OpenVPN com Samba (CAINDO)

error13
(usa Ubuntu)

Enviado em 31/10/2013 - 11:00h

ola
configurei um server Ubuntu 12.04 para ter acesso VPN, utilizei openvpn, ele esta com link dedicado porem a conexão não esta instável.
ele conecta porem coloca ele pra pinga perde conexão todo tempo.

segue as configurações:

###### server ####
arquivo /etc/openvpn/matriz.conf

dev tap
port 1194
proto udp
ca keys/ca.crt
cert keys/matriz.crt
key keys/matriz.key
dh keys/dh1024.pem
server 192.168.255.0 255.255.255.0
push "route 10.0.0.0 255.255.255.0"
keepalive 10 60
max-clients 5
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
verb 3

#######################
configuração do client

dev tap
port 1194
proto udp
remote 200.x.x.x
ifconfig 192.168.255.13 192.168.0.1
ca ca.crt
cert filial.crt
key filial.key
tls-client
keepalive 10 120
max-clients 15
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
verb 3

######################

alguem tem alguma ideia para me ajudar?
pode ser algum conflito no samba?

lembrando que o client é Windows.

brunarega
(usa Slackware)

Enviado em 31/10/2013 - 13:30h

Coloca no começo do arquivo o parametro "mode server" no arquivo do servidor, add o parâmetro de log, depois verifica no logs para ver o q ele informa, vê se com o 3 ele te da alguma informação útil se não disser nada muda para 5 ou 6.

error13
(usa Ubuntu)

Enviado em 31/10/2013 - 14:57h

Ola Bruna Obrigado pela Dica

fiz as alteracoes no matriz.conf:
segue as alteracoes:
####################### server ####################
dev tap
port 5001
proto udp
ca keys/ca.crt
cert keys/matriz.crt
key keys/matriz.key
dh keys/dh1024.pem
server 192.168.255.0 255.255.255.0
push "route 10.0.0.0 255.255.255.0"
#push "dhcp-option DNS 192.168.0.1"
comp-lzo
max-clients 10
user nobody
group nogroup
persist-key
persist-tun
#log
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
log-append /var/log/openvpn/openvpn.log
#duplicate-cn
####################################################

gero esse log, mais nao achei muito esclarecedor!:

cat /var/log/openvpn/openvpn.log
Thu Oct 31 14:50:46 2013 OpenVPN 2.2.1 i686-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Feb 27 2013
Thu Oct 31 14:50:46 2013 WARNING: --keepalive option is missing from server config
Thu Oct 31 14:50:46 2013 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Thu Oct 31 14:50:46 2013 TUN/TAP device tap0 opened
Thu Oct 31 14:50:46 2013 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Thu Oct 31 14:50:46 2013 /sbin/ifconfig tap0 192.168.255.1 netmask 255.255.255.0 mtu 1500 broadcast 192.168.255.255
Thu Oct 31 14:50:46 2013 GID set to nogroup
Thu Oct 31 14:50:46 2013 UID set to nobody
Thu Oct 31 14:50:46 2013 UDPv4 link local (bound): [undef]
Thu Oct 31 14:50:46 2013 UDPv4 link remote: [undef]
Thu Oct 31 14:50:46 2013 Initialization Sequence Completed
Thu Oct 31 14:50:55 2013 179.209.116.128:5001 Re-using SSL/TLS context
Thu Oct 31 14:50:55 2013 179.209.116.128:5001 LZO compression initialized
Thu Oct 31 14:51:01 2013 179.209.116.128:5001 WARNING: 'ifconfig' is present in remote config but missing in local config, remote='ifconfig 192.168.255.12 192.168.255.12'
Thu Oct 31 14:51:01 2013 179.209.116.128:5001 [filial] Peer Connection Initiated with [AF_INET]x.209.x.x:5001
Thu Oct 31 14:51:01 2013 filial/179.209.116.128:5001 MULTI_sva: pool returned IPv4=192.168.255.2,

por ex: esse waring pode ser preocupante para intermitencia?

brunarega
(usa Slackware)

Enviado em 31/10/2013 - 15:07h

não tinha reparado nesse parâmetro no arquivo do cliente, apague o ifconfig do cliente e se desejar definir um range de IP especifico coloque no servidor.
ifconfig-pool IPredeinicio IPredefim mascara

acrescente um "pull" no cliente e um "client" no início do arquivo

da uma olhada nesse artigo.
http://www.vivaolinux.com.br/artigo/Parametros-de-configuracao-de-VPN/

error13
(usa Ubuntu)

Enviado em 31/10/2013 - 15:22h

achei bem interessante que colocou, vamos lá ver se eu entendi! rs...

ifconfig-pool o range que o cliente deve pegar determinado pelo server (ou seja pega o primeiro vazio) no link que você mencionou, ele fala que se usar o parâmetro server não é necessário o ifconfig-pool, qual eu uso? e se for usar o parâmetro server, só colocar no começo do matriz.conf?

no client eu coloco somente:
client
pull
(depois as configurações que já estavam)

EX:


#####################################
# configuração do client #
#####################################
cient
pull
dev tap
port 5001
proto udp
remote 200.x.x.x
ca ca.crt
cert filial.crt
key filial.key
tls-client
keepalive 10 120
max-clients 15
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
verb 3
#####################################

brunarega
(usa Slackware)

Enviado em 31/10/2013 - 15:39h

o artigo é meu, vamos lá, o parâmetro ifconfig que constava no teu arquivo cliente é utilizado para definir o IP da interface tun/tap, como se trata de um cliente ele não necessita dessa configuração.


funciona dessa forma, vc deve definir uma range de IP que será entregue, ele vai funcionar como o DHCP da VPN ficaria algo como "ifconfig-pool 192.168.1.10 192.168.1.20 255.255.255.0", ou seja, as máquinas que se conectarem há VPN iram pegar IP do range em questão, se você utilizar esse parâmetro obrigatoriamente vc deverá colocar no inicio do arquivo o parâmetro "mode server".




o parametro server ao qual me refiro é esse.
"server 10.0.0.0 255.255.255.0 :: rede que será utilizada pelo OpenVPN, caso seja utilizado e não seja definido um IP para tun, o servidor irá utilizar o primeiro IP."

Pode escolher qualquer um dos dois, um define a rede e o outro o pool de IP, eu particularmente utilizo o server.

outra coisa, teu cliente possui o parâmetro "tls-client" sendo que o servidor não indica uma chave tls, pode apagar essa linha.

error13
(usa Ubuntu)

Enviado em 31/10/2013 - 16:52h

eu sei flor... por sinal ótimo artigo!
agora entendi os parâmetros a ser usados, no caso o meu esta "flegado" como server, vc me indicou a usar o ifconfig-pool pois é gerenciado pelo DHCP.
mais falto a duvida sobre o arquivo cliente?
só colocar igual eu coloquei no ex acima?

e quanto ao tls, eu gerei a chave tls por em umas das tentativas tava reclamando dessa dessa chave, inclusive no client tem o arquivo ta.key, mais se disse que não precisa eu tiro!
:D

bora aos testes!

brunarega
(usa Slackware)

Enviado em 31/10/2013 - 17:09h

o meu aqui esta da seguinte forma,

servidor


cliente


TLS sempre me gerou dor de cabeça, no meu, o cliente só precisa de uma chave "ca.crt" e do arquivo de configuração, devido ao parâmetro "client-cert-not-required" e tbm utilizei o reneg-sec 0

removido
(usa Nenhuma)

Enviado em 31/10/2013 - 20:50h

Galera uma dica... sempre que for postar qualquer material aqui no vol, seja, perguntas, artigos e ou dicas. nunca postem os verdadeiros endereços públicos, muito menos se for link empresarial dedicado.

abraço.