OpenVPN não pinga! RESOLVIDO

redrattt · Enviada: Seg Abr 23, 2007 10:55 am Assunto: OpenVPN não pinga! RESOLVIDO

Olá pessoal,

Estou com um problema pra configurar uma VPN com o OpenVPN em ambiente
Microsoft Windows XP

Está configurado da seguinte forma:

Tenho uma rede com servidor Linux com uma conexão ADSL Speedy.
Nesta rede está configurado 192.168.2.0/24. Dentro dessa rede eu tenho uma máquina com o IP 192.168.2.190 que esta com outro link ADSL Speedy
e nessa máquina tem instalado o servidor OpenVPN com a seguinte configuração:

## server.ovpn ##
port 1194
proto udp
dev tun
ca ca.crt
cert widget.crt
key widget.key
dh dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.2.0 255.255.255.0"
keepalive 10 120
comp-lzo
max-clients 4
persist-key
persist-tun
status openvpn-status.log
verb 3

Nos clientes está assim :

## cliente.ovpn ##
client
proto udp
dev tun
remote 200.x.x.x 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert fred.crt
key fred.key
comp-lzo
verb 3

Aí vem o problema, eu consigo fechar o tunel perfeitamente a máquina pinga o servidor e vice-versa. Porém eu não consigo pingar as outras estações de ambos os lados. É como se eu estivesse desconectado da outra rede, mas na verdade ele bloqueia a conexão e só libera do eu finalizo a conexão VPN

lenrek · Enviada: Seg Abr 23, 2007 2:43 pm Assunto:

Verifique a questão de rotas.

Falow Rolling Eyes

_________________
"A mente que se abre a uma nova idéia jamais volta ao seu tamanho original." (Albert Einstein)

redrattt · Enviada: Seg Abr 23, 2007 4:51 pm Assunto:

lenrek · Enviada: Seg Abr 23, 2007 4:59 pm Assunto:

Qual a classe de IP's da sua rede interna e qual da sua VPN ?
_________________
"A mente que se abre a uma nova idéia jamais volta ao seu tamanho original." (Albert Einstein)

jasonn · Enviada: Seg Abr 23, 2007 5:09 pm Assunto:

1- Você esta fazendo de servidor > servidor ou de cliente > servidor???

Caso precise de ajuda posso te ajudar nisso ae com as mãos nas costas :).

Quando o seu firewall esta parado funciona tudo normalmente??
_________________
Cristiano Furtado dos Santos
Gerente de Projetos de SL
Embaixador do Projeto Fedora Brasil.
Pagina Pessoal: http://jasonnfedora.eti.br

redrattt · Classe C 192.168.2.0/24

redrattt · Enviada: Ter Abr 24, 2007 8:23 am Assunto:

jasonn · Enviada: Ter Abr 24, 2007 9:13 am Assunto:

Vamos la meu fiu passo a passo tenho certeza que vc vai conseguir certo?? Esqueça o que vc fez e vamos fazer tudo novamente.

1- Pacotes necessários:

* openssl
* lzo
* pam
* openssl-devel
* lzo-devel
* pam-devel

2- Instalando pacotes:

yum install openssl lzo pam -y

3- Instalando Openvpn 2

yum install openvpn -y

4- Criando arquivos lado servidor PKI:

acesse ao diretório:
cd /usr/share/openvpn/easy-rsa/2.0/

5- Digite os comandos um por vez:

. ./vars
./clean-all
./build-ca

O ultimo comando executado (build-ca) gera o certificado (CA) e invoca a chave para o openssl.

ai:easy-rsa # ./build-ca
Generating a 1024 bit RSA private key
............++++++
...........++++++
writing new private key to 'ca.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [KG]: BR
State or Province Name (full name) [NA]: BAHIA
Locality Name (eg, city) [BISHKEK]: SALVADOR
Organization Name (eg, company) [OpenVPN-TEST]: VPN
Organizational Unit Name (eg, section) []: EMPRESA
Common Name (eg, your name or your server's hostname) []:USUARIO
Email Address [me@myhost.mydomain]: EMAIL@EMAIL.COM

6- Gerando certificado e chave para o servidor

./build-key-server server

7- Gerando certificado e chave para o cliente.

./build-key usuario

8- Gerando Diffie Hellman parametros. Isso pode demorar um pouco para terminar certo?

./build-dh

ai:easy-rsa # ./build-dh
Generating DH parameters, 1024 bit long safe prime, generator 2
This is going to take a long time
.................+...........................................
...................+.............+.................+.........
......................................

9- Copie todos os arquivos que estão dentro do diretório keys para o diretorio /etc/openvpn

cp keys/* /etc/openvpn

10- copie os arquivos do usuário para a maquina ou para algum lugar que você possa gravar em um cd, pendriver, etc...

Um Exemplo:
cp /etc/openvpn/usuario* /backup
cp /etc/openvpn/ca.crt /backup

LEMBRE-SE QUE VOCÊ NÃO IRÁ CONSEGUIR COPIAR O ARQUIVO usuario.key POIS ELE SÓ VEM COM A PERMISSÃO DE LEITURA E EXECUÇÃO. DÊ PERMISSÃO 777 PARA PODER PELO MENOS COPIAR ESSE ARQUIVO PARA OUTRA MAQUINA CERTO?

11- Criando o arquivo server.conf

Use essa configuração, sei que funciona, pois uso em todos os meus clientes:

cd /etc/openvpn

vim server.conf

local jasonnfedora.no-ip.org
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 10.10.10.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.0.0 255.255.255.0"
client-to-client
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn-status.log
log /var/log/openvpn.log
log-append /var/log/openvpn.log
verb 3

12- Configuração para o usuario:

cd /etc/openvpn

vim usuario.ovpn

client
dev tun
proto udp
remote jasonnfedora.no-ip.org 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert denize.crt
key denize.key
comp-lzo
verb 3

13 - Confimando arquivos para o usuário:

ca ca.crt
cert usuario.crt
key usuario.key
usuario.ovpn

Esses são os arquivos para o cliente. Copie eles para um cd, pendriver etc.

Lembrando de dar permissão no arquivo usuario.key senão não vai conseguir copiar a chave certo?

14- Startando o openvpn no servidor:

service openvpn start

[root@server ~]# tail -f /var/log/openvpn.log
Tue Apr 24 09:06:01 2007 GID set to nobody
Tue Apr 24 09:06:01 2007 UID set to nobody
Tue Apr 24 09:06:01 2007 Socket Buffers: R=[109568->131072] S=[109568->131072]
Tue Apr 24 09:06:01 2007 UDPv4 link local (bound): 189.12.29.163:1194
Tue Apr 24 09:06:01 2007 UDPv4 link remote: [undef]
Tue Apr 24 09:06:01 2007 MULTI: multi_init called, r=256 v=256
Tue Apr 24 09:06:01 2007 IFCONFIG POOL: base=10.10.10.4 size=62
Tue Apr 24 09:06:01 2007 IFCONFIG POOL LIST
Tue Apr 24 09:06:01 2007 USUARIO,10.10.10.4
Tue Apr 24 09:06:01 2007 Initialization Sequence Completed

Pronto VPN servidor funcionando.

15- Configurando o firewall:

Coloque essas linhas no seu iptables:

#PORTAS PARA OPENVPN

iptables -A INPUT -p udp --dport 1194 -j ACCEPT
iptables -A OUTPUT -p udp --sport 1194 -j ACCEPT

iptables -A INPUT -i tun+ -j ACCEPT
iptables -A OUTPUT -o tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A INPUT -i tap+ -j ACCEPT
iptables -A OUTPUT -o tap+ -j ACCEPT
iptables -A FORWARD -i tap+ -j ACCEPT
iptables -A INPUT -i ppp+ -j ACCEPT
iptables -A OUTPUT -o ppp+ -j ACCEPT
iptables -A FORWARD -i ppp+ -j ACCEPT
iptables -A INPUT -p gre -j ACCEPT

Lembre-se de liberar tambem a rede que vai acessar ao servidor, no meu caso Classe A.
iptables -A INPUT -s 10.0.0.0/8 -j ACCEPT

Pronto firewall liberado.

16- Baixando e Instalando o programa openvpn-gui no windows XP.

http://openvpn.se/files/install_packages/openvpn-2.0.9-gui-1.0.3-install.exe

Após feito a instalação do programa, copie os arquivos abaixo para o diretório ou use-a diretamente do cd ou pendriver. Os arquivos são:

ca ca.crt
cert usuario.crt
key usuario.key
usuario.ovpn

Clique com o botão direito no arquivo usuario.ovpn e clique em Start openvpn.

Pronto, Pingue para qualquer maquina dentro da rede e pronto.

Qualquer dúvida estou a sua inteira disposição certo?

Abraços.
_________________
Cristiano Furtado dos Santos
Gerente de Projetos de SL
Embaixador do Projeto Fedora Brasil.
Pagina Pessoal: http://jasonnfedora.eti.br

jasonn · Enviada: Ter Abr 24, 2007 9:15 am Assunto:

Depos que conseguir, acesse aqui e diga que essa é a melhor comunidade da BRASIL ja esta de bom tamanho hehehehe.
_________________
Cristiano Furtado dos Santos
Gerente de Projetos de SL
Embaixador do Projeto Fedora Brasil.
Pagina Pessoal: http://jasonnfedora.eti.br

lenrek · Enviada: Ter Abr 24, 2007 10:04 am Assunto:

redrattt · Enviada: Ter Abr 24, 2007 10:06 am Assunto:

jasonn · Enviada: Ter Abr 24, 2007 10:27 am Assunto:

Sim lembrando que ae é para openvpn 2 e não para o 1.6 certo?

De maquina linux para linux não tem mistério, é só você instalar o openvpn com o yum e jogar os arquivos para dentro do dir /etc/openvpn depois service openvpn start

Veja o log:

tail -f/ var/log/openvpn.log
_________________
Cristiano Furtado dos Santos
Gerente de Projetos de SL
Embaixador do Projeto Fedora Brasil.
Pagina Pessoal: http://jasonnfedora.eti.br

redrattt · Enviada: Ter Abr 24, 2007 3:57 pm Assunto:

jasonn · Enviada: Ter Abr 24, 2007 8:25 pm Assunto:

Veja só, você leu todo o materialque eu te mandei?? Se vc somente consegue pingar em um unico ip que é o 192.168.2.190 pode ter certeza que o firewall esta bloqueando o seu acesso nas outras maquinas, por que é assim, quando vc faz o tunel, na realidade o seu ip real esta na faixa 10.0.0.0 e pelo route add vc consegue acessar as maquinas com a faixa 192.168.0.0. Dessa forma se vc consegue pingar somente para essa maquina, tenha certeza que o firewall esta bloqueando o seu acesso as outras maquinas na rede. Faça a liberação desta faixa no seu firewall, confirme parando o firewall, somente dessa forma saberemos se é o firewall ou não.
PS: Você seguiu o meu tutorial?? Nunca falhou, tem varias empresas que seguiram ele e não erraram.
Abraços.
_________________
Cristiano Furtado dos Santos
Gerente de Projetos de SL
Embaixador do Projeto Fedora Brasil.
Pagina Pessoal: http://jasonnfedora.eti.br

redrattt · Enviada: Qui Abr 26, 2007 1:13 pm Assunto:

Jasonn,

Acabei de instalar o Fedora 6 e qdo digito o comando yum install openssl lzo pam -y, ele falha mostrando a seguinte msg :

Error: Cannot find a valid baseurl for repo: core

o que pode ser ?