Si algunos de nuestros foros, manuales, ALDOS, paquetería o proyectos te han resultado de ayuda, apreciaremos mucho nos apoyes con un donativo.
|
![]() |
Índice > Todo acerca de Linux > Mesa de ayuda alumnos en curso. |
![]() ![]() |
![]() |
Pablo Diaz |
|
|||||
![]() ![]() ![]() ![]() ![]() Participa poco ![]() ![]() Inscrito: 23/05/08 Publicaciones: 29 País:Mexico. DF |
Saludos a todos:
Estoy intentando hacer funcionar el servicio de openvpn, sin embargo tengo problemas para conectarme a la red local donde se encuentra el servidor VPN (se encuentra en fedora 11). Conecto clientes vpn con la siguiente configuración:
client
dev tun
proto udp
remote 187.152.86.129 1194
float
resolv-retry infinite
nobind
persist-key
persist-tun
route 192.168.1.0 255.255.255.0
dhcp-option DNS 192.168.1.254
dhcp-option WINS 192.168.1.254
#------ SECCION DE LLAVES --------
ca "C:\\Archivos de Programa\\OpenVPN\\config\\ca.crt"
cert "C:\\Archivos de Programa\\OpenVPN\\config\\cliente1.crt"
key "C:\\Archivos de Programa\\OpenVPN\\config\\cliente1.key"
ns-cert-type server
#---------------------------------
comp-lzo
verb 3
desde el cliente solo alcanzo la ip de mi servidor VPN (192.168.1.109) sin embargo no alcanzo a los demás equipos.
Realizando algunas pruebas noto que al levantar el servicio en el servidor, la tabla de ruteo es:
Destination Gateway Genmask Flags Metric Ref Use Iface
172.1.2.2 * 255.255.255.255 UH 0 0 0 tun0
192.168.1.0 * 255.255.255.0 U 1 0 0 eth0
172.1.2.0 172.1.2.2 255.255.255.0 UG 0 0 0 tun0
default home 0.0.0.0 UG 0 0 0 eth0
por otro lado, desde el equipo cliente al ejecutar un tracert:
Traza a 192.168.1.254 sobre caminos de 30 saltos como máximo.
1 65 ms 62 ms 63 ms 172.1.2.1
2 * * * Tiempo de espera agotado para esta solicitud.
Algunas aclaraciones:
192.168.1.0 Es la red local donde se encuentra el servidor de VPN (192.168.1.109)
172.1.2.0 Es el segmento de la red virtual para la VPN
172.1.2.1 Ip asignada a tun0 en el servidor de VPN
No se si el problema se encuentra en la configuración del ruteo o en la configuración de shorewall. De antemano muchas gracias por la ayuda que pudieran proporcionarme en verdad estoy atorado.
Saludos
|
|||||
|
||||||
moy |
|
|||||
![]() ![]() ![]() ![]() ![]() Miembro Activo ![]() Inscrito: 29/11/08 Publicaciones: 262 |
Tienes configurado correctamente las iptables para que hagan el forward y la configuracion del server como la tienes.
|
|||||
|
||||||
Pablo Diaz |
|
|||||
![]() ![]() ![]() ![]() ![]() Participa poco ![]() ![]() Inscrito: 23/05/08 Publicaciones: 29 País:Mexico. DF |
Que tal Moy muchas gracias por responder.
No comprendo lo del forward que me comentas, será que tengo que declarar cada servicio de la red para que lo pueda ver desde la vpn. la configuracion en el server es: port 1194 proto udp dev tun #---- Seccion de llaves ---- ca keys/ca.crt cert keys/server.crt key keys/server.key dh keys/dh1024.pem # -------------------------- server 172.1.2.0 255.255.255.0 #push "route 192.168.1.0 255.255.255.0" ifconfig-pool-persist ipp.txt keepalive 10 120 comp-lzo persist-key persist-tun status openvpn-status-servervpn-udp-1194.log verb 3 La linea comentada del push lo probe de un comentario hecho por Juan Manuel Díaz en un tema tambien de openvpn sin embargo no me funciono. No utilizo iptables, sin embargo mi configuracion de shorewall es la siguiente: ####zones #ZONE TYPE OPTIONS IN OUT # OPTIONS OPTIONS fw firewall net ipv4 rem ipv4 loc ipv4 #LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE ####interfaces #ZONE INTERFACE BROADCAST OPTIONS net eth0 detect dhcp rem tun0 detect dhcp loc eth1 detect dhcp #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE ####policy ############################## #SOURCE DEST POLICY LOG LIMIT: CONNLIMIT: # LEVEL BURST MASK fw net ACCEPT net fw ACCEPT # OPENVPN----------- rem fw ACCEPT fw rem ACCEPT net rem ACCEPT rem net ACCEPT #--------------- #net all info all all DROP info #LAST LINE -- DO NOT REMOVE ####rules ##################################################################### #ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/ MARK CONNLIMIT TIME # PORT PORT(S) DEST LIMIT GROUP #SECTION ESTABLISHED #SECTION RELATED SECTION NEW ACCEPT net fw udp 1194 ACCEPT fw net udp 1194 ACCEPT net fw tcp 22,8080 ACCEPT net fw icmp ACCEPT rem net icmp ACCEPT net rem icmp ACCEPT rem net tcp 8080 #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE Instale una segunda tarjeta a la que la asigne como loc, sin embargo tampoco funciono, actualmente la tengo deshabilitada. Muchas gracias nuevamente. |
|||||
|
||||||
moy |
|
|||||
![]() ![]() ![]() ![]() ![]() Miembro Activo ![]() Inscrito: 29/11/08 Publicaciones: 262 |
pues lo del reenvio en el firewall para que dejes pasar los paquetes entre las interfazes la verdad no conozco el shorewall pero si le das un service iptables status podria entender mejor que es lo que tienes aplicado
|
|||||
|
||||||
rudy |
|
|||||
![]() ![]() ![]() ![]() ![]() Nuevo ![]() ![]() Inscrito: 02/09/09 Publicaciones: 10 País:Mexico D.F. |
Pablo te comento rapidamente :
para que Openvpn funcione con configuracion de red a red nececitas consierar lo siguiente: 1. Que los clientes esten en una red separada y con diferente red p.ej En la red 1 192.168.1.0/24 En la red 2 192.168.2.0/24 Porque se haria pelotas a la hora de rutear en tus clientes. 2. Ya sea que le pongas la regla en el openvpn.conf para el ruteo suponiendo que en tu vpn tengas segmento 172.16.1.0 pej : push "route 192.168.1.0 255.255.255.0 172.16.1.250" #para los clientes route 192.168.2.0 255.255.255.0 172.16.1.1 #para el lado del servidor incluyendo su lan 3. con iptables tienes que dar forward a las redes, si no jala agregale la opcion -s <red origen> -d <red destino> iptables -A FORWARD -i tap+ -j ACCEPT iptables -A FORWARD -o tap+ -j ACCEPT iptables -A INPUT -i tap+ -j ACCEPT iptables -A FORWARD -s 192.168.0.0/24 -p udp --dport 1194 -j ACCEPT #puerto de la vpn suponiendo que es el default Yo asi he implementado bastantes vpn sin problema, red a red, host a host y road warrior ... Saludos ... Ing. Isaac Sanchez Msn. backstreet_06@hotmail.com |
|||||
|
||||||
Pablo Diaz |
|
|||||
![]() ![]() ![]() ![]() ![]() Participa poco ![]() ![]() Inscrito: 23/05/08 Publicaciones: 29 País:Mexico. DF |
Muchas gracias Rudy
no se si el termino red a red es lo que requiero, solo para confirmar lo que busco es que desde el cliente puede alcanzar los equipos que tengo conectados en la red Lan donde se encuentra el servidor de vpn (192.168.1.0). no estoy muy familiarizado aún con el tema.
Seguramente algo estoy haciendo muy mal, pues aun no lo consigo.
Con las sugerencias que me diste, agregue estas 2 lineas en el servidor
push "route 192.168.0.0 255.255.255.0 172.1.2.6"
#192.168.0.0 es la red local del cliente 172.1.2.6 es la ip
#del cliente de la vpn
route 192.168.1.0 255.255.255.0 172.1.2.1
#192.168.1.0 es la red del server de vpn, 172.1.2.1 es la ip de vpn
Sin embargo con esto ya no alcanzo mi red dado que se ha modificado la tabla de ruteo:
[root@localhost openvpn]# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
172.1.2.2 * 255.255.255.255 UH 0 0 0 tun0
192.168.1.0 172.1.2.1 255.255.255.0 UG 0 0 0 tun0
192.168.1.0 * 255.255.255.0 U 1 0 0 eth0
172.1.2.0 172.1.2.2 255.255.255.0 UG 0 0 0 tun0
default 192.168.1.254 0.0.0.0 UG 0 0 0 eth0
En la conf del cliente solo agregue la siguiente linea:
route 192.168.1.0 255.255.255.0
#lo que entiendo es que anuncia la red del servidor de vpn.
Por otro lado, hay alguna forma que verificar que las reglas del iptables se estan aplicando? un service iptables status me da un monton de lineas que no comprendo y con direcciones 0.0.0.0, rescato lo siguiente:
vel 6 prefix `Shorewall:FORWARD
![]() |
|||||
|
||||||
Pablo Diaz |
|
|||||
![]() ![]() ![]() ![]() ![]() Participa poco ![]() ![]() Inscrito: 23/05/08 Publicaciones: 29 País:Mexico. DF |
Buenas tardes a todos:
Solo para comentarles que al fin e podido conectar los equipos como lo requería. les paso lo que a mi me funciono en cuanto a shorewall Como les comentaba, tengo habilitadas 2 interfaces: net(eth0) y loc(eth1), por otro lado la zona rem sobre la interface tun0 el archivo de policy fw all ACCEPT net all DROP info loc all REJECT info rem all REJECT info El archivo rules con los permisos que requiero Rules: ACCEPT all fw udp 1194 #Acceso desde la NET y REM al fw:ssh,squid,webmin ACCEPT loc fw tcp 22,8080,10000 ACCEPT rem fw tcp 8080 #Acceso de la vpn a red local: dns, netbios, rdp, mail. ACCEPT rem loc tcp 53,139,389,3389,25,2525,110 ACCEPT rem loc udp 53,139,389 LO QUE ME PERMITIO LA COMUNICACIOON FINALMENTE fue configurar el archivo masq, de la siguiente forma: #INTERFACE SOURCE ADDRESS PROTO PORT(S) IPSEC MARK eth1 tun0 #LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE Lo que permite que el tráfico que venga de la interfaz tun0 y vaya hacia la interfaz eth1 se enmascare y salga con la ip de la eth1. Quiza parezca muy obio sin embargo en lo personal me ha costado mucho trabajo comprender esto. Ahora tengo otra duda, como hacer para que una vez conectados los clientes, estos no tengan salida a internet mas que através de la vpn? lo re resuelto configurando el proxy sin embargo me gustaria saber si hay otra opcion. De nuevo gracias por todas sus aportaciones. Saludos |
|||||
|
||||||
Contenido generado en: 0,10 segundos |
![]() ![]() |
Todas las horas son UTC. Hora actual 12:24 . |
|
|