Saludos a todos: Estoy intentando hacer funcionar el servicio de openvpn, sin embargo tengo problemas para conectarme a la red local donde se encuentra el servidor VPN (se encuentra en fedora 11). Conecto clientes vpn con la siguiente configuración: client dev tun proto udp remote 187.152.86.129 1194 float resolv-retry infinite nobind persist-key persist-tun route 192.168.1.0 255.255.255.0 dhcp-option DNS 192.168.1.254 dhcp-option WINS 192.168.1.254 #------ SECCION DE LLAVES -------- ca "C:\\Archivos de Programa\\OpenVPN\\config\\ca.crt" cert "C:\\Archivos de Programa\\OpenVPN\\config\\cliente1.crt" key "C:\\Archivos de Programa\\OpenVPN\\config\\cliente1.key" ns-cert-type server #--------------------------------- comp-lzo verb 3 desde el cliente solo alcanzo la ip de mi servidor VPN (192.168.1.109) sin embargo no alcanzo a los demás equipos. Realizando algunas pruebas noto que al levantar el servicio en el servidor, la tabla de ruteo es: Destination Gateway Genmask Flags Metric Ref Use Iface 172.1.2.2 * 255.255.255.255 UH 0 0 0 tun0 192.168.1.0 * 255.255.255.0 U 1 0 0 eth0 172.1.2.0 172.1.2.2 255.255.255.0 UG 0 0 0 tun0 default home 0.0.0.0 UG 0 0 0 eth0 por otro lado, desde el equipo cliente al ejecutar un tracert: Traza a 192.168.1.254 sobre caminos de 30 saltos como máximo. 1 65 ms 62 ms 63 ms 172.1.2.1 2 * * * Tiempo de espera agotado para esta solicitud. Algunas aclaraciones: 192.168.1.0 Es la red local donde se encuentra el servidor de VPN (192.168.1.109) 172.1.2.0 Es el segmento de la red virtual para la VPN 172.1.2.1 Ip asignada a tun0 en el servidor de VPN No se si el problema se encuentra en la configuración del ruteo o en la configuración de shorewall. De antemano muchas gracias por la ayuda que pudieran proporcionarme en verdad estoy atorado. Saludos

Tienes configurado correctamente las iptables para que hagan el forward y la configuracion del server como la tienes.

Que tal Moy muchas gracias por responder.

No comprendo lo del forward que me comentas, será que tengo que declarar cada servicio de la red para que lo pueda ver desde la vpn. la configuracion en el server es:

port 1194
proto udp
dev tun
#---- Seccion de llaves ----
ca keys/ca.crt
cert keys/server.crt
key keys/server.key
dh keys/dh1024.pem
# --------------------------
server 172.1.2.0 255.255.255.0
#push "route 192.168.1.0 255.255.255.0"
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status-servervpn-udp-1194.log
verb 3

La linea comentada del push lo probe de un comentario hecho por Juan Manuel Díaz en un tema tambien de openvpn sin embargo no me funciono.

No utilizo iptables, sin embargo mi configuracion de shorewall es la siguiente:

####zones
#ZONE TYPE OPTIONS IN OUT
# OPTIONS OPTIONS
fw firewall
net ipv4
rem ipv4
loc ipv4
#LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE


####interfaces
#ZONE INTERFACE BROADCAST OPTIONS
net eth0 detect dhcp
rem tun0 detect dhcp
loc eth1 detect dhcp
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE


####policy
##############################
#SOURCE DEST POLICY LOG LIMIT: CONNLIMIT:
# LEVEL BURST MASK
fw net ACCEPT
net fw ACCEPT
# OPENVPN-----------
rem fw ACCEPT
fw rem ACCEPT
net rem ACCEPT
rem net ACCEPT
#---------------
#net all info
all all DROP info
#LAST LINE -- DO NOT REMOVE


####rules
#####################################################################
#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/ MARK CONNLIMIT TIME
# PORT PORT(S) DEST LIMIT GROUP
#SECTION ESTABLISHED
#SECTION RELATED
SECTION NEW
ACCEPT net fw udp 1194
ACCEPT fw net udp 1194
ACCEPT net fw tcp 22,8080
ACCEPT net fw icmp
ACCEPT rem net icmp
ACCEPT net rem icmp
ACCEPT rem net tcp 8080
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

Instale una segunda tarjeta a la que la asigne como loc, sin embargo tampoco funciono, actualmente la tengo deshabilitada.

Muchas gracias nuevamente.

pues lo del reenvio en el firewall para que dejes pasar los paquetes entre las interfazes la verdad no conozco el shorewall pero si le das un service iptables status podria entender mejor que es lo que tienes aplicado

Pablo te comento rapidamente :
para que Openvpn funcione con configuracion de red a red nececitas consierar lo siguiente:
1. Que los clientes esten en una red separada y con diferente red p.ej
En la red 1 192.168.1.0/24
En la red 2 192.168.2.0/24
Porque se haria pelotas a la hora de rutear en tus clientes.
2. Ya sea que le pongas la regla en el openvpn.conf para el ruteo suponiendo que en tu vpn tengas segmento 172.16.1.0 pej :
push "route 192.168.1.0 255.255.255.0 172.16.1.250" #para los clientes
route 192.168.2.0 255.255.255.0 172.16.1.1 #para el lado del servidor incluyendo su lan

3. con iptables tienes que dar forward a las redes, si no jala agregale la opcion -s <red origen> -d <red destino>
iptables -A FORWARD -i tap+ -j ACCEPT
iptables -A FORWARD -o tap+ -j ACCEPT
iptables -A INPUT -i tap+ -j ACCEPT

iptables -A FORWARD -s 192.168.0.0/24 -p udp --dport 1194 -j ACCEPT #puerto de la vpn suponiendo que es el default


Yo asi he implementado bastantes vpn sin problema, red a red, host a host y road warrior ...

Saludos ...

Muchas gracias Rudy no se si el termino red a red es lo que requiero, solo para confirmar lo que busco es que desde el cliente puede alcanzar los equipos que tengo conectados en la red Lan donde se encuentra el servidor de vpn (192.168.1.0). no estoy muy familiarizado aún con el tema. Seguramente algo estoy haciendo muy mal, pues aun no lo consigo. Con las sugerencias que me diste, agregue estas 2 lineas en el servidor push "route 192.168.0.0 255.255.255.0 172.1.2.6" #192.168.0.0 es la red local del cliente 172.1.2.6 es la ip #del cliente de la vpn route 192.168.1.0 255.255.255.0 172.1.2.1 #192.168.1.0 es la red del server de vpn, 172.1.2.1 es la ip de vpn Sin embargo con esto ya no alcanzo mi red dado que se ha modificado la tabla de ruteo: [root@localhost openvpn]# route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 172.1.2.2 * 255.255.255.255 UH 0 0 0 tun0 192.168.1.0 172.1.2.1 255.255.255.0 UG 0 0 0 tun0 192.168.1.0 * 255.255.255.0 U 1 0 0 eth0 172.1.2.0 172.1.2.2 255.255.255.0 UG 0 0 0 tun0 default 192.168.1.254 0.0.0.0 UG 0 0 0 eth0 En la conf del cliente solo agregue la siguiente linea: route 192.168.1.0 255.255.255.0 #lo que entiendo es que anuncia la red del servidor de vpn. Por otro lado, hay alguna forma que verificar que las reglas del iptables se estan aplicando? un service iptables status me da un monton de lineas que no comprendo y con direcciones 0.0.0.0, rescato lo siguiente: vel 6 prefix `Shorewall:FORWARDROP:' 8 DROP all -- 0.0.0.0/0 0.0.0.0/0 9 ACCEPT udp -- 192.168.1.0/24 0.0.0.0/0 udp dpt:1194 Hasta ahora solo consigo ping desde un cliente, a la ip local de mi servidor de vpn (192.168.1.109). De nuevo gracias por la ayuda que pudieran brindarme Saludos

Buenas tardes a todos:

Solo para comentarles que al fin e podido conectar los equipos como lo requería. les paso lo que a mi me funciono en cuanto a shorewall

Como les comentaba, tengo habilitadas 2 interfaces: net(eth0) y loc(eth1), por otro lado la zona rem sobre la interface tun0

el archivo de policy
fw all ACCEPT
net all DROP info
loc all REJECT info
rem all REJECT info

El archivo rules con los permisos que requiero

Rules:
ACCEPT all fw udp 1194
#Acceso desde la NET y REM al fw:ssh,squid,webmin
ACCEPT loc fw tcp 22,8080,10000
ACCEPT rem fw tcp 8080
#Acceso de la vpn a red local: dns, netbios, rdp, mail.
ACCEPT rem loc tcp 53,139,389,3389,25,2525,110
ACCEPT rem loc udp 53,139,389

LO QUE ME PERMITIO LA COMUNICACIOON FINALMENTE fue configurar el archivo masq, de la siguiente forma:

#INTERFACE SOURCE ADDRESS PROTO PORT(S) IPSEC MARK
eth1 tun0
#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE

Lo que permite que el tráfico que venga de la interfaz tun0 y vaya hacia la interfaz eth1 se enmascare y salga con la ip de la eth1.

Quiza parezca muy obio sin embargo en lo personal me ha costado mucho trabajo comprender esto.

Ahora tengo otra duda, como hacer para que una vez conectados los clientes, estos no tengan salida a internet mas que através de la vpn? lo re resuelto configurando el proxy sin embargo me gustaria saber si hay otra opcion.

De nuevo gracias por todas sus aportaciones.
Saludos