[opensuse-es] configurando un openvpn, como hacerlo con 02 firewalls
Hola a todos, les comento que estoy algo fastidiado, pues despues de iniciar la configuracion de mi servidor de correos, y de incomodarlos con algunas preguntas, me pidieron que lo deje por el momento y que configure un servidor vpn, por mas que a uno le incomode,, no se gana mucho discutiendo con el jefe, asi que estoy en la tarea de configurar openvpn. Estuve documentandome sobre su configuracion, y llevo avanzado bastante, tengo listo los certificados y el archivo de configuracion tanto del servidor y el cliente, pero no puedo probarlo aun pues me quede en la configuracion del firewall, he visto ejemplos con iptables, pero me pierdo con ello por ahora, uso susefirewall porque me resulta mas facil de entender, y sinembargo hoy me quede bloqueado y no veo que parametros habilitar para mi vpn, alguna idea..? por ahora solo quiero probar si puedo poner al cliente como una PC de la DMZ, pues tengo dos firewalls antes de mi LAN y ese es el reto final, un paso a la vez para aprender a caminar, la configuracion de mi red es la siguiente: LAN----Firewall2-------------------------Firewall1---------------Internet l---------------- DMZ--------------l El openvpn lo estoy configurando en el Firewall1, segun vaya avanzando la idea es que el cliente vpn, tome una IP de la LAN y funcione como si estuviese dentro, con acceso a los recursos internos, que opinan uds se puede.? o es que debo hacer la siguiente configuracion l------------------------Openvpn---------------------------l l l LAN----Firewall2-------------------------Firewall1---------------Internet l---------------- DMZ--------------l estoy atento a sus comentarios y sugerencias. Saludos JCarlos --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2007-03-27 a las 01:08 -0500, Juan Carlos Bravo Celis escribió:
bastante, tengo listo los certificados y el archivo de configuracion tanto del servidor y el cliente, pero no puedo probarlo aun pues me quede en la configuracion del firewall, he visto ejemplos con iptables, pero me pierdo con ello por ahora, uso susefirewall porque me resulta mas facil de entender, y sinembargo hoy me quede bloqueado y no veo que parametros habilitar para mi vpn, alguna idea..?
Una idea. Este documento http://susefaq.sourceforge.net/guides/fw_manual.html está anticuado, era para el suse 8.2; pero en realidad tanto no han cambiado las cosas. Creo recordar que se hablaba del openvpn. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFGCOO9tTMYHG2NR9URAir3AJ9G22EUohxZtj7KwDUsJWivscSk/QCfQ8HU F7gVHjWWqE3XoukQVQjC+GM= =bcGo -----END PGP SIGNATURE-----
On 27/03/07, Carlos E. R.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2007-03-27 a las 01:08 -0500, Juan Carlos Bravo Celis escribió:
bastante, tengo listo los certificados y el archivo de configuracion tanto del servidor y el cliente, pero no puedo probarlo aun pues me quede en la configuracion del firewall, he visto ejemplos con iptables, pero me pierdo con ello por ahora, uso susefirewall porque me resulta mas facil de entender, y sinembargo hoy me quede bloqueado y no veo que parametros habilitar para mi vpn, alguna idea..?
Una idea.
Este documento http://susefaq.sourceforge.net/guides/fw_manual.html está anticuado, era para el suse 8.2; pero en realidad tanto no han cambiado las cosas. Creo recordar que se hablaba del openvpn.
Gracias Carlos, ya lo estoy revisando, realizare algunas pruebas hoy por la mañana y lo comentare. Saludos JCarlos --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Hola a todos, finalmente configure el servidor vpn roadwarrior. cuando levanto el servicio en el cliente con xp conecta satisfactoriamente, y realizo las siguiente pruebas, ping 10.8.0.1 (ip tunel),, respuesta satisfactoria, ping 192.168.4.2 (ip lan firewall2) sin respuesta :( desde el servidor vpn, al ip que le asigna el servidor al cliente ping 10.8.0.6 respuesta satisfactoria no responde ningun equipo de la red LAN a la cual quiero acceder, alguna idea..? mi red tiene la siguiente configuracion l-----dmz(10.10.10.0/24)--l l l internet -------firewall1---------------------firewall2------LAN(192.168.4.0/22) l l l_____Openvpn(192.168.4.6/22)_____l en /etc/openvpn/server.conf tengo lo siguiente: port 1194 proto udp dev tun ca /etc/openvpn/keys/ca.crt cert /etc/openvpn/keys/server.crt dh /etc/openvpn/keys/dh1024.pem server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt push "route 192.168.4.0 255.255.252.0" keepalive 10 120 comp-lzo user nobody group nobody persist-key persist-tun status openvpn-status.log log openvpn.log verb 4 tengo definidas las siguientes reglas con iptables PRIVATE=192.168.4.0/22 LOOP=127.0.0.1 iptables -P OUTPUT DROP iptables -P INPUT DROP iptables -P FORWARD DROP iptables -F iptables -P OUTPUT ACCEPT iptables -P INPUT DROP iptables -P FORWARD DROP iptables -A INPUT -i eth0 -s $LOOP -j DROP iptables -A FORWARD -i eth0 -s $LOOP -j DROP iptables -A INPUT -i eth0 -d $LOOP -j DROP iptables -A FORWARD -i eth0 -d $LOOP -j DROP iptables -A FORWARD -i eth0 -s 192.168.0.0/16 -j DROP iptables -A FORWARD -i eth0 -s 172.16.0.0/12 -j DROP iptables -A FORWARD -i eth0 -s 10.0.0.0/8 -j DROP iptables -A INPUT -i eth0 -s 192.168.0.0/16 -j DROP iptables -A INPUT -i eth0 -s 172.16.0.0/12 -j DROP iptables -A INPUT -i eth0 -s 10.0.0.0/8 -j DROP iptables -A FORWARD -p tcp --sport 137:139 -o eth0 -j DROP iptables -A FORWARD -p udp --sport 137:139 -o eth0 -j DROP iptables -A OUTPUT -p tcp --sport 137:139 -o eth0 -j DROP iptables -A OUTPUT -p udp --sport 137:139 -o eth0 -j DROP iptables -A FORWARD -s ! $PRIVATE -i eth1 -j DROP iptables -A INPUT -s $LOOP -j ACCEPT iptables -A INPUT -d $LOOP -j ACCEPT iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT iptables -A INPUT -p tcp --dport ssh -j ACCEPT iptables -A INPUT -p udp --dport 1194 -j ACCEPT iptables -A INPUT -i tun+ -j ACCEPT iptables -A FORWARD -i tun+ -j ACCEPT iptables -A INPUT -i tap+ -j ACCEPT iptables -A FORWARD -i tap+ -j ACCEPT iptables -A INPUT -i eth1 -j ACCEPT iptables -A FORWARD -i eth1 -j ACCEPT iptables -A OUTPUT -m state --state NEW -o eth0 -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -m state --state NEW -o eth0 -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -t nat -A POSTROUTING -s $PRIVATE -o eth0 -j MASQUERADE en la pc cliente con xp,,, tengo lo siguiente en un archivo .ovpn client dev tun proto udp remote ip.mi.servidor.vpn. 1194 resolv-retry infinite nobind persist-key persist-tun ca ca.crt cert jbravo.crt key jbravo.key comp-lzo verb 4 estas son las rutas en el cliente, despues de la conexion Rutas activas: Destino de red M scara de red Puerta de acceso Interfaz M‚trica 0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.6 20 10.8.0.1 255.255.255.255 10.8.0.5 10.8.0.6 1 10.8.0.4 255.255.255.252 10.8.0.6 10.8.0.6 30 10.8.0.6 255.255.255.255 127.0.0.1 127.0.0.1 30 10.255.255.255 255.255.255.255 10.8.0.6 10.8.0.6 30 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 192.168.1.0 255.255.255.0 192.168.1.6 192.168.1.6 20 192.168.1.6 255.255.255.255 127.0.0.1 127.0.0.1 20 192.168.1.255 255.255.255.255 192.168.1.6 192.168.1.6 20 192.168.4.0 255.255.252.0 10.8.0.5 10.8.0.6 1 224.0.0.0 240.0.0.0 10.8.0.6 10.8.0.6 30 224.0.0.0 240.0.0.0 192.168.1.6 192.168.1.6 20 255.255.255.255 255.255.255.255 10.8.0.6 10.8.0.6 1 255.255.255.255 255.255.255.255 192.168.1.6 192.168.1.6 1 Puerta de enlace predeterminada: 192.168.1.1 en el firewall2 ( gateway de la LAN) tengo las siguientes rutas Destination Gateway Genmask Flags Metric Ref Use Iface 10.8.0.0 192.168.4.6 255.255.255.0 UG 0 0 0 eth2 10.10.10.0 192.168.4.2 255.255.255.0 UG 0 0 0 eth1 172.16.254.0 * 255.255.255.0 U 0 0 0 eth0 192.168.4.0 * 255.255.252.0 U 0 0 0 eth2 link-local * 255.255.0.0 U 0 0 0 eth0 192.168.0.0 192.168.4.2 255.255.0.0 UG 0 0 0 eth2 loopback * 255.0.0.0 U 0 0 0 lo default 172.16.254.1 0.0.0.0 UG 0 0 0 eth0 --- muy agradecido por sus comentarios y sugerencias. Saludos JCarlos --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On 02/04/07, Juan Carlos Bravo Celis
Hola a todos, finalmente configure el servidor vpn roadwarrior.
cuando levanto el servicio en el cliente con xp conecta satisfactoriamente, y realizo las siguiente pruebas,
ping 10.8.0.1 (ip tunel),, respuesta satisfactoria, ping 192.168.4.2 (ip lan firewall2) sin respuesta :(
desde el servidor vpn, al ip que le asigna el servidor al cliente ping 10.8.0.6 respuesta satisfactoria
no responde ningun equipo de la red LAN a la cual quiero acceder, alguna idea..?
mi red tiene la siguiente configuracion
l-----dmz(10.10.10.0/24)--l l l internet -------firewall1---------------------firewall2------LAN(192.168.4.0/22) l l l_____Openvpn(192.168.4.6/22)_____l
en /etc/openvpn/server.conf tengo lo siguiente:
port 1194 proto udp dev tun ca /etc/openvpn/keys/ca.crt cert /etc/openvpn/keys/server.crt dh /etc/openvpn/keys/dh1024.pem server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt push "route 192.168.4.0 255.255.252.0" keepalive 10 120 comp-lzo user nobody group nobody persist-key persist-tun status openvpn-status.log log openvpn.log verb 4
tengo definidas las siguientes reglas con iptables
PRIVATE=192.168.4.0/22
LOOP=127.0.0.1
iptables -P OUTPUT DROP iptables -P INPUT DROP iptables -P FORWARD DROP iptables -F iptables -P OUTPUT ACCEPT iptables -P INPUT DROP iptables -P FORWARD DROP iptables -A INPUT -i eth0 -s $LOOP -j DROP iptables -A FORWARD -i eth0 -s $LOOP -j DROP iptables -A INPUT -i eth0 -d $LOOP -j DROP iptables -A FORWARD -i eth0 -d $LOOP -j DROP iptables -A FORWARD -i eth0 -s 192.168.0.0/16 -j DROP iptables -A FORWARD -i eth0 -s 172.16.0.0/12 -j DROP iptables -A FORWARD -i eth0 -s 10.0.0.0/8 -j DROP iptables -A INPUT -i eth0 -s 192.168.0.0/16 -j DROP iptables -A INPUT -i eth0 -s 172.16.0.0/12 -j DROP iptables -A INPUT -i eth0 -s 10.0.0.0/8 -j DROP iptables -A FORWARD -p tcp --sport 137:139 -o eth0 -j DROP iptables -A FORWARD -p udp --sport 137:139 -o eth0 -j DROP iptables -A OUTPUT -p tcp --sport 137:139 -o eth0 -j DROP iptables -A OUTPUT -p udp --sport 137:139 -o eth0 -j DROP iptables -A FORWARD -s ! $PRIVATE -i eth1 -j DROP iptables -A INPUT -s $LOOP -j ACCEPT iptables -A INPUT -d $LOOP -j ACCEPT iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT iptables -A INPUT -p tcp --dport ssh -j ACCEPT iptables -A INPUT -p udp --dport 1194 -j ACCEPT
iptables -A INPUT -i tun+ -j ACCEPT iptables -A FORWARD -i tun+ -j ACCEPT iptables -A INPUT -i tap+ -j ACCEPT iptables -A FORWARD -i tap+ -j ACCEPT iptables -A INPUT -i eth1 -j ACCEPT iptables -A FORWARD -i eth1 -j ACCEPT
iptables -A OUTPUT -m state --state NEW -o eth0 -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -m state --state NEW -o eth0 -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -t nat -A POSTROUTING -s $PRIVATE -o eth0 -j MASQUERADE
en la pc cliente con xp,,, tengo lo siguiente en un archivo .ovpn
client dev tun proto udp remote ip.mi.servidor.vpn. 1194 resolv-retry infinite nobind persist-key persist-tun ca ca.crt cert jbravo.crt key jbravo.key comp-lzo verb 4
estas son las rutas en el cliente, despues de la conexion
Rutas activas: Destino de red M scara de red Puerta de acceso Interfaz M‚trica 0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.6 20 10.8.0.1 255.255.255.255 10.8.0.5 10.8.0.6 1 10.8.0.4 255.255.255.252 10.8.0.6 10.8.0.6 30 10.8.0.6 255.255.255.255 127.0.0.1 127.0.0.1 30 10.255.255.255 255.255.255.255 10.8.0.6 10.8.0.6 30 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 192.168.1.0 255.255.255.0 192.168.1.6 192.168.1.6 20 192.168.1.6 255.255.255.255 127.0.0.1 127.0.0.1 20 192.168.1.255 255.255.255.255 192.168.1.6 192.168.1.6 20 192.168.4.0 255.255.252.0 10.8.0.5 10.8.0.6 1 224.0.0.0 240.0.0.0 10.8.0.6 10.8.0.6 30 224.0.0.0 240.0.0.0 192.168.1.6 192.168.1.6 20 255.255.255.255 255.255.255.255 10.8.0.6 10.8.0.6 1 255.255.255.255 255.255.255.255 192.168.1.6 192.168.1.6 1 Puerta de enlace predeterminada: 192.168.1.1
en el firewall2 ( gateway de la LAN) tengo las siguientes rutas
Destination Gateway Genmask Flags Metric Ref Use Iface 10.8.0.0 192.168.4.6 255.255.255.0 UG 0 0 0 eth2 10.10.10.0 192.168.4.2 255.255.255.0 UG 0 0 0 eth1 172.16.254.0 * 255.255.255.0 U 0 0 0 eth0 192.168.4.0 * 255.255.252.0 U 0 0 0 eth2 link-local * 255.255.0.0 U 0 0 0 eth0 192.168.0.0 192.168.4.2 255.255.0.0 UG 0 0 0 eth2 loopback * 255.0.0.0 U 0 0 0 lo default 172.16.254.1 0.0.0.0 UG 0 0 0 eth0
Estuve realizando mas pruebas, y cuando le hago ping desde un cliente vpn al ip 192.168.4.6 que es la ip de la interface conectada a mi Red LAN, esta si me responde satisfactoriamente a un ping. pero cualquier otro equipo de mi red no responde. como dato adicional, todos los equipos de mi red tienen como gateway al 192.168.4.1 , lo que me hace suponer, que es un tema de ruta de retorno,, pero no se como ponerla, ni donde, pues en el firewall2 puse la ruta 10.8.0.0 192.168.4.6 255.255.255.0 UG 0 0 0 eth2 y desde este equipo si puedo hacerle ping al 10.8.0.1,, pero no a un equipo 10.8.0.10 que es un cliente vpn alguna idea al respecto..? sabe alguien como se enruta este trafico..? Saludos JCarlos --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
participants (2)
-
Carlos E. R. -
Juan Carlos Bravo Celis