[opensuse-es]Problemas OpenVPN
Buenos días a todos, les quiero preguntar algo, tengo opensuse 11.0 e instalé el openvpn, modifique el Susefirewall para poder establecer una conexión vpn usando el udp 1194, deje el archivo de configuración tal cual viene, solamente cambie la opcion push "route 192.168.1.0 255.255.255.0", esto con el objetivo de poder accesar desde mi casa a la red interna donde esta instalado el servidor vpn. La conexión se establece, puede hacer ping al servidor 10.8.0.1 pero yo quiero poder entrar a cualquiera de los servidores internos sin ningun problema, estos son servidores windows. Según la ayuda tengo que habilitar en el firewall esto # Allow TUN interface connections to OpenVPN server iptables -A INPUT -i tun+ -j ACCEPT # Allow TUN interface connections to be forwarded through other interfaces iptables -A FORWARD -i tun+ -j ACCEPT Pero cual es el equivalente de esto en el Susefirewall. Saludos A.C.G.CH. Telf: Casa 00505-5323667 Cel:00505-8354400 acgch@yahoo.com ¡Sé el Bello 51 de People en Español! ¡Es tu oportunidad de Brillar! Sube tus fotos ya. http://www.51bello.com/ -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 2009-03-12 a las 14:11 -0700, Alejandro C. González Chávez escribió:
Buenos días a todos, les quiero preguntar algo, tengo opensuse 11.0 e instalé el openvpn, modifique el Susefirewall para poder establecer una conexión vpn usando el udp 1194, deje el archivo de configuración tal cual viene, solamente cambie la opcion push "route 192.168.1.0 255.255.255.0", esto con el objetivo de poder accesar desde mi casa a la red interna donde esta instalado el servidor vpn.
La conexión se establece, puede hacer ping al servidor 10.8.0.1 pero yo quiero poder entrar a cualquiera de los servidores internos sin ningun problema, estos son servidores windows.
Según la ayuda tengo que habilitar en el firewall esto
# Allow TUN interface connections to OpenVPN server iptables -A INPUT -i tun+ -j ACCEPT
# Allow TUN interface connections to be forwarded through other interfaces iptables -A FORWARD -i tun+ -j ACCEPT Pero cual es el equivalente de esto en el Susefirewall.
A ver si se pasa algún gurú del cortafuegos susero y te da alguna pista O:-). De todas formas, ¿has probado tal y como indicas? ¿te da algún error al ejecutarlo? Recuerda que también tienes que activar el "ip forwarding" y configurar una ruta de retorno desde la pasarela al servidor si quieres acceder a los equipos de la red, o al menos eso pone en la faq del openvpn: *** http://openvpn.net/index.php/documentation/faq.html#firewall Note that if you want OpenVPN clients to be able access other machines on the LAN, it is not enough to merely disable firewalling on the TUN/TAP adapter. You must also enable IP forwarding and set up a return route from the LAN gateway to the OpenVPN server. *** Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Hola de nuevo Os adjunto los pantallazos de como lo tengo yo (Nota: Yo no soy el guru ese, solo pasaba por aquí ;-). ) Yo tengo la wlan0 /eth0 como zona externa vmnet1 zona interna y tun0 / tun1 como zona dmz en la DMZ las tuns las levanta openvpn (1 perfil con clave compartida y el otro un clientes TLS a mutiservidor TLS) en ambos perfiles tengo dadas de altas clases c del trabajo a conveniencia (no cambio las rutas por defecto) Funciona bastante bien, y todo hay que decirlo, tengo el VMWARE, el openvpn, el network-manager y el gestor de perfiles SUMF y la gestion de ancho de banda HTB del Susefirewall, funcionando todo a la perfección (1) en 10.3 ¡Bien por SUSE!(2) Bueno nunca he conseguido que funcione el modulo de networmanager-openpvn y el kvpnc no me gusta asi que uso kovpn (aunque el autor me dijo que no lo mantendría y asi acaso lo hacia sería para kde 4.x aka "The ugly desktop".) En fin si te vale y/o necesitas mas detalles pidelo. Como siempre, un placer el poder leer tantas cosas inetersantes en esta lista!! Salu2 (1) vmware se entera de los cambios de red por un script de hook en networmanager (si no recuerdo mal). (2) Pilas no incluidas El Viernes, 13 de Marzo de 2009 Camaleón escribió:
El 2009-03-12 a las 14:11 -0700, Alejandro C. González Chávez escribió:
Buenos días a todos, les quiero preguntar algo, tengo opensuse 11.0 e instalé el openvpn, modifique el Susefirewall para poder establecer una conexión vpn usando el udp 1194, deje el archivo de configuración tal cual viene, solamente cambie la opcion push "route 192.168.1.0 255.255.255.0", esto con el objetivo de poder accesar desde mi casa a la red interna donde esta instalado el servidor vpn.
La conexión se establece, puede hacer ping al servidor 10.8.0.1 pero yo quiero poder entrar a cualquiera de los servidores internos sin ningun problema, estos son servidores windows.
-- Ningún personajillo ha sido vilipendiado si no es necesario. El 'buen rollo' está en nuestras manos. ->>----------------------------------------------- Clist UAH a.k.a Angel ---------------------------------[www.uah.es]-<<-- Hoy no has conseguido la iluminación divina. No importa mañána será otro día...
Camaleón disculpa mi ignorancia, ya puse las reglas en un script y habilite a Susefirewall para que lo leyera pero no funciona, Por otro lado justamente esa parte que mencionas es la que no entiendo, yo tengo el ip forwarding habilitado pero configurar una ruta de retorno desde la pasarela al servidor openvpn, cual es la pasarela?, por otro lado según lo que entiendo eso es cuando el openvpn esta en un servidor y la pasarela es otro equipo. En mi caso el openvpn esta instalado en el servidor linux que sirve de pasarela para mi LAN, es decir en mi servidor tengo una tarjeta con ip publica y otra tarjeta pegada a la LAN con una ip privada.
Saludos
A.C.G.CH.
Telf: Casa 00505-5323667
Cel:00505-8354400
acgch@yahoo.com
--- El vie 13-mar-09, Angel Alvarez
De: Angel Alvarez
Asunto: Re: [opensuse-es]Problemas OpenVPN A: opensuse-es@opensuse.org Cc: "Camaleón" Fecha: viernes, 13 marzo, 2009, 8:07 pm Hola de nuevo Os adjunto los pantallazos de como lo tengo yo (Nota: Yo no soy el guru ese, solo pasaba por aquí ;-). )
Yo tengo la wlan0 /eth0 como zona externa
vmnet1 zona interna
y tun0 / tun1 como zona dmz
en la DMZ las tuns las levanta openvpn (1 perfil con clave compartida y el otro un clientes TLS a mutiservidor TLS)
en ambos perfiles tengo dadas de altas clases c del trabajo a conveniencia (no cambio las rutas por defecto)
Funciona bastante bien, y todo hay que decirlo, tengo el VMWARE, el openvpn, el network-manager y el gestor de perfiles SUMF y la gestion de ancho de banda HTB del Susefirewall, funcionando todo a la perfección (1) en 10.3 ¡Bien por SUSE!(2)
Bueno nunca he conseguido que funcione el modulo de networmanager-openpvn y el kvpnc no me gusta asi que uso kovpn (aunque el autor me dijo que no lo mantendría y asi acaso lo hacia sería para kde 4.x aka "The ugly desktop".)
En fin si te vale y/o necesitas mas detalles pidelo.
Como siempre, un placer el poder leer tantas cosas inetersantes en esta lista!!
Salu2
(1) vmware se entera de los cambios de red por un script de hook en networmanager (si no recuerdo mal).
(2) Pilas no incluidas
El 2009-03-12 a las 14:11 -0700, Alejandro C. González Chávez escribió:
Buenos días a todos, les quiero preguntar algo, tengo opensuse 11.0 e instalé el openvpn, modifique el Susefirewall para poder establecer una conexión vpn usando el udp 1194, deje el archivo de configuración tal cual viene, solamente cambie la opcion push "route 192.168.1.0 255.255.255.0", esto con el objetivo de
El Viernes, 13 de Marzo de 2009 Camaleón escribió: poder accesar desde mi casa a la red interna donde esta instalado el servidor vpn.
La conexión se establece, puede hacer ping al
servidor 10.8.0.1 pero yo quiero poder entrar a cualquiera de los servidores internos sin ningun problema, estos son servidores windows.
-- Ningún personajillo ha sido vilipendiado si no es necesario. El 'buen rollo' está en nuestras manos. ->>----------------------------------------------- Clist UAH a.k.a Angel ---------------------------------[www.uah.es]-<<--
Hoy no has conseguido la iluminación divina. No importa mañána será otro día...
¡Sé el Bello 51 de People en Español! ¡Es tu oportunidad de Brillar! Sube tus fotos ya. http://www.51bello.com/ -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El Viernes, 13 de Marzo de 2009 Alejandro C. González Chávez escribió:
Camaleón disculpa mi ignorancia, ya puse las reglas en un script y habilite a Susefirewall para que lo leyera pero no funciona, Por otro lado justamente esa parte que mencionas es la que no entiendo, yo tengo el ip forwarding habilitado pero configurar una ruta de retorno desde la pasarela al servidor openvpn, cual es la pasarela?, por otro lado según lo que entiendo eso es cuando el openvpn esta en un servidor y la pasarela es otro equipo. En mi caso el openvpn esta instalado en el servidor linux que sirve de pasarela para mi LAN, es decir en mi servidor tengo una tarjeta con ip publica y otra tarjeta pegada a la LAN con una ip privada.
Saludos
A.C.G.CH. Telf: Casa 00505-5323667 Cel:00505-8354400 acgch@yahoo.com
¿Qué es lo que no entiendes?
[cliente] <-----VPN ---->[servidor] <----Red-Interna --->[equipos varios]
1- Conectividad cliente servidor vpn (esto ya lo tienes)
2- Conectividad cliente-->red interna (abre todo a los tuns de momento y trabajate las rutas o el masquerading)
3- reglas de filtrado y servicios (para asegurar la red y el cleintes si quieres "mas o menos el iptables -i tun+ -j ACCEPT que mencionabas...")
4- Colocar cada cosa en su sitio (reglas y rutas ) unas en los conf de openvpn y otros en susefirewall.
Te recomiendo hagas las pruebas a mano (iptables / ip route) y luego trates de hacer que cada parte del sistema haga su cometido (sufirewall / openvpn etc..)
Conviene controlar un poco de iptables /tablas NAT y FILTER sobre todo) antes de intentar saber si susefirewall ha hecho lo que pensabamos y no lo que le dijimos :-)
Susefirewall tiene su fichero de configuracion conviene leerselo ya que representa un gran trabajo de los devs y antes de quere reinverntar la rueda hay que saber que
tiene varias capacidades que no aparacen en la interfaz de Yast
El servidor de VPN debe hacer forwarding de tu ip para que llegues a la red interna. La red que uses en la VPN debe estar enrutada en tu red interna hacia la VPN,
sino puedes hacer masquerade con la ip interna de tu servidor de vpn para que así los paquetes de vuelta te lleguen al cliente.
Mira mi conf de cliente en plan sencilito:
secret /etc/openvpn/tls/static.key
auth md2
cipher blowfish
persist-key
dev tun0
mtu-disc yes
#mtu-test
#tun-mtu 1500
fragment 1300
mssfix
#persist-tun
#comp-lzo
port 1194
remote 212.128.XX.YYY:1194
ifconfig 10.8.0.2 10.8.0.1
keepalive 15 60
#up /etc/openvpn/script/tun-control
#down /etc/openvpn/script/tun-control
#up-restart
#
#up /etc/openvpn/scripts/fwmarkroute.up
#down /etc/openvpn/scripts/fwmarkroute.down
#up-restart
#up-delay
route 172.29.0.0 255.255.255.0 10.8.0.1 1
route 172.29.14.0 255.255.254.0 10.8.0.1 1
route 192.168.153.0 255.255.255.0 10.8.0.1 1
route 192.168.147.0 255.255.255.0 10.8.0.1 1
route 212.128.XX.ZZZ 255.255.255.255 10.8.0.1 1
route-delay 5
#redirect-gateway def1
# Use management interface
management 127.0.0.1 2222
management-query-passwords
management-hold
y en el servidor...
(por cortesía de susefirewall)
-A INPUT -i tun0 -j input_dmz
-A INPUT -i tun1 -j input_dmz
-A FORWARD -i tun0 -j forward_dmz
-A FORWARD -i tun1 -j forward_dmz
-A forward_dmz -i tun0 -o vlan46 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A forward_dmz -i tun1 -o vlan46 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A forward_dmz -i tun0 -o vlan64 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A forward_dmz -i tun1 -o vlan64 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A forward_dmz -i tun0 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A forward_dmz -i tun1 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
Esto se consigue desde yast/firewall o bien tocando directamente el fichero de susefirewall
te pongo algunas lineas interesantes:
sinosuke@quasar:/etc/sysconfig> grep FW_DEV SuSEfirewall2
FW_DEV_EXT="vlan46 vlan64"
FW_DEV_INT=""
FW_DEV_DMZ="tun0 tun1" <------ ¿ves? aquí estan las Tuns !!!
# internal or dmz interfaces in FW_DEV_INT or FW_DEV_DMZ.
# Requires: FW_DEV_INT or FW_DEV_DMZ, FW_ROUTE, FW_MASQ_DEV
# Old version of SuSEfirewall2 used a shell variable ($FW_DEV_EXT)
# Requires: FW_DEV_INT
# IP addesses! Hint: if FW_DEV_MASQ is set to the external interface
# FW_DEV_wlan="wlan0"
sinosuke@quasar:/etc/sysconfig> grep MASQ SuSEfirewall2
# masquerading with FW_MASQUERADE below if you want to masquerade
# Requires: FW_DEV_INT or FW_DEV_DMZ, FW_ROUTE, FW_MASQ_DEV
# This option is required for FW_MASQ_NETS and FW_FORWARD_MASQ.
FW_MASQUERADE="yes" <--------------- Esta es la ineresante
FW_MASQ_DEV="zone:ext"
FW_MASQ_NETS="0/0"
# table. Ie the forwarding rules installed by FW_MASQ_NETS do not
# *** Since you may use FW_NOMASQ_NETS together with IPsec make sure
FW_NOMASQ_NETS=""
# IP addesses! Hint: if FW_DEV_MASQ is set to the external interface
FW_FORWARD_MASQ=""
# if neither FW_FORWARD nor FW_MASQUERADE is set
# zones even if neither FW_FORWARD nor FW_MASQUERADE is set
En cuanto a lo demás recomiendo poner la interfaz tun en la DMZ (copia el fichero que está --- El vie 13-mar-09, Angel Alvarez De: Angel Alvarez Os adjunto los pantallazos de como lo tengo yo (Nota: Yo no
soy el guru ese, solo pasaba por aquí ;-). ) Yo tengo la wlan0 /eth0 como zona externa vmnet1 zona interna y tun0 / tun1 como zona dmz en la DMZ las tuns las levanta openvpn (1 perfil con clave
compartida y el otro un clientes TLS a mutiservidor TLS) en ambos perfiles tengo dadas de altas clases c del trabajo
a conveniencia (no cambio las rutas por defecto) Funciona bastante bien, y todo hay que decirlo, tengo el
VMWARE, el openvpn, el network-manager y el gestor de
perfiles
SUMF y la gestion de ancho de banda HTB del Susefirewall,
funcionando todo a la perfección (1) en 10.3 ¡Bien por
SUSE!(2) Bueno nunca he conseguido que funcione el modulo de
networmanager-openpvn y el kvpnc no me gusta asi que uso
kovpn (aunque
el autor me dijo que no lo mantendría y asi acaso lo hacia
sería para kde 4.x aka "The ugly desktop".) En fin si te vale y/o necesitas mas detalles pidelo. Como siempre, un placer el poder leer tantas cosas
inetersantes en esta lista!! Salu2 (1) vmware se entera de los cambios de red por un script de
hook en networmanager (si no recuerdo mal). (2) Pilas no incluidas El 2009-03-12 a las 14:11 -0700, Alejandro C.
González Chávez escribió: Buenos días a todos, les quiero preguntar
algo, tengo opensuse 11.0 e instalé el openvpn, modifique
el Susefirewall para poder establecer una conexión vpn
usando el udp 1194, deje el archivo de configuración tal
cual viene, solamente cambie la opcion push "route
192.168.1.0 255.255.255.0", esto con el objetivo de El Viernes, 13 de Marzo de 2009 Camaleón escribió:
poder accesar desde mi casa a la red interna donde esta
instalado el servidor vpn. La conexión se establece, puede hacer ping al servidor 10.8.0.1 pero yo quiero poder entrar a cualquiera
de los servidores internos sin ningun problema, estos son
servidores windows. --
Ningún personajillo ha sido vilipendiado si no es
necesario. El 'buen rollo' está en nuestras manos.
->>-----------------------------------------------
Clist UAH a.k.a Angel
---------------------------------[www.uah.es]-<<-- Hoy no has conseguido la iluminación divina. No importa
mañána será otro día... ¡Sé el Bello 51 de People en Español! ¡Es tu oportunidad de Brillar! Sube tus fotos ya. http://www.51bello.com/ --
No imprima este correo si no es necesario. El medio ambiente está en nuestras manos.
->>-----------------------------------------------
Clist UAH a.k.a Angel
---------------------------------[www.uah.es]-<<--
Mas vale POJO en mano que STRUTS volando.
--
Para dar de baja la suscripción, mande un mensaje a:
opensuse-es+unsubscribe@opensuse.org
Para obtener el resto de direcciones-comando, mande
un mensaje a:
opensuse-es+help@opensuse.org
El día 13 de marzo de 2009 23:59, Alejandro C. González Chávez escribió:
Camaleón disculpa mi ignorancia, ya puse las reglas en un script y habilite a Susefirewall para que lo leyera pero no funciona,
Revisa los registros del openvpn, por si te desconectara en algún punto. ¿Cómo intentas acceder a los equipos windows? ¿Por ssh, o a algún directorio o recurso compartido? Podría ser el cortafuegos del windows el que estuviera rechazando la conexión :-?. ¿LLegas con un ping a los clientes de la red local? ¿Qué mensaje de error te aparece en el cliente cuando intentas conectarte con ellos?
Por otro lado justamente esa parte que mencionas es la que no entiendo, yo tengo el ip forwarding habilitado pero configurar una ruta de retorno desde la pasarela al servidor openvpn, cual es la pasarela?,
La puerta de enlace, en este caso, supongo que sería el adaptador de red local del servidor que lleva openvpn.
por otro lado según lo que entiendo eso es cuando el openvpn esta en un servidor y la pasarela es otro equipo. En mi caso el openvpn esta instalado en el servidor linux que sirve de pasarela para mi LAN, es decir en mi servidor tengo una tarjeta con ip publica y otra tarjeta pegada a la LAN con una ip privada.
Entonces creo que no te haría falta ese paso. Lo que entiendo que dice la FAQ es que ambas redes (cliente que conecta desde fuera y clientes de la red local) deben configurarse para que los paquetes con destino remoto (fuera del ámbito de la red local) vayan a través del servidor openvpn. Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
participants (3)
-
Alejandro C. González Chávez
-
Angel Alvarez
-
Camaleón