10.0.0:1194 failed, will try again in 5 seconds: Connection timed out
Jan 17 09:04:16 zeus NetworkManager[1517]: <warn> VPN connection 'Server Home' (IP Config Get) timeout exceeded.
Jan 17 09:04:16 zeus nm-openvpn[5161]: SIGTERM[hard,init_instance] received, process exiting

rodrigom
(usa Debian)

Enviado em 17/01/2012 - 09:32h

Bom dia;

Sim, você usa uma conf em cada computador, que serão quase iguais, mudando basicamente o endereço ip de cada uma é o caminho do aquivo com a chave...
A maquina que será o servidor, e estará com o no-ip e o cliente apontando para ela...

rodrigom
(usa Debian)

Enviado em 17/01/2012 - 09:33h

Só não entendi um coisa, você tem um ip fixo junto com o no-ip, na mesma conf??

Por que?

juliansoares
(usa Debian)

Enviado em 17/01/2012 - 09:37h

na vdd nao eh ip fixo, e o ip do virtua naquele momento dai coloquei tb pra ver se pega

na vdd eu gero os .crt e .key preciso de um client.conf, terei 2 pc para acessar essa VPN, ja que vou acessar atraves do gnome-manager-openvpn, la so tem opção de colocar o ca , o .crt e o .key ??

nao estou conseguindo acessar a VPN, o que pode ser?

tem alguma coisa de errado ae?

magnopeem_rj
(usa Ubuntu)

Enviado em 17/01/2012 - 10:37h

caro colega verifica esse aqui e se da certo

###############################################################
##Protocolo de conexão proto tcp / proto udp
proto udp

# Porta do servico
port 1194

# Drive da interface de rede
dev tun

# Atribui enderecos dinamicos a varios clientes, ips para o túnel VPN
server 192.168.254.0 255.255.255.0

# Acrescenta rotas aos clientes, informações da rede local
push "route 10.42.43.0 255.255.255.0"
push "dhcp-option DNS 10.42.43.1"
push "dhcp-option WINS 10.42.43.1"

# Configuracoes adicionais no cliente
push "ping 10"
push "ping-restart 60"

#IPque vai ser atribuido ao usuario
ifconfig-pool-persist /etc/openvpn/ipp.txt

# Compactacao lib LZO
comp-lzo
keepalive 10 120
max-clients 10
persist-key
persist-tun
log-append /var/log/openvpn/matriz.log
verb 6

# Servidor TLS
tls-server

# Chaves necessarias
dh /etc/openvpn/keys/dh1024.pem
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/servidor.crt
key /etc/openvpn/keys/servidor.key

# Chave secreta do servidor
tls-auth /etc/openvpn/keys/servidor.key
status /var/log/openvpn/openvpn.stats
############################################################

ARQUIVO DO CLIENTE


##############################################################
#qual vai ser o tunel <-- remover
dev tun

# protocol usado no tunel <-- remover
proto udp

# ip remote caso vc tenha um link ou use algo como ddclient, no-ip,etc,etc . <--- remover
remote teste-vpn.no-ip.info

#porta usada na conexao <-- remover
port 1194
pull
comp-lzo
keepalive 10 120
float
tls-client
persist-tun
persist-key

#chaves usadas para se autenticar no servidor <---- remover

dh "C:\\Program Files (x86)\\OpenVPN\\config\\dh1024.pem"
ca "C:\\Program Files (x86)\\OpenVPN\\config\\ca.crt"
cert "C:\\Program Files (x86)\\OpenVPN\\config\\cliente1.crt"
key "C:\\Program Files (x86)\\OpenVPN\\config\\cliente1.key"
tls-auth "C:\\Program Files (x86)\\OpenVPN\\config\\servidor.key"
route-method exe
route-delay 2

magnopeem_rj
(usa Ubuntu)

Enviado em 17/01/2012 - 10:38h

agora o arquivo remote nao pode ter mais do que um ip ou dominio ou nome etc etc etc

outra coisa favor verificar modem se esta liberadoa porta e esta sendo redirecionada para essa maquina que e servidor vpn

juliansoares
(usa Debian)

Enviado em 17/01/2012 - 10:43h

Amigo , nao eh necessario ter o client.conf ok? ou estou enganado?

se eu acessar atraves do NM-openvpn, la so tem opcao do ca, .crt e o .key

uso ip dinamico do virtua, e tenho o no-ip, o que eu coloko la no ip da VPN? o ip que eu criei o 10.10.0.0 ou o ip do no-ip ?

esta assim minhas config : http://imageshack.us/photo/my-images/526/capturadetelaem20120117.png/


meu server - debian squeezy
meu note - debian testing.

juliansoares
(usa Debian)

Enviado em 17/01/2012 - 10:47h

quando vc diz o modem é meu acess point ?
ou modem do virtua?

magnopeem_rj
(usa Ubuntu)

Enviado em 17/01/2012 - 10:51h

ta 1- como esta seu ambiente de testes ??? e um servidor que esta na sua propria rede interna?

favor relatar como esta todo seu ambiente de testes para eu ter um melhor entendimento

juliansoares
(usa Debian)

Enviado em 17/01/2012 - 11:12h

servidor em casa, na redelocal,

linux(gw) -> AP -> redelocal

servidor com debian squeezy, virtua ip dinamico (uso no-ip)
apache redirect na porta 8080 pq o virtua bloqueia a 80 (virtua residencial)
dhcp , squid-transparent

instalei o openvpn, e fui configurando de acordo com os tutoriais do morimoto, gerei as chaves do servidor e do client .crt .key ca.crt etc etc...

no firewall liberei a porta 1194
e o ip 10.10.0.0 que foi atribuido para o openvpn

iptables -a input -p tcp -s 10.0.0.0/16 -d 10.10.0.0 --dport 1195 -j accept
IPTABLES -A FORWARD -i tun0 -o eth2(redelocal) -p tcp -s 10.10.0.0 (ip vpn) -d 10.0.0.0/16 (redelocal) -j ACCEPT


olha saida desse comando :
zeus /etc/openvpn # nmap soarescps.no-ip.org -p 1194

Starting Nmap 5.21 ( http://nmap.org ) at 2012-01-17 12:04 BRST
Nmap scan report for soarescps.no-ip.org (8.23.224.90)
Host is up (0.20s latency).
PORT STATE SERVICE
1194/tcp filtered unknown


isso quer dizer que a porta 1194 esta fechada?

magnopeem_rj
(usa Ubuntu)

Enviado em 17/01/2012 - 12:57h

servidor em casa e o micro que voce esta usando para acesar o servidor esta aonde??

juliansoares
(usa Debian)

Enviado em 17/01/2012 - 13:22h

quero acessar com meu notebook, agora estou no trampo, o firewall aqui bloqueia td, mas testei na casa de um amigo meu ontem a noite e tb nao consegui..

testei tb dentro da minha redelocal , server - notebook.
os 2 são linux, debian.