VPN [RESOLVIDO]

magnopeem_rj
(usa Ubuntu)

Enviado em 17/01/2012 - 13:33h

dentro da sua rede local voce tem que colocar o IP local do servidor exemplo.

seu ip e 192.168.0.2
seu servidor e 192.168.0.5

o ip 10.0.0.1 e 10.0.0.2 sao os ips que a interface vai criar para poder so identificar a rede que os clientes " voce " vai passar para a rede interna .

OBS: favor verificar a entrada na porta do modem e o redirecionamento do mesmo para o ip interno do servidor

exemplo:

modem ip 192.168.0.1 porta 1194 >> redireciona para o ip do servidor 192.168.0.2 porta 1194 tanto tcp quanto udp e colocar o ip do servidor fixo .

juliansoares
(usa Debian)

Enviado em 17/01/2012 - 13:50h

veja se entendeu

redelocal gateway 10.0.0.1/16
internet - ip dinamico
vpn 10.10.0.0/24

esta certo não ?

sobre seu exemplo eu nao possuo ip fixo, o que tenho que fazer? ficaria assim a regra :

$IPTABLES -A INPUT -i eth1(internet) -p tcp ! -s 10.0.0.0/16(redelocal) --sport 1024: -d soares.no-ip.org --dport 1194 $ACCEPT
$IPTABLES -A OUTPUT -o eth1(internet) -p tcp ! -d 10.0.0.0/16 (redelocal) --dport 1024: -s soares.no-ip.org --sport 1194 $ACCEPT

magnopeem_rj
(usa Ubuntu)

Enviado em 17/01/2012 - 22:06h

caro colega essa regra esta incorreta , faz o seguinte ,
tenta usar e e configurar a vpn sem rotear 1 pois se turo correr bem ele vai enchergar o servidor , depois voce coloca rotas

juliansoares
(usa Debian)

Enviado em 18/01/2012 - 08:34h

como ficaria a regra pra eu liberar a porta 1194 e o ip da vpn?

ps. nao entendi o q vc diz me dizer, configurei td correto mais ainda não consigo acessar, acho q falta liberar os ip e a porta.

fiz assim agora :

iptables -A FORWARD -i tun0 -o eth2(redelocal) -p tcp -s $VPN -d 10.0.0.0/16 -j ACCEPT
iptables -A FORWARD -o tun0 -i eth2(redelocal) -p tcp -d $VPN -s 10.0.0.0/16 -j ACCEPT
iptables -A INPUT -i eth1(internet) --dport 1194 -j ACCEPT


eth1 = internet
eth2 = redelocal
vpn = ip vpn , criado no server.conf

magnopeem_rj
(usa Ubuntu)

Enviado em 18/01/2012 - 11:43h

caro colaborador bom dia .

caso seja necessario um help melhor estou a disposicao



#!/bin/bash

iniciar(){

#Modulos
modprobe ip_tables
modprobe iptable_nat
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
echo "Módulos carregados!"

# Limpando as tabelas

iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -A FORWARD -j LOG
echo "Tabelas Limpas"

# Politica de Acesso
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
echo "Políticas Aplicadas"


# Redirecionamento de portas VPN
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A INPUT -p tcp -s 0.0.0.0/24 --dport 1194 -j ACCEPT
iptables -A OUTPUT -p tcp -s 0.0.0.0/24 --dport 1194 -j ACCEPT
iptables -A FORWARD -p tcp -s 0.0.0.0/24 --dport 1194 -j ACCEPT
echo "Porta 1194 liberada"

iptables -A FORWARD -p tcp --sport 1194 -j ACCEPT
iptables -t nat -A POSTROUTING -j MASQUERADE

#serviço vpn
iptables -A INPUT -p tcp --dport 1194 -j ACCEPT
echo "Porta 1194 liberada"

# liberando o loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# liberando o que vier da rede local
iptables -A INPUT -s 10.42.43.0/255.255.255.0 -i eth0 -j ACCEPT

# Abre portas usadas
iptables -A INPUT -p tcp --destination-port 80 -j ACCEPT

}

parar(){
iptables -F
iptables -t nat -F
echo "Regras de firewall e compartilhamento desativados"
}

case "$1" in
"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar ;;
*) echo "Use os parâmetros start ou stop"
esac

juliansoares
(usa Debian)

Enviado em 18/01/2012 - 12:02h

mais com essa regras, não fica mt vulneravel?

meu INPUT e FORWARD são DROP
e o OUTPUT ACCEPT

minha regra no post acima , esta errada?

magnopeem_rj
(usa Ubuntu)

Enviado em 18/01/2012 - 12:28h

caro colaborador boa tarde

1- estamos colocando a rede VPN para funcionar .

2- estamos efetuando testes de funcionamento do servidor VPN.

3- apos o bom funcionamento e efetuados teste de conexao interna e externa vai ser efetuado a homologacao do servico.

4- apos a homologacao do servidor , sera efetuado teste de invasao, teste de acesso sem autorizacao .

5- apos testes e afins, sera adotado todos os metodos possiveis e impossiveis de nao sofrer acesso nao autorizado.

6- ficara a parte a incrementacao do servidor pelo resposavel tecnico .

magnopeem_rj
(usa Ubuntu)

Enviado em 19/01/2012 - 12:50h

caro colaborador teve algum exito na configuracao ??

juliansoares
(usa Debian)

Enviado em 19/01/2012 - 13:29h

cara ainda nao testei

mas passei meu server.conf a um amigo e ele me disse que esta certo, é so acertar o firewall..

é nisso q eu estou com duvida, liberar o tun , e a porta.

magnopeem_rj
(usa Ubuntu)

Enviado em 19/01/2012 - 14:09h

caro colaborador ,

tenta com esse que te passei depois voce vai aprimorando a vpn.

juliansoares
(usa Debian)

Enviado em 19/01/2012 - 22:44h

logs do openvpn

coloquei as suas e as minhas regras e nada, aparece isso no log do servidor :

Thu Jan 19 20:09:35 2012 Re-using SSL/TLS context
Thu Jan 19 20:09:35 2012 LZO compression initialized
Thu Jan 19 20:09:35 2012 TCP connection established with [AF_INET]10.0.0.60:43583
Thu Jan 19 20:09:35 2012 TCPv4_SERVER link local: [undef]
Thu Jan 19 20:09:35 2012 TCPv4_SERVER link remote: [AF_INET]10.0.0.60:43583
Thu Jan 19 20:09:36 2012 10.0.0.60:43583 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]10.0.0.60:43583
Thu Jan 19 20:09:36 2012 10.0.0.60:43583 Fatal TLS error (check_tls_errors_co), restarting
Thu Jan 19 20:09:41 2012 Re-using SSL/TLS context
Thu Jan 19 20:09:41 2012 LZO compression initialized
Thu Jan 19 20:09:41 2012 TCP connection established with [AF_INET]10.0.0.60:43585
Thu Jan 19 20:09:41 2012 TCPv4_SERVER link local: [undef]
Thu Jan 19 20:09:41 2012 TCPv4_SERVER link remote: [AF_INET]10.0.0.60:43585
Thu Jan 19 20:09:42 2012 10.0.0.60:43585 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]10.0.0.2:43585
Thu Jan 19 20:09:42 2012 10.0.0.60:43585 Fatal TLS error (check_tls_errors_co), restarting
Thu Jan 19 20:09:47 2012 Re-using SSL/TLS context
Thu Jan 19 20:09:47 2012 LZO compression initialized
Thu Jan 19 20:09:47 2012 TCP connection established with [AF_INET]10.0.0.60:43586
Thu Jan 19 20:09:47 2012 TCPv4_SERVER link local: [undef]
Thu Jan 19 20:09:47 2012 TCPv4_SERVER link remote: [AF_INET]10.0.0.60:43586
Thu Jan 19 20:09:48 2012 10.0.0.2:43586 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]10.0.0.60:43586
Thu Jan 19 20:09:48 2012 10.0.0.60:43586 Fatal TLS error (check_tls_errors_co), restarting


syslog do meu notebook , tentando conectar na VPN , fora da redelocal .

Jan 20 08:32:07 zeus nm-openvpn[12688]: SIGUSR1[soft,connection-reset] received, process restarting
Jan 20 08:32:12 zeus nm-openvpn[12688]: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Jan 20 08:32:12 zeus nm-openvpn[12688]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Jan 20 08:32:12 zeus nm-openvpn[12688]: Re-using SSL/TLS context
Jan 20 08:32:12 zeus nm-openvpn[12688]: LZO compression initialized
Jan 20 08:32:12 zeus nm-openvpn[12688]: Attempting to establish TCP connection with [AF_INET]201.53.XXXXXX:1194 [nonblock]
Jan 20 08:32:13 zeus nm-openvpn[12688]: TCP connection established with [AF_INET]201.53.XXXXX:1194
Jan 20 08:32:13 zeus nm-openvpn[12688]: TCPv4_CLIENT link local: [undef]
Jan 20 08:32:13 zeus nm-openvpn[12688]: TCPv4_CLIENT link remote: [AF_INET]201.53.XXXX:1194
Jan 20 08:32:13 zeus nm-openvpn[12688]: Connection reset, restarting [0]
Jan 20 08:32:13 zeus nm-openvpn[12688]: SIGUSR1[soft,connection-reset] received, process restarting
Jan 20 08:32:18 zeus nm-openvpn[12688]: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Jan 20 08:32:18 zeus nm-openvpn[12688]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Jan 20 08:32:18 zeus nm-openvpn[12688]: Re-using SSL/TLS context
Jan 20 08:32:18 zeus nm-openvpn[12688]: LZO compression initialized
Jan 20 08:32:18 zeus nm-openvpn[12688]: Attempting to establish TCP connection with [AF_INET]201.53.XXXX:1194 [nonblock]
Jan 20 08:32:19 zeus nm-openvpn[12688]: TCP connection established with [AF_INET]201.53.XXXX:1194
Jan 20 08:32:19 zeus nm-openvpn[12688]: TCPv4_CLIENT link local: [undef]
Jan 20 08:32:19 zeus nm-openvpn[12688]: TCPv4_CLIENT link remote: [AF_INET]201.53.XXXX:1194
Jan 20 08:32:19 zeus nm-openvpn[12688]: Connection reset, restarting [0]
Jan 20 08:32:19 zeus nm-openvpn[12688]: SIGUSR1[soft,connection-reset] received, process restarting
Jan 20 08:32:22 zeus NetworkManager[4833]: <warn> VPN connection 'Server Home' (IP Config Get) timeout exceeded.
Jan 20 08:32:22 zeus nm-openvpn[12688]: SIGTERM[hard,init_instance] received, process exiting

magnopeem_rj
(usa Ubuntu)

Enviado em 20/01/2012 - 13:36h

caro colaborador ,

faz o seguinte ao chegar em casa me avisa vamos ver isso la

msn: magnopeem_rj@hotmail.com
skipe: magnopeem_rj
face: magnopeem