El Viernes, 13 de Marzo de 2009 Alejandro C. González Chávez escribió:
Camaleón disculpa mi ignorancia, ya puse las reglas en un script y habilite a Susefirewall para que lo leyera pero no funciona, Por otro lado justamente esa parte que mencionas es la que no entiendo, yo tengo el ip forwarding habilitado pero configurar una ruta de retorno desde la pasarela al servidor openvpn, cual es la pasarela?, por otro lado según lo que entiendo eso es cuando el openvpn esta en un servidor y la pasarela es otro equipo. En mi caso el openvpn esta instalado en el servidor linux que sirve de pasarela para mi LAN, es decir en mi servidor tengo una tarjeta con ip publica y otra tarjeta pegada a la LAN con una ip privada.
Saludos
A.C.G.CH. Telf: Casa 00505-5323667 Cel:00505-8354400 acgch@yahoo.com
¿Qué es lo que no entiendes? [cliente] <-----VPN ---->[servidor] <----Red-Interna --->[equipos varios] 1- Conectividad cliente servidor vpn (esto ya lo tienes) 2- Conectividad cliente-->red interna (abre todo a los tuns de momento y trabajate las rutas o el masquerading) 3- reglas de filtrado y servicios (para asegurar la red y el cleintes si quieres "mas o menos el iptables -i tun+ -j ACCEPT que mencionabas...") 4- Colocar cada cosa en su sitio (reglas y rutas ) unas en los conf de openvpn y otros en susefirewall. Te recomiendo hagas las pruebas a mano (iptables / ip route) y luego trates de hacer que cada parte del sistema haga su cometido (sufirewall / openvpn etc..) Conviene controlar un poco de iptables /tablas NAT y FILTER sobre todo) antes de intentar saber si susefirewall ha hecho lo que pensabamos y no lo que le dijimos :-) Susefirewall tiene su fichero de configuracion conviene leerselo ya que representa un gran trabajo de los devs y antes de quere reinverntar la rueda hay que saber que tiene varias capacidades que no aparacen en la interfaz de Yast El servidor de VPN debe hacer forwarding de tu ip para que llegues a la red interna. La red que uses en la VPN debe estar enrutada en tu red interna hacia la VPN, sino puedes hacer masquerade con la ip interna de tu servidor de vpn para que así los paquetes de vuelta te lleguen al cliente. Mira mi conf de cliente en plan sencilito: secret /etc/openvpn/tls/static.key auth md2 cipher blowfish persist-key dev tun0 mtu-disc yes #mtu-test #tun-mtu 1500 fragment 1300 mssfix #persist-tun #comp-lzo port 1194 remote 212.128.XX.YYY:1194 ifconfig 10.8.0.2 10.8.0.1 keepalive 15 60 #up /etc/openvpn/script/tun-control #down /etc/openvpn/script/tun-control #up-restart # #up /etc/openvpn/scripts/fwmarkroute.up #down /etc/openvpn/scripts/fwmarkroute.down #up-restart #up-delay route 172.29.0.0 255.255.255.0 10.8.0.1 1 route 172.29.14.0 255.255.254.0 10.8.0.1 1 route 192.168.153.0 255.255.255.0 10.8.0.1 1 route 192.168.147.0 255.255.255.0 10.8.0.1 1 route 212.128.XX.ZZZ 255.255.255.255 10.8.0.1 1 route-delay 5 #redirect-gateway def1 # Use management interface management 127.0.0.1 2222 management-query-passwords management-hold y en el servidor... (por cortesía de susefirewall) -A INPUT -i tun0 -j input_dmz -A INPUT -i tun1 -j input_dmz -A FORWARD -i tun0 -j forward_dmz -A FORWARD -i tun1 -j forward_dmz -A forward_dmz -i tun0 -o vlan46 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT -A forward_dmz -i tun1 -o vlan46 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT -A forward_dmz -i tun0 -o vlan64 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT -A forward_dmz -i tun1 -o vlan64 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT -A forward_dmz -i tun0 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT -A forward_dmz -i tun1 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT Esto se consigue desde yast/firewall o bien tocando directamente el fichero de susefirewall te pongo algunas lineas interesantes: sinosuke@quasar:/etc/sysconfig> grep FW_DEV SuSEfirewall2 FW_DEV_EXT="vlan46 vlan64" FW_DEV_INT="" FW_DEV_DMZ="tun0 tun1" <------ ¿ves? aquí estan las Tuns !!! # internal or dmz interfaces in FW_DEV_INT or FW_DEV_DMZ. # Requires: FW_DEV_INT or FW_DEV_DMZ, FW_ROUTE, FW_MASQ_DEV # Old version of SuSEfirewall2 used a shell variable ($FW_DEV_EXT) # Requires: FW_DEV_INT # IP addesses! Hint: if FW_DEV_MASQ is set to the external interface # FW_DEV_wlan="wlan0" sinosuke@quasar:/etc/sysconfig> grep MASQ SuSEfirewall2 # masquerading with FW_MASQUERADE below if you want to masquerade # Requires: FW_DEV_INT or FW_DEV_DMZ, FW_ROUTE, FW_MASQ_DEV # This option is required for FW_MASQ_NETS and FW_FORWARD_MASQ. FW_MASQUERADE="yes" <--------------- Esta es la ineresante FW_MASQ_DEV="zone:ext" FW_MASQ_NETS="0/0" # table. Ie the forwarding rules installed by FW_MASQ_NETS do not # *** Since you may use FW_NOMASQ_NETS together with IPsec make sure FW_NOMASQ_NETS="" # IP addesses! Hint: if FW_DEV_MASQ is set to the external interface FW_FORWARD_MASQ="" # if neither FW_FORWARD nor FW_MASQUERADE is set # zones even if neither FW_FORWARD nor FW_MASQUERADE is set En cuanto a lo demás recomiendo poner la interfaz tun en la DMZ (copia el fichero que está<en /etc/sysconfig/network/paraifcfg-eth0 y usalo como plantilla para hacer uno de tun , asi la interfaz saldrá en susefirewall como si fuera una más) asi tener sus servicios separados en el susefirewall y demás. En cuanto a las rutas pueds hacer push desde el servidor de openvpn al cliente y/o ponerlas a pelo en el cleinte te recomiendo un script en los ganchos que ofrece el openvpn). Debes descomponer el problema en partes y despues atacar cada paso. En cuanto a las configuraciones pregunta por aqui que en esta lista la gente sabe un huevo :-P y de Suse más, seguro que te diran algunas técnicas mejores que las que te he contado... Salu2
--- El vie 13-mar-09, Angel Alvarez <clist@uah.es> escribió:
De: Angel Alvarez <clist@uah.es> Asunto: Re: [opensuse-es]Problemas OpenVPN A: opensuse-es@opensuse.org Cc: "Camaleón" <noelamac@gmail.com> Fecha: viernes, 13 marzo, 2009, 8:07 pm Hola de nuevo
Os adjunto los pantallazos de como lo tengo yo (Nota: Yo no soy el guru ese, solo pasaba por aquí ;-). )
Yo tengo la wlan0 /eth0 como zona externa
vmnet1 zona interna
y tun0 / tun1 como zona dmz
en la DMZ las tuns las levanta openvpn (1 perfil con clave compartida y el otro un clientes TLS a mutiservidor TLS)
en ambos perfiles tengo dadas de altas clases c del trabajo a conveniencia (no cambio las rutas por defecto)
Funciona bastante bien, y todo hay que decirlo, tengo el VMWARE, el openvpn, el network-manager y el gestor de perfiles SUMF y la gestion de ancho de banda HTB del Susefirewall, funcionando todo a la perfección (1) en 10.3 ¡Bien por SUSE!(2)
Bueno nunca he conseguido que funcione el modulo de networmanager-openpvn y el kvpnc no me gusta asi que uso kovpn (aunque el autor me dijo que no lo mantendría y asi acaso lo hacia sería para kde 4.x aka "The ugly desktop".)
En fin si te vale y/o necesitas mas detalles pidelo.
Como siempre, un placer el poder leer tantas cosas inetersantes en esta lista!!
Salu2
(1) vmware se entera de los cambios de red por un script de hook en networmanager (si no recuerdo mal).
(2) Pilas no incluidas
El 2009-03-12 a las 14:11 -0700, Alejandro C. González Chávez escribió:
Buenos días a todos, les quiero preguntar algo, tengo opensuse 11.0 e instalé el openvpn, modifique el Susefirewall para poder establecer una conexión vpn usando el udp 1194, deje el archivo de configuración tal cual viene, solamente cambie la opcion push "route 192.168.1.0 255.255.255.0", esto con el objetivo de
El Viernes, 13 de Marzo de 2009 Camaleón escribió: poder accesar desde mi casa a la red interna donde esta instalado el servidor vpn.
La conexión se establece, puede hacer ping al
servidor 10.8.0.1 pero yo quiero poder entrar a cualquiera de los servidores internos sin ningun problema, estos son servidores windows.
-- Ningún personajillo ha sido vilipendiado si no es necesario. El 'buen rollo' está en nuestras manos. ->>----------------------------------------------- Clist UAH a.k.a Angel ---------------------------------[www.uah.es]-<<--
Hoy no has conseguido la iluminación divina. No importa mañána será otro día...
¡Sé el Bello 51 de People en Español! ¡Es tu oportunidad de Brillar! Sube tus fotos ya. http://www.51bello.com/
-- No imprima este correo si no es necesario. El medio ambiente está en nuestras manos. ->>----------------------------------------------- Clist UAH a.k.a Angel ---------------------------------[www.uah.es]-<<-- Mas vale POJO en mano que STRUTS volando. -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org