Openvpn não comunica [RESOLVIDO]

rarmor
(usa Ubuntu)

Enviado em 19/12/2011 - 16:45h

Bom dia estou precisando de uma ajuda com um servidor Openvpn no seguinte ambiente:

Obs. Como os melhores especialistas que conheço em linux andam por aqui resolvi postar minha pergunta no local correto.. hhehehe.

Servidor no Virtualbox (estação win7 rodando virtualbox e ubuntu server 10.10 com openvpn instalado e configurado como servidor), estações clientes windows autonomas – notebooks - pelo mundo a fora vão se conectar neste servidor (futuramente um server dedicado).

Servidor Ambiente de rede:

Rede 192.168.1.0 Máscara 255.255.255.240

IP do servidor: 192.168.1.4 (rede modo bridge com uma interface eth0)

DHCP Server: 192.168.1.2

DNS Server: 192.168.1.2

Gateway: 192.168.1.1

Todas as interfaces funcionaram normalmente mas o cliente não se comunica com a matriz segundo os logs no servidor este está funcionando normalmente.

server.conf

#/etc/openvpn/server.conf

#interface porta e protocolo
dev tun

port 6969

proto udp

#certificados e chaves
ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt

cert /etc/openvpn/easy-rsa/2.0/keys/servidor.crt

key /etc/openvpn/easy-rsa/2.0/keys/servidor.key

dh /etc/openvpn/easy-rsa/2.0/keys/dh1024.pem


#configuracoes do servidor

#ip do servidor local

local 192.168.1.4 255.255.255.240

#faixa de end. utilizada pela vpn

server 10.0.0.0 255.255.255.0

#empurra a rota para o cliente para a rede principal

push "route 192.168.1.0 255.255.255.240"

#Configuracoes de DHCP

push "dhcp-option DNS 192.168.1.2"

push "default-gateway 192.168.1.1"


#esta linha faz com que o gatway senha o da matriz da vpn

push "redirect-gateway def1"

#tls servidor

tls-server

#um ping a cada 10 segundos e se por 120 segundos nao responder derruba

keepalive 10 120

#numero maximo de clientes de vpn

max-clients 5

#algoritmo de compressao utilizado

comp-lzo

#usuario e grupos para o servico vpn

user nobody

group nogroup

#mantem a interface aberta e a chave carregadas

persist-key

persist-tun

#para ips dinamicos mesmo que o ip mude o tunel continua funcionando

float

#mantem um pool de ips salvos (estilo restrict dhcp)

ifconfig-pool-persist /etc/openvpn/ipp.txt


#limita o trafego de saida nas vpns (corresponde a 50k em kbytes)

#shaper 51200


#SEGURANCA

#esta opecao protege os clientes contra ataques ddos

tls-auth /etc/openvpn/static.key 0

#esta opcao almenta a seguranca dos clientes contra man-in-the-midle

#remote-cert-tls server
(não funcionou da erro)


# logs do servidor

verb 6

status /var/log/openvpn/status.log

log-append /var/log/openvpn/messages.log

log /var/log/openvpn/logsvpn.log

_______________fim do server.conf____________________


#Client.conf

dev tun0
port 6969
proto udp
remote xxxxxxx.dyndns.org
ns-cert-type server
auth-retry nointeract
client
pull
comp-lzo
keepalive 15 120
persist-key
persist-tun
tls-auth static.key
tls-client
float
resolv-retry infinite
nobind
auth-nocache
ca key/ca.crt
dh key/dh1024.pem
cert key/cliente01.crt
cert key/cliente01.key

________________________fim do arquivo de configuração do cliente_________


O que estaria errado na configuração para que os clientes e o server não comuniquem?


Desde já meu muito obrigado pela atenção.

danniel-lara
(usa Fedora)

Enviado em 19/12/2011 - 16:49h

a hora esta exatamente igual ?
tive o mesmo problema e era a hora que estava diferente por isso não conectava
de uma olhada

rarmor
(usa Ubuntu)

Enviado em 19/12/2011 - 17:05h

Bom realmente a hora no server não estava correta eu acertei com o cliente mas mesmo assim não está pingando do cliente no server. Não consigo pingar o IP do server 192.168.1.4, acho que tem algo errado de rota mas estou com dificuldade de verificar se que na hora da configuração do server eu executei o comando:
#iptables -t nat -s 10.0.0.2 -A POSTROUTING -o eth0 -j MASQUERADE

Acabei de ver outro detalhe que no cliente não está aplicando as rotas está dando acesso negado (requer elevação de privilégio), é win7 (que meleca).

acho que devo verificar as rotas mas como faze-lo?

Seguinte descobri dois probleamas diferentes:

1) O cliente VPN na estação Win7 estava com o serviço do Openvpn Service com acesso negado isto fazia com que as configurações não funcionassem quando aplicadas eu passei o serviço para inicializar automaticamente o cliente funcionou corretamente e esta parte foi solucionada.

2) Agora estou resolvendo o problema dos roteamentos o objetivo é que os clientes acessem informações na rede da matriz e a matriz acesse informações nos clientes por enquanto não consigo buscar informações fora do server eu exclui a configuração (iptables -t nat -s 10.0.0.2 -A POSTROUTING -o eth0 -j MASQUERADE).

Se alguem puder me ajudar agradeço desde já.

rarmor
(usa Ubuntu)

Enviado em 22/12/2011 - 13:34h

1) O cliente VPN na estação Win7 estava com o serviço do Openvpn Service com acesso negado isto fazia com que as configurações não funcionassem quando aplicadas eu passei o serviço para inicializar automaticamente o cliente funcionou corretamente e esta parte foi solucionada.

Este problema eu resolvi, há um bloqueio do serviço no Openvpn Service ao inicializar o aplicativo do Openvpn onde mesmo abrindo como administrador o aplicativo dá mensagem que não pode aplicar as rotas, resolvi este problema abrindo o gerenciador de serviços e tornando o servidor Openvpn Service automático reiniciei e funcionou normalmente.

Fica faltando agora a parte de rotas, pois quero que os micros da Matriz acessem pelo servidor os clientes e que os clientes acessem os compartilhamentos dos micros e aplicativos na Matriz.


Desde já muito obrigado a quem me ajudar.

removido
(usa Nenhuma)

Enviado em 22/12/2011 - 16:31h

Se a conexão foi estabelecida entre servidor e cliente e só falta comunicação (ex: pingar), pode usar o dispositivo virtual tap ao invés do tun, aqui funciona beleza.

rarmor
(usa Ubuntu)

Enviado em 27/12/2011 - 11:28h

Bom dia, senhores eu efetuei todos os testes que me indicaram beleza agora com tudo no ar somente não estou conseguindo acessar dos clientes a rede da matriz, pingo perfeitamente o ip interno do servidor mas não consigo pingar os clientes dentro da rede do servidor da matriz.

cliente|(tap0 - 10.0.0.4)<----VPN----->(10.0.0.1 - tap0) SERVIDOR_VPN
......(lan - 192.168.2.1/24).................(192.168.1.4/28 - eth0)
.................................................................................(outros clientes) 192.168.1.5 até 14


ping 10.0.0.1 (responde normal)....................ping 10.0.0.4 (responde normal)
ping 191.168.1.4 (responde normal)....................ping 192.168.1.5 (responde normal na LAN)
ping 192.168.1.5 (NÃO RESPONDE)....................


Estou começando a ficar desesperado, pois não sei mais onde funcionar o acesso a lan do servidor VPN.

removido
(usa Nenhuma)

Enviado em 27/12/2011 - 14:52h

A rede do servidor 192.168.1.0/28 consegue pingar na rede 192.168.2.0/24 ?

1º - ative o redirecionamento de pacotes no servidor;

# echo 1 > /proc/sys/net/ipv4/ip_forward

2º - Ative o roteamento usando o nat no servidor;

# iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o interface local (usada para comunicação com 192.168.1.0/28) -j MASQUERADE

exemplo: # iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE

3º - É necessário que o cliente tenha uma rota para enviar os pacotes até 192.168.1.0/28;

Por exemplo: route add -net 192.168.1.0 netmask 255.255.255.240 gw 10.0.0.1 dev interface virtual

# route add -net 192.168.1.0 netmaks 255.255.255.240 gw 10.0.0.1 dev tap0


Comente também essas linhas abaixo no arquivo do servidor e reinicie o serviço em ambos (servidor e cliente)

push "dhcp-option DNS 192.168.1.2"
push "default-gateway 192.168.1.1"
push "redirect-gateway def1"


retorna ai..

rarmor
(usa Ubuntu)

Enviado em 27/12/2011 - 16:14h

O maravilhoso comando:

#iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

funcionou maravilhosamente bem inserido no arquivo /etc/rc.local

comentei também as opções que me falou FUNCIONOU HHHHHHHAAAAAAHULLLLLLLLL....

Sa Bo Nim Kiugné (Traduzindo SAUDAÇÃO AO MESTRE eabreu)...

Muito obrigado também a todos os outros que contribuiram.

ratafonso
(usa Debian)

Enviado em 15/04/2013 - 12:22h

Tive o mesmo problema do amigo citado acima, adicionei a regra do POSTROUTING e do servidor que está se conectando como cliente eu consigo acessar, porém das máquinas virtuais penduradas nele eu não consigo pingar a LAN do Server VPN.

Infra Client:

LAN=10.10.10.0/24
GATEWAY=10.10.10.1
tun1=10.0.0.2

Infra Server:

LAN=192.168.1.0/24
GATEWAY=192.168.1.45
tun0=10.0.0.1

Do servidor 10.10.10.1 eu consigo pingar a rede 192.168.1.0/24, porém ao acessar uma máquina virtual do servidor 10.10.10.1 eu não consigo pingar a rede LAN 192.168.1.0/24, eu consigo pingar apenas o gateway padrão que é 192.168.1.45.

Da LAN 192.168.1.0/24 eu consigo pingar todos os IPs dentro da LAN 10.10.10.0/24.

As rotas estão OK

Se alguém puder me dar uma luz eu agradeço =)

mbrainiac
(usa Debian)

Enviado em 24/10/2013 - 12:44h

Se alguém poder me ajudar:

http://www.vivaolinux.com.br/topico/servidores-VPN/Comunicando-client-Debian-ao-openvpn-num-VirtualB...