[opensuse-es]Problemas OpenVPN

older
[opensuse-es] [OT] Tiempo libre de...

Alejandro C. González Chávez

12 Mar 2009 12 Mar '09

21:11

Buenos días a todos, les quiero preguntar algo, tengo opensuse 11.0 e instalé el openvpn, modifique el Susefirewall para poder establecer una conexión vpn usando el udp 1194, deje el archivo de configuración tal cual viene, solamente cambie la opcion push "route 192.168.1.0 255.255.255.0", esto con el objetivo de poder accesar desde mi casa a la red interna donde esta instalado el servidor vpn. La conexión se establece, puede hacer ping al servidor 10.8.0.1 pero yo quiero poder entrar a cualquiera de los servidores internos sin ningun problema, estos son servidores windows. Según la ayuda tengo que habilitar en el firewall esto # Allow TUN interface connections to OpenVPN server iptables -A INPUT -i tun+ -j ACCEPT # Allow TUN interface connections to be forwarded through other interfaces iptables -A FORWARD -i tun+ -j ACCEPT Pero cual es el equivalente de esto en el Susefirewall. Saludos A.C.G.CH. Telf: Casa 00505-5323667 Cel:00505-8354400 acgch@yahoo.com ¡Sé el Bello 51 de People en Español! ¡Es tu oportunidad de Brillar! Sube tus fotos ya. http://www.51bello.com/ -- Para dar de baja la suscripciÃ³n, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org

Show replies by date

Camaleón

13 Mar 13 Mar

19:27

El 2009-03-12 a las 14:11 -0700, Alejandro C. González Chávez escribió:

...

Buenos días a todos, les quiero preguntar algo, tengo opensuse 11.0 e instalé el openvpn, modifique el Susefirewall para poder establecer una conexión vpn usando el udp 1194, deje el archivo de configuración tal cual viene, solamente cambie la opcion push "route 192.168.1.0 255.255.255.0", esto con el objetivo de poder accesar desde mi casa a la red interna donde esta instalado el servidor vpn.

La conexión se establece, puede hacer ping al servidor 10.8.0.1 pero yo quiero poder entrar a cualquiera de los servidores internos sin ningun problema, estos son servidores windows.

Según la ayuda tengo que habilitar en el firewall esto

# Allow TUN interface connections to OpenVPN server iptables -A INPUT -i tun+ -j ACCEPT

# Allow TUN interface connections to be forwarded through other interfaces iptables -A FORWARD -i tun+ -j ACCEPT Pero cual es el equivalente de esto en el Susefirewall.

A ver si se pasa algún gurú del cortafuegos susero y te da alguna pista O:-). De todas formas, ¿has probado tal y como indicas? ¿te da algún error al ejecutarlo? Recuerda que también tienes que activar el "ip forwarding" y configurar una ruta de retorno desde la pasarela al servidor si quieres acceder a los equipos de la red, o al menos eso pone en la faq del openvpn: *** http://openvpn.net/index.php/documentation/faq.html#firewall Note that if you want OpenVPN clients to be able access other machines on the LAN, it is not enough to merely disable firewalling on the TUN/TAP adapter. You must also enable IP forwarding and set up a return route from the LAN gateway to the OpenVPN server. *** Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org

Angel Alvarez

20:07

Hola de nuevo Os adjunto los pantallazos de como lo tengo yo (Nota: Yo no soy el guru ese, solo pasaba por aquí ;-). ) Yo tengo la wlan0 /eth0 como zona externa vmnet1 zona interna y tun0 / tun1 como zona dmz en la DMZ las tuns las levanta openvpn (1 perfil con clave compartida y el otro un clientes TLS a mutiservidor TLS) en ambos perfiles tengo dadas de altas clases c del trabajo a conveniencia (no cambio las rutas por defecto) Funciona bastante bien, y todo hay que decirlo, tengo el VMWARE, el openvpn, el network-manager y el gestor de perfiles SUMF y la gestion de ancho de banda HTB del Susefirewall, funcionando todo a la perfección (1) en 10.3 ¡Bien por SUSE!(2) Bueno nunca he conseguido que funcione el modulo de networmanager-openpvn y el kvpnc no me gusta asi que uso kovpn (aunque el autor me dijo que no lo mantendría y asi acaso lo hacia sería para kde 4.x aka "The ugly desktop".) En fin si te vale y/o necesitas mas detalles pidelo. Como siempre, un placer el poder leer tantas cosas inetersantes en esta lista!! Salu2 (1) vmware se entera de los cambios de red por un script de hook en networmanager (si no recuerdo mal). (2) Pilas no incluidas El Viernes, 13 de Marzo de 2009 Camaleón escribió:

...

El 2009-03-12 a las 14:11 -0700, Alejandro C. González Chávez escribió:

...
Buenos días a todos, les quiero preguntar algo, tengo opensuse 11.0 e instalé el openvpn, modifique el Susefirewall para poder establecer una conexión vpn usando el udp 1194, deje el archivo de configuración tal cual viene, solamente cambie la opcion push "route 192.168.1.0 255.255.255.0", esto con el objetivo de poder accesar desde mi casa a la red interna donde esta instalado el servidor vpn.

La conexión se establece, puede hacer ping al servidor 10.8.0.1 pero yo quiero poder entrar a cualquiera de los servidores internos sin ningun problema, estos son servidores windows.

-- Ningún personajillo ha sido vilipendiado si no es necesario. El 'buen rollo' está en nuestras manos. ->>----------------------------------------------- Clist UAH a.k.a Angel ---------------------------------[www.uah.es]-<<-- Hoy no has conseguido la iluminación divina. No importa mañána será otro día...

Alejandro C. González Chávez

22:59

Camaleón disculpa mi ignorancia, ya puse las reglas en un script y habilite a Susefirewall para que lo leyera pero no funciona, Por otro lado justamente esa parte que mencionas es la que no entiendo, yo tengo el ip forwarding habilitado pero configurar una ruta de retorno desde la pasarela al servidor openvpn, cual es la pasarela?, por otro lado según lo que entiendo eso es cuando el openvpn esta en un servidor y la pasarela es otro equipo. En mi caso el openvpn esta instalado en el servidor linux que sirve de pasarela para mi LAN, es decir en mi servidor tengo una tarjeta con ip publica y otra tarjeta pegada a la LAN con una ip privada. Saludos A.C.G.CH. Telf: Casa 00505-5323667 Cel:00505-8354400 acgch@yahoo.com --- El vie 13-mar-09, Angel Alvarez escribió:

...

De: Angel Alvarez Asunto: Re: [opensuse-es]Problemas OpenVPN A: opensuse-es@opensuse.org Cc: "Camaleón" Fecha: viernes, 13 marzo, 2009, 8:07 pm Hola de nuevo

Os adjunto los pantallazos de como lo tengo yo (Nota: Yo no soy el guru ese, solo pasaba por aquí ;-). )

Yo tengo la wlan0 /eth0 como zona externa

vmnet1 zona interna

y tun0 / tun1 como zona dmz

en la DMZ las tuns las levanta openvpn (1 perfil con clave compartida y el otro un clientes TLS a mutiservidor TLS)

en ambos perfiles tengo dadas de altas clases c del trabajo a conveniencia (no cambio las rutas por defecto)

Funciona bastante bien, y todo hay que decirlo, tengo el VMWARE, el openvpn, el network-manager y el gestor de perfiles SUMF y la gestion de ancho de banda HTB del Susefirewall, funcionando todo a la perfección (1) en 10.3 ¡Bien por SUSE!(2)

Bueno nunca he conseguido que funcione el modulo de networmanager-openpvn y el kvpnc no me gusta asi que uso kovpn (aunque el autor me dijo que no lo mantendría y asi acaso lo hacia sería para kde 4.x aka "The ugly desktop".)

En fin si te vale y/o necesitas mas detalles pidelo.

Como siempre, un placer el poder leer tantas cosas inetersantes en esta lista!!

Salu2

(1) vmware se entera de los cambios de red por un script de hook en networmanager (si no recuerdo mal).

(2) Pilas no incluidas

...
El 2009-03-12 a las 14:11 -0700, Alejandro C. González Chávez escribió:

...
Buenos días a todos, les quiero preguntar algo, tengo opensuse 11.0 e instalé el openvpn, modifique el Susefirewall para poder establecer una conexión vpn usando el udp 1194, deje el archivo de configuración tal cual viene, solamente cambie la opcion push "route 192.168.1.0 255.255.255.0", esto con el objetivo de

El Viernes, 13 de Marzo de 2009 Camaleón escribió: poder accesar desde mi casa a la red interna donde esta instalado el servidor vpn.

...
...
La conexión se establece, puede hacer ping al

servidor 10.8.0.1 pero yo quiero poder entrar a cualquiera de los servidores internos sin ningun problema, estos son servidores windows.

-- Ningún personajillo ha sido vilipendiado si no es necesario. El 'buen rollo' está en nuestras manos. ->>----------------------------------------------- Clist UAH a.k.a Angel ---------------------------------[www.uah.es]-<<--

Hoy no has conseguido la iluminación divina. No importa mañána será otro día...

¡Sé el Bello 51 de People en Español! ¡Es tu oportunidad de Brillar! Sube tus fotos ya. http://www.51bello.com/ -- Para dar de baja la suscripciÃ³n, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org

Angel Alvarez

14 Mar 14 Mar

13:47

New subject: [opensuse-es] Re:Problemas OpenVPN

El Viernes, 13 de Marzo de 2009 Alejandro C. González Chávez escribió:

...

Camaleón disculpa mi ignorancia, ya puse las reglas en un script y habilite a Susefirewall para que lo leyera pero no funciona, Por otro lado justamente esa parte que mencionas es la que no entiendo, yo tengo el ip forwarding habilitado pero configurar una ruta de retorno desde la pasarela al servidor openvpn, cual es la pasarela?, por otro lado según lo que entiendo eso es cuando el openvpn esta en un servidor y la pasarela es otro equipo. En mi caso el openvpn esta instalado en el servidor linux que sirve de pasarela para mi LAN, es decir en mi servidor tengo una tarjeta con ip publica y otra tarjeta pegada a la LAN con una ip privada.

Saludos

A.C.G.CH. Telf: Casa 00505-5323667 Cel:00505-8354400 acgch@yahoo.com

¿Qué es lo que no entiendes? [cliente] <-----VPN ---->[servidor] <----Red-Interna --->[equipos varios] 1- Conectividad cliente servidor vpn (esto ya lo tienes) 2- Conectividad cliente-->red interna (abre todo a los tuns de momento y trabajate las rutas o el masquerading) 3- reglas de filtrado y servicios (para asegurar la red y el cleintes si quieres "mas o menos el iptables -i tun+ -j ACCEPT que mencionabas...") 4- Colocar cada cosa en su sitio (reglas y rutas ) unas en los conf de openvpn y otros en susefirewall. Te recomiendo hagas las pruebas a mano (iptables / ip route) y luego trates de hacer que cada parte del sistema haga su cometido (sufirewall / openvpn etc..) Conviene controlar un poco de iptables /tablas NAT y FILTER sobre todo) antes de intentar saber si susefirewall ha hecho lo que pensabamos y no lo que le dijimos :-) Susefirewall tiene su fichero de configuracion conviene leerselo ya que representa un gran trabajo de los devs y antes de quere reinverntar la rueda hay que saber que tiene varias capacidades que no aparacen en la interfaz de Yast El servidor de VPN debe hacer forwarding de tu ip para que llegues a la red interna. La red que uses en la VPN debe estar enrutada en tu red interna hacia la VPN, sino puedes hacer masquerade con la ip interna de tu servidor de vpn para que así los paquetes de vuelta te lleguen al cliente. Mira mi conf de cliente en plan sencilito: secret /etc/openvpn/tls/static.key auth md2 cipher blowfish persist-key dev tun0 mtu-disc yes #mtu-test #tun-mtu 1500 fragment 1300 mssfix #persist-tun #comp-lzo port 1194 remote 212.128.XX.YYY:1194 ifconfig 10.8.0.2 10.8.0.1 keepalive 15 60 #up /etc/openvpn/script/tun-control #down /etc/openvpn/script/tun-control #up-restart # #up /etc/openvpn/scripts/fwmarkroute.up #down /etc/openvpn/scripts/fwmarkroute.down #up-restart #up-delay route 172.29.0.0 255.255.255.0 10.8.0.1 1 route 172.29.14.0 255.255.254.0 10.8.0.1 1 route 192.168.153.0 255.255.255.0 10.8.0.1 1 route 192.168.147.0 255.255.255.0 10.8.0.1 1 route 212.128.XX.ZZZ 255.255.255.255 10.8.0.1 1 route-delay 5 #redirect-gateway def1 # Use management interface management 127.0.0.1 2222 management-query-passwords management-hold y en el servidor... (por cortesía de susefirewall) -A INPUT -i tun0 -j input_dmz -A INPUT -i tun1 -j input_dmz -A FORWARD -i tun0 -j forward_dmz -A FORWARD -i tun1 -j forward_dmz -A forward_dmz -i tun0 -o vlan46 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT -A forward_dmz -i tun1 -o vlan46 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT -A forward_dmz -i tun0 -o vlan64 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT -A forward_dmz -i tun1 -o vlan64 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT -A forward_dmz -i tun0 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT -A forward_dmz -i tun1 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT Esto se consigue desde yast/firewall o bien tocando directamente el fichero de susefirewall te pongo algunas lineas interesantes: sinosuke@quasar:/etc/sysconfig> grep FW_DEV SuSEfirewall2 FW_DEV_EXT="vlan46 vlan64" FW_DEV_INT="" FW_DEV_DMZ="tun0 tun1" <------ ¿ves? aquí estan las Tuns !!! # internal or dmz interfaces in FW_DEV_INT or FW_DEV_DMZ. # Requires: FW_DEV_INT or FW_DEV_DMZ, FW_ROUTE, FW_MASQ_DEV # Old version of SuSEfirewall2 used a shell variable ($FW_DEV_EXT) # Requires: FW_DEV_INT # IP addesses! Hint: if FW_DEV_MASQ is set to the external interface # FW_DEV_wlan="wlan0" sinosuke@quasar:/etc/sysconfig> grep MASQ SuSEfirewall2 # masquerading with FW_MASQUERADE below if you want to masquerade # Requires: FW_DEV_INT or FW_DEV_DMZ, FW_ROUTE, FW_MASQ_DEV # This option is required for FW_MASQ_NETS and FW_FORWARD_MASQ. FW_MASQUERADE="yes" <--------------- Esta es la ineresante FW_MASQ_DEV="zone:ext" FW_MASQ_NETS="0/0" # table. Ie the forwarding rules installed by FW_MASQ_NETS do not # *** Since you may use FW_NOMASQ_NETS together with IPsec make sure FW_NOMASQ_NETS="" # IP addesses! Hint: if FW_DEV_MASQ is set to the external interface FW_FORWARD_MASQ="" # if neither FW_FORWARD nor FW_MASQUERADE is set # zones even if neither FW_FORWARD nor FW_MASQUERADE is set En cuanto a lo demás recomiendo poner la interfaz tun en la DMZ (copia el fichero que está

...

--- El vie 13-mar-09, Angel Alvarez escribió:

...
De: Angel Alvarez Asunto: Re: [opensuse-es]Problemas OpenVPN A: opensuse-es@opensuse.org Cc: "Camaleón" Fecha: viernes, 13 marzo, 2009, 8:07 pm Hola de nuevo

Os adjunto los pantallazos de como lo tengo yo (Nota: Yo no soy el guru ese, solo pasaba por aquí ;-). )

Yo tengo la wlan0 /eth0 como zona externa

vmnet1 zona interna

y tun0 / tun1 como zona dmz

en la DMZ las tuns las levanta openvpn (1 perfil con clave compartida y el otro un clientes TLS a mutiservidor TLS)

en ambos perfiles tengo dadas de altas clases c del trabajo a conveniencia (no cambio las rutas por defecto)

Funciona bastante bien, y todo hay que decirlo, tengo el VMWARE, el openvpn, el network-manager y el gestor de perfiles SUMF y la gestion de ancho de banda HTB del Susefirewall, funcionando todo a la perfección (1) en 10.3 ¡Bien por SUSE!(2)

Bueno nunca he conseguido que funcione el modulo de networmanager-openpvn y el kvpnc no me gusta asi que uso kovpn (aunque el autor me dijo que no lo mantendría y asi acaso lo hacia sería para kde 4.x aka "The ugly desktop".)

En fin si te vale y/o necesitas mas detalles pidelo.

Como siempre, un placer el poder leer tantas cosas inetersantes en esta lista!!

Salu2

(1) vmware se entera de los cambios de red por un script de hook en networmanager (si no recuerdo mal).

(2) Pilas no incluidas

...
El 2009-03-12 a las 14:11 -0700, Alejandro C. González Chávez escribió:

...
Buenos días a todos, les quiero preguntar algo, tengo opensuse 11.0 e instalé el openvpn, modifique el Susefirewall para poder establecer una conexión vpn usando el udp 1194, deje el archivo de configuración tal cual viene, solamente cambie la opcion push "route 192.168.1.0 255.255.255.0", esto con el objetivo de

El Viernes, 13 de Marzo de 2009 Camaleón escribió: poder accesar desde mi casa a la red interna donde esta instalado el servidor vpn.

...
...
La conexión se establece, puede hacer ping al

servidor 10.8.0.1 pero yo quiero poder entrar a cualquiera de los servidores internos sin ningun problema, estos son servidores windows.

-- Ningún personajillo ha sido vilipendiado si no es necesario. El 'buen rollo' está en nuestras manos. ->>----------------------------------------------- Clist UAH a.k.a Angel ---------------------------------[www.uah.es]-<<--

Hoy no has conseguido la iluminación divina. No importa mañána será otro día...

¡Sé el Bello 51 de People en Español! ¡Es tu oportunidad de Brillar! Sube tus fotos ya. http://www.51bello.com/

-- No imprima este correo si no es necesario. El medio ambiente está en nuestras manos. ->>----------------------------------------------- Clist UAH a.k.a Angel ---------------------------------[www.uah.es]-<<-- Mas vale POJO en mano que STRUTS volando. -- Para dar de baja la suscripciÃ³n, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org

Camaleón

15 Mar 15 Mar

11:56

El día 13 de marzo de 2009 23:59, Alejandro C. González Chávez escribió:

...

Camaleón disculpa mi ignorancia, ya puse las reglas en un script y habilite a Susefirewall para que lo leyera pero no funciona,

Revisa los registros del openvpn, por si te desconectara en algún punto. ¿Cómo intentas acceder a los equipos windows? ¿Por ssh, o a algún directorio o recurso compartido? Podría ser el cortafuegos del windows el que estuviera rechazando la conexión :-?. ¿LLegas con un ping a los clientes de la red local? ¿Qué mensaje de error te aparece en el cliente cuando intentas conectarte con ellos?

...

Por otro lado justamente esa parte que mencionas es la que no entiendo, yo tengo el ip forwarding habilitado pero configurar una ruta de retorno desde la pasarela al servidor openvpn, cual es la pasarela?,

La puerta de enlace, en este caso, supongo que sería el adaptador de red local del servidor que lleva openvpn.

...

por otro lado según lo que entiendo eso es cuando el openvpn esta en un servidor y la pasarela es otro equipo. En mi caso el openvpn esta instalado en el servidor linux que sirve de pasarela para mi LAN, es decir en mi servidor tengo una tarjeta con ip publica y otra tarjeta pegada a la LAN con una ip privada.

Entonces creo que no te haría falta ese paso. Lo que entiendo que dice la FAQ es que ambas redes (cliente que conecta desde fuera y clientes de la red local) deben configurarse para que los paquetes con destino remoto (fuera del ámbito de la red local) vayan a través del servidor openvpn. Saludos, -- Camaleón -- Para dar de baja la suscripciÃ³n, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org

5523

Age (days ago)

5526

Last active (days ago)

List overview

Download

5 comments

3 participants

participants (3)

Alejandro C. González Chávez
Angel Alvarez
Camaleón