Dúvida openvpn [RESOLVIDO]

removido
(usa Nenhuma)

Enviado em 22/06/2012 - 00:38h

Desativei ele

resposta do iptables -nvL

root@hrtgb-controle:/etc/openvpn# iptables -nvL
Chain INPUT (policy ACCEPT 218 packets, 33112 bytes)
pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 1427 packets, 1076K bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 118 packets, 10364 bytes)
pkts bytes target prot opt in out source destination


Mesmo assim não consigo pingar..

removido
(usa Nenhuma)

Enviado em 22/06/2012 - 00:47h

bom já tive problema parecido e quando mudei para o tap funcionou blz, porém no teu firewall é melhor usar a liberação da faixa de ip da vpn do que pela interface nesse momento.

qual distro roda no servidor ? tem algum bloqueio para pacotes icmps no servidor ? no windows já verificou se tem algum bloqueio contra pacotes icmps ?

caso tenha algum bloqueio retira eles, e teste usando a interface virtual tap.

removido
(usa Nenhuma)

Enviado em 22/06/2012 - 00:51h

Estou utilizando ubuntu, o icmps aparentemente está liberado ok como poder ver nas rules do shore no windows não tem bloqueio pois consigo pingar meu ip dedicado externo do server..

em relação ao tap quando altero a config matriz.conf em dev tun para dev tap e dou um restart no openvpn o seguinte erro acontece:

* Stopping virtual private network daemon(s)... * Stopping VPN 'matriz' [ OK ]
* Starting virtual private network daemon(s)... * Autostarting VPN 'matriz' SIOCSIFNETMASK: Invalid argument
[fail]


root@hrtgb-controle:/etc/openvpn# ifconfig tap
tap: error fetching interface information: Device not found
root@hrtgb-controle:/etc/openvpn# ifconfig tap0
tap0: error fetching interface information: Device not found
root@hrtgb-controle:/etc/openvpn#

removido
(usa Nenhuma)

Enviado em 22/06/2012 - 10:23h

Não é pingar o ip externo e sim do ip da interface da vpn.

os dispositivos em ambas as máquinas é tun0 ou tun1 ? pois no seu post anterior vi uma rota passando por ambas interfaces:

Destination Gateway Genmask Flags Metric Ref Use Iface
172.16.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
172.16.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun1
201.67.*.* 0.0.0.0 255.255.255.248 U 0 0 0 eth0
10.1.0.0 0.0.0.0 255.255.252.0 U 0 0 0 eth1
0.0.0.0 201.67.*.* 0.0.0.0 UG 100 0 0 eth0

aproveita e comenta a linha de roteamento e reinicia e tenta pingar:

# route-up "route add 10.1.0.0 mask 255.255.252.0 172.16.0.2"

removido
(usa Nenhuma)

Enviado em 22/06/2012 - 10:27h

o dispositivo é tun como pode ver no arquivo matriz.conf

# Usar como interface o driver TUN
dev tun


Mas não sei pq diabos o server lista

tun0 e tun1 no ifconfig

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:172.16.0.1 P-t-P:172.16.0.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:56 errors:0 dropped:0 overruns:0 frame:0
TX packets:9258 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:4774 (4.7 KB) TX bytes:1116552 (1.1 MB)

tun1 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:172.16.0.1 P-t-P:172.16.0.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:567 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:163451 (163.4 KB) TX bytes:0 (0.0 B)



Ja tentei comentar aquela linha na filial.conf e não resolveu :S putz ´ta [*****]

removido
(usa Nenhuma)

Enviado em 22/06/2012 - 10:51h

olha só verificando seus arquivos de configuração tanto no cliente quanto no servidor, vi que especificou a porta diferente porém quando especifica porta diferente tem que especificar também o protocolo que será usado na transferência de dados, indicado pela opção "proto protocolo", indico utilizar o udp pois tem melhor desempenho.

então o arquivo ficaria:

server

# Usar como interface o driver TUN

dev tun

# 10.0.0.1 ip que sera assumido na matriz

# 10.0.0.2 ip remoto, ou seja, esse sera o ip da filial

ifconfig 172.16.0.1 172.16.0.2

# Entra no diretorio onde se encontram os arquivos de configuracao

cd /etc/openvpn

# Indica que esse tunel possui uma chave de criptografia

secret chave

# OpenVPN usa a porta 5000/UDP por padrao

# Cada tunel do OpenVPN deve usar

# uma porta diferente.

# O padrao eh a porta 5000

proto udp

port 5001

# Usuario que rodara o daemon do OpenVPN

user nobody

# Grupo que rodara o daemon do OpenVPN

group nobody

#Usa a biblioteca lzo

comp-lzo

# Envia um ping via UDP para a parte

# remota a cada 15 segundos para manter

# a conexao de pe em firewall statefull

# Muito recomendado, mesmo se voce nao usa

# um firewall baseado em statefull.

ping 15

# Nivel de log

verb 3

 

no cliente

dev tun

ifconfig 172.16.0.2 172.16.0.1

remote 201.67.*.*

secret chave

proto udp

port 5001

comp-lzo

script-security 2 system

route-up "route add 10.1.0.0 mask 255.255.252.0 172.16.0.2"

ping 15

verb 3

 

teste usando o tun e a interface tap também.

removido
(usa Nenhuma)

Enviado em 22/06/2012 - 11:27h

Fiz as config e não pinga mesmo com o shorewall desativado..

quando defino no arquivo dev tap na matriz.conf o seguinte erro é reportado nos logs

Fri Jun 22 11:26:29 2012 OpenVPN 2.1.0 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [MH] [PF_INET6] [eurephia] built on Jul 20 2010
Fri Jun 22 11:26:29 2012 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Fri Jun 22 11:26:29 2012 /usr/sbin/openvpn-vulnkey -q chave
Fri Jun 22 11:26:29 2012 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Jun 22 11:26:29 2012 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Jun 22 11:26:29 2012 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Jun 22 11:26:29 2012 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Jun 22 11:26:29 2012 LZO compression initialized
Fri Jun 22 11:26:29 2012 WARNING: Since you are using --dev tap, the second argument to --ifconfig must be a netmask, for example something like 255.255.255.0. (silence this warning with --ifconfig-nowarn)
Fri Jun 22 11:26:29 2012 TUN/TAP device tap0 opened
Fri Jun 22 11:26:29 2012 TUN/TAP TX queue length set to 100
Fri Jun 22 11:26:29 2012 /sbin/ifconfig tap0 172.16.0.1 netmask 172.16.0.2 mtu 1500 broadcast 255.255.255.253
SIOCSIFNETMASK: Invalid argument
Fri Jun 22 11:26:29 2012 Linux ifconfig failed: external program exited with error status: 1
Fri Jun 22 11:26:29 2012 Exiting





Arquivo de log openvpn-status.log com o DEV TUN

OpenVPN STATISTICS
Updated,Fri Jun 22 11:30:20 2012
TUN/TAP read bytes,0
TUN/TAP write bytes,12783
TCP/UDP read bytes,61512
TCP/UDP write bytes,692
Auth read bytes,53064
pre-compress bytes,310
post-compress bytes,304
pre-decompress bytes,29719
post-decompress bytes,35560
END

removido
(usa Nenhuma)

Enviado em 22/06/2012 - 11:38h

você usou a configuração citada acima com a interface tun também ?

comenta as linhas abaixo em ambos os arquivos e reinicia o servidor e o cliente ambos usando a interface tun:

user nobody

group nobody

 

pergunta o nome da chave de criptografia é chave mesmo ou static.key ?

removido
(usa Nenhuma)

Enviado em 22/06/2012 - 11:42h

Sim, usei a config como tun e tap mas tap está dando problema..

Fiz um scan com o nmap da minha máquina para o 172.16.0.1 e resultou no seguinte:

Nmap scan report for 172.16.0.1
Host is up (0.0013s latency).
All 1000 scanned ports on 172.16.0.1 are closed
MAC Address: 00:FF:AF:64:D3:93 (Unknown)


O scan do server matriz para o cliente filial resultou no seguinte:

root@hrtgb-controle:/var/log/openvpn# nmap -O 172.16.0.2 -PN

Starting Nmap 5.00 ( http://nmap.org ) at 2012-06-22 11:38 BRT
Interesting ports on 172.16.0.2:
Not shown: 999 filtered ports
PORT STATE SERVICE
2869/tcp open unknown
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running (JUST GUESSING) : Microsoft Windows 2008|Vista (89%), FreeBSD 6.X (85%)
Aggressive OS guesses: Microsoft Windows Server 2008 Beta 3 (89%), Microsoft Windows Vista SP0 or SP1 or Server 2008 SP1 (89%), Microsoft Windows Vista or Windows Server 2008 SP1 (86%), FreeBSD 6.2-RELEASE (85%)
No exact OS matches for host (test conditions non-ideal).


Acho que tem algum problema com rotas ou firewall né?

removido
(usa Nenhuma)

Enviado em 22/06/2012 - 12:08h

Consegui ativar o TAP com o seguinte comando:

openvpn --mktun --dev tap

Depois configurei o matriz.conf com o dev tap e deu certo a configuração por TAP e não por TUN mas ainda não consigo pingar..

Segue config matriz.conf e filial.conf


matriz.conf:

# Usar como interface o driver TUN
dev tap
#Permite conexoes SSL/TLS e assume ser o servidor
#tls-server
#mode server
ifconfig 172.16.0.1 255.255.255.0
#client-to-client
push "ping 10"
push "ping-restart 120"
push "route 172.16.1.0 255.255.255.0 172.16.0.1"
push "dhcp-options DNS 172.16.0.1"
# 172.16.0.1 ip que sera assumido na matriz
# 172.16.0.2 ip remoto, ou seja, esse sera o ip da filial
#ifconfig 172.16.0.1 172.16.0.2
# Entra no diretorio onde se encontram os arquivos de configuracao
cd /etc/openvpn
# Indica que esse tunel possui uma chave de criptografia
secret chave
# OpenVPN usa a porta 5000/UDP por padrao
# Cada tunel do OpenVPN deve usar
# uma porta diferente.
# O padrao eh a porta 5000
#proto udp
port 5001
# Usuario que rodara o daemon do OpenVPN
#user nobody
# Grupo que rodara o daemon do OpenVPN
#group nobody
#Usa a biblioteca lzo
comp-lzo
# Envia um ping via UDP para a parte
# remota a cada 15 segundos para manter
# a conexao de pe em firewall statefull
# Muito recomendado, mesmo se voce nao usa
# um firewall baseado em statefull.
ping-timer-rem
keepalive 10 120
#habilita a compressao no link vpn
comp-lzo
#Permite um restart sem fechar a conexao e re-ler as chaves
persist-key
#persist-tun
#Log de status das conexoes
status /var/log/openvpn/openvpn-status.log
#Define um arquivo de log, pois o padrao eh o /var/log/syslog
log /var/log/openvpn/openvpn.log
log-append /var/log/openvpn/openvpn.log
# Nivel de log
verb 5



filial.conf

dev tap0
ifconfig 172.16.0.2 255.255.255.0
remote 201.67.158.42
secret chave
port 5001
ping-timer-rem
persist-key
persist-tun
comp-lzo
script-security 2 system
ping 10
ping-restart 120
push "ping 10"
push "ping-restart 120"
verb 5

removido
(usa Nenhuma)

Enviado em 22/06/2012 - 12:10h

Tá evoluindo o negócio, agora consigo pingar da minha máquina 172.16.0.2 para o ip da matriz 172.16.0.1 mas da máquina matriz 172.16.0.1 para a filial 172.16.0.2 não consigo pingar..

Problema nas rotas?

removido
(usa Nenhuma)

Enviado em 22/06/2012 - 12:16h

seu windows tá com algum bloqueio, acho que é o firewall. verifca no firewall do windows.

não esquece de ativar o protocolo de transferência na comunicação em ambas maquinas usando:

proto udp

ou

proto tcp

usando proto udp tem melhor desempenho e aproveita e ativa as rotas desativadas anteriormente.