subject:"OpenVPN HOWTO \(no me funciona\)."

Re: OpenVPN HOWTO (no me funciona).

2005-12-23 Por tema Iñaki

El Viernes, 23 de Diciembre de 2005 17:48, Alfonso Pinto Sampedro escribió:
|| On Wednesday 21 December 2005 19:13, Iñaki wrote:
|| > El Miércoles, 21 de Diciembre de 2005 18:42, Iñaki escribió:
|| > || El Miércoles, 21 de Diciembre de 2005 17:52, Alfonso Pinto Sampedro
|| >
|| > escribió:
|| > || || > || > || Esto no es correcto, tienes que aceptar lo que venga del
|| > || || > || > || puerto 1194 en la interface real (por ejemplo eth0).
|| > || || > || > || Todo lo que venga de ese puerto se pasa a la interface
|| > || || > || > || virtual tunX, asi que dependiendo de tu firewall puede
|| > || || > || > || ser que tengas que añadir reglas para esa interface.
|| > || || > || >
|| > || || > || > No, esto no es cierto, aunque el tráfico de TUN vaya
|| > || || > || > evidentemente sobre la única interfaz real de red que
|| > || || > || > existe (eth0) para Iptables son dos interfaces totalmente
|| > || || > || > independientes. No necesitas aceptar el tráfico al puerto
|| > || || > || > 1194 en eth0, de hecho yo no lo admito y me funciona. Tan
|| > || || > || > sólo debes permitir el INPUT, OUTPUT y FORWARD (tal vez -i
|| > || || > || > y -o) por tun0.
|| > || || > ||
|| > || || > || Tal y como yo comentaba, son dos interfaces independientes,
|| > || || > || de ahí que dijese que las reglas que tenía no funcionaban. Si
|| > || || > || usas un escenario de vpn de servidor-cliente y tienes el
|| > || || > || servidor detras de un firewall con politicas por defecto DROP
|| > || || > || (o el servidor está en el propio firewall) como no abras el
|| > || || > || puerto en el que escucha el demonio de openvpn te aseguro que
|| > || || > || no funciona, bastante me he pegado con esto.
|| > || || >
|| > || || > Son dos cosas distintas, si tienes el servidor OpenVPN detrás de
|| > || || > un firewall evidentemente necesitas permitir el tráfico por el
|| > || || > puerto UDP 1194 en el firewall, y además redirigirlo a la
|| > || || > máquina donde tengas el servidor OpenVPN.
|| > || || >
|| > || || > Pero si tienes el servidor OpenVPN y el firewall (Iptables) en
|| > || || > la misma máquina NO es necesario permitir el tráfico por el
|| > || || > puerto UDP 1194 en eth0 o ppp0 (o por donde se salga por defecto
|| > || || > a Internet). Tan sólo debes permitir la entrada por el interfaz
|| > || || > tun0.
|| > || || >
|| > || || > Te garantizo que he instalado OpenVPN en una máquina que a su
|| > || || > vez hace de firewall y NAT a la red local, y en esos Iptables
|| > || || > tengo por defecto DROP en INPUT y FORWARD, pero añado la reglas
|| > || || > para que sí se acepte el tráfico por tun0.
|| > || ||
|| > || || Pues o tienes mal configurado el firewall o estas aceptando el
|| > || || tráfico en el puerto correspiente a openvpn en la interface real
|| > || || sin que te hayas dado cuenta:
|| > || ||
|| > || || Sacado de http://openvpn.net/faq.html, seccion My OpenVPN client
|| > || || and server say "Connection Initiated with x.x.x.x" but I cannot
|| > || || ping the server through the VPN. Why?, último parrafo
|| > || ||
|| > || || Also note that firewalling the TUN/TAP interface is a completely
|| > || || separate operation from firewalling the internet-facing interface.
|| > || || For example, suppose an OpenVPN client is sending email via SMTP
|| > || || over the OpenVPN tunnel. The OpenVPN server firewall will need to
|| > || || allow both incoming encrypted data on TCP/UDP port 1194 via the
|| > || || internet-facing interface as well as incoming SMTP connections via
|| > || || the TUN/TAP interface.
|| > || ||
|| > || || Además tengo un equipo de pruebas que es firewall y servidor de
|| > || || openvpn. Si quito la regla que permite la entrada de paquetes por
|| > || || el puerto 1194, obtengo una bonita lista de paquetes descartados
|| > || || en mis logs y la vpn no levanta. La interfaz tunX es una interfaz
|| > || || virtual. El cliente se conecta al servidor Openvpn en el puerto
|| > || || 1194. Este proceso se encarga de pasar todos los paquetes
|| > || || correspondientes a la interfaz tunX. Si tu no aceptas los paquetes
|| > || || por el puerto 1194 ¿como establecen conexión el cliente y el
|| > || || servidor Openvpn? Es imposible.
|| > ||
|| > || Esto se pone muy interesante. Creo que intuyo lo que pasa:
|| > ||
|| > || En realidad mi experiencia se limita a OpenVPN pero NO en modo
|| > || client-servidor, sino en modo ¿simétrico? (no sé como decirlo).
|| > ||
|| > || En este modo al arrancar OpenVPN cada extremo inicia una comunicación
|| > || y hace un ping cada 15 segundos (en mi caso), por lo que por eso no
|| > || hace falta abrir el puerto 1194 UDP para la entrada, ya que al lanzar
|| > || un ping cada 15 segundos lo que viene se considera "ESTABLISHED" o
|| > || "RELATED" (me supongo).
|| > ||
|| > || En modo servidor entiendo que SI que hay que abrir el puerto 1194
|| > || pues dicho servidor no ha iniciado por su cuenta la comunicación con
|| > || el otro extremo, sino que es el cliente qu

Re: OpenVPN HOWTO (no me funciona).

2005-12-23 Por tema Alfonso Pinto Sampedro

On Wednesday 21 December 2005 19:13, Iñaki wrote:
> El Miércoles, 21 de Diciembre de 2005 18:42, Iñaki escribió:
> || El Miércoles, 21 de Diciembre de 2005 17:52, Alfonso Pinto Sampedro
>
> escribió:
> || || > || > || Esto no es correcto, tienes que aceptar lo que venga del
> || || > || > || puerto 1194 en la interface real (por ejemplo eth0). Todo
> || || > || > || lo que venga de ese puerto se pasa a la interface virtual
> || || > || > || tunX, asi que dependiendo de tu firewall puede ser que
> || || > || > || tengas que añadir reglas para esa interface.
> || || > || >
> || || > || > No, esto no es cierto, aunque el tráfico de TUN vaya
> || || > || > evidentemente sobre la única interfaz real de red que existe
> || || > || > (eth0) para Iptables son dos interfaces totalmente
> || || > || > independientes. No necesitas aceptar el tráfico al puerto 1194
> || || > || > en eth0, de hecho yo no lo admito y me funciona. Tan sólo
> || || > || > debes permitir el INPUT, OUTPUT y FORWARD (tal vez -i y -o)
> || || > || > por tun0.
> || || > ||
> || || > || Tal y como yo comentaba, son dos interfaces independientes, de
> || || > || ahí que dijese que las reglas que tenía no funcionaban. Si usas
> || || > || un escenario de vpn de servidor-cliente y tienes el servidor
> || || > || detras de un firewall con politicas por defecto DROP (o el
> || || > || servidor está en el propio firewall) como no abras el puerto en
> || || > || el que escucha el demonio de openvpn te aseguro que no funciona,
> || || > || bastante me he pegado con esto.
> || || >
> || || > Son dos cosas distintas, si tienes el servidor OpenVPN detrás de un
> || || > firewall evidentemente necesitas permitir el tráfico por el puerto
> || || > UDP 1194 en el firewall, y además redirigirlo a la máquina donde
> || || > tengas el servidor OpenVPN.
> || || >
> || || > Pero si tienes el servidor OpenVPN y el firewall (Iptables) en la
> || || > misma máquina NO es necesario permitir el tráfico por el puerto UDP
> || || > 1194 en eth0 o ppp0 (o por donde se salga por defecto a Internet).
> || || > Tan sólo debes permitir la entrada por el interfaz tun0.
> || || >
> || || > Te garantizo que he instalado OpenVPN en una máquina que a su vez
> || || > hace de firewall y NAT a la red local, y en esos Iptables tengo por
> || || > defecto DROP en INPUT y FORWARD, pero añado la reglas para que sí
> || || > se acepte el tráfico por tun0.
> || ||
> || || Pues o tienes mal configurado el firewall o estas aceptando el
> || || tráfico en el puerto correspiente a openvpn en la interface real sin
> || || que te hayas dado cuenta:
> || ||
> || || Sacado de http://openvpn.net/faq.html, seccion My OpenVPN client and
> || || server say "Connection Initiated with x.x.x.x" but I cannot ping the
> || || server through the VPN. Why?, último parrafo
> || ||
> || || Also note that firewalling the TUN/TAP interface is a completely
> || || separate operation from firewalling the internet-facing interface.
> || || For example, suppose an OpenVPN client is sending email via SMTP over
> || || the OpenVPN tunnel. The OpenVPN server firewall will need to allow
> || || both incoming encrypted data on TCP/UDP port 1194 via the
> || || internet-facing interface as well as incoming SMTP connections via
> || || the TUN/TAP interface.
> || ||
> || || Además tengo un equipo de pruebas que es firewall y servidor de
> || || openvpn. Si quito la regla que permite la entrada de paquetes por el
> || || puerto 1194, obtengo una bonita lista de paquetes descartados en mis
> || || logs y la vpn no levanta. La interfaz tunX es una interfaz virtual.
> || || El cliente se conecta al servidor Openvpn en el puerto 1194. Este
> || || proceso se encarga de pasar todos los paquetes correspondientes a la
> || || interfaz tunX. Si tu no aceptas los paquetes por el puerto 1194 ¿como
> || || establecen conexión el cliente y el servidor Openvpn? Es imposible.
> ||
> || Esto se pone muy interesante. Creo que intuyo lo que pasa:
> ||
> || En realidad mi experiencia se limita a OpenVPN pero NO en modo
> || client-servidor, sino en modo ¿simétrico? (no sé como decirlo).
> ||
> || En este modo al arrancar OpenVPN cada extremo inicia una comunicación y
> || hace un ping cada 15 segundos (en mi caso), por lo que por eso no hace
> || falta abrir el puerto 1194 UDP para la entrada, ya que al lanzar un ping
> || cada 15 segundos lo que viene se considera "ESTABLISHED" o "RELATED" (me
> || supongo).
> ||
> || En modo servidor entiendo que SI que hay que abrir el puerto 1194 pues
> || dicho servidor no ha iniciado por su cuenta la comunicación con el otro
> || extremo, sino que es el cliente quien la inicia.
>
> Extraído del manual de OpenVPN:
>
>
> FIREWALLS
> ***
>  OpenVPN's usage of a single UDP port makes it fairly firewall-friendly.
> You should add an entry to your firewall rules to allow incoming OpenVPN
> packets. On Linux 2.4+:
>
>   iptables -A INPUT -p udp --dport 1194 -j ACCEPT
>
>  would be adequate and would

Re: OpenVPN HOWTO (no me funciona).

2005-12-21 Por tema Iñaki

El Miércoles, 21 de Diciembre de 2005 18:42, Iñaki escribió:
|| El Miércoles, 21 de Diciembre de 2005 17:52, Alfonso Pinto Sampedro 
escribió:
|| || > || > || Esto no es correcto, tienes que aceptar lo que venga del
|| || > || > || puerto 1194 en la interface real (por ejemplo eth0). Todo lo
|| || > || > || que venga de ese puerto se pasa a la interface virtual tunX,
|| || > || > || asi que dependiendo de tu firewall puede ser que tengas que
|| || > || > || añadir reglas para esa interface.
|| || > || >
|| || > || > No, esto no es cierto, aunque el tráfico de TUN vaya
|| || > || > evidentemente sobre la única interfaz real de red que existe
|| || > || > (eth0) para Iptables son dos interfaces totalmente
|| || > || > independientes. No necesitas aceptar el tráfico al puerto 1194
|| || > || > en eth0, de hecho yo no lo admito y me funciona. Tan sólo debes
|| || > || > permitir el INPUT, OUTPUT y FORWARD (tal vez -i y -o) por tun0.
|| || > ||
|| || > || Tal y como yo comentaba, son dos interfaces independientes, de ahí
|| || > || que dijese que las reglas que tenía no funcionaban. Si usas un
|| || > || escenario de vpn de servidor-cliente y tienes el servidor detras
|| || > || de un firewall con politicas por defecto DROP (o el servidor está
|| || > || en el propio firewall) como no abras el puerto en el que escucha
|| || > || el demonio de openvpn te aseguro que no funciona, bastante me he
|| || > || pegado con esto.
|| || >
|| || > Son dos cosas distintas, si tienes el servidor OpenVPN detrás de un
|| || > firewall evidentemente necesitas permitir el tráfico por el puerto
|| || > UDP 1194 en el firewall, y además redirigirlo a la máquina donde
|| || > tengas el servidor OpenVPN.
|| || >
|| || > Pero si tienes el servidor OpenVPN y el firewall (Iptables) en la
|| || > misma máquina NO es necesario permitir el tráfico por el puerto UDP
|| || > 1194 en eth0 o ppp0 (o por donde se salga por defecto a Internet).
|| || > Tan sólo debes permitir la entrada por el interfaz tun0.
|| || >
|| || > Te garantizo que he instalado OpenVPN en una máquina que a su vez
|| || > hace de firewall y NAT a la red local, y en esos Iptables tengo por
|| || > defecto DROP en INPUT y FORWARD, pero añado la reglas para que sí se
|| || > acepte el tráfico por tun0.
|| ||
|| || Pues o tienes mal configurado el firewall o estas aceptando el tráfico
|| || en el puerto correspiente a openvpn en la interface real sin que te
|| || hayas dado cuenta:
|| ||
|| || Sacado de http://openvpn.net/faq.html, seccion My OpenVPN client and
|| || server say "Connection Initiated with x.x.x.x" but I cannot ping the
|| || server through the VPN. Why?, último parrafo
|| ||
|| || Also note that firewalling the TUN/TAP interface is a completely
|| || separate operation from firewalling the internet-facing interface. For
|| || example, suppose an OpenVPN client is sending email via SMTP over the
|| || OpenVPN tunnel. The OpenVPN server firewall will need to allow both
|| || incoming encrypted data on TCP/UDP port 1194 via the internet-facing
|| || interface as well as incoming SMTP connections via the TUN/TAP
|| || interface.
|| ||
|| || Además tengo un equipo de pruebas que es firewall y servidor de
|| || openvpn. Si quito la regla que permite la entrada de paquetes por el
|| || puerto 1194, obtengo una bonita lista de paquetes descartados en mis
|| || logs y la vpn no levanta. La interfaz tunX es una interfaz virtual. El
|| || cliente se conecta al servidor Openvpn en el puerto 1194. Este proceso
|| || se encarga de pasar todos los paquetes correspondientes a la interfaz
|| || tunX. Si tu no aceptas los paquetes por el puerto 1194 ¿como establecen
|| || conexión el cliente y el servidor Openvpn? Es imposible.
||
|| Esto se pone muy interesante. Creo que intuyo lo que pasa:
||
|| En realidad mi experiencia se limita a OpenVPN pero NO en modo
|| client-servidor, sino en modo ¿simétrico? (no sé como decirlo).
||
|| En este modo al arrancar OpenVPN cada extremo inicia una comunicación y
|| hace un ping cada 15 segundos (en mi caso), por lo que por eso no hace
|| falta abrir el puerto 1194 UDP para la entrada, ya que al lanzar un ping
|| cada 15 segundos lo que viene se considera "ESTABLISHED" o "RELATED" (me
|| supongo).
||
|| En modo servidor entiendo que SI que hay que abrir el puerto 1194 pues
|| dicho servidor no ha iniciado por su cuenta la comunicación con el otro
|| extremo, sino que es el cliente quien la inicia.


Extraído del manual de OpenVPN:


FIREWALLS
***
 OpenVPN's usage of a single UDP port makes it fairly firewall-friendly. You 
should add an entry to your firewall rules to allow incoming OpenVPN packets. 
On Linux 2.4+: 

  iptables -A INPUT -p udp --dport 1194 -j ACCEPT 

 would be adequate and would not render the host inflexible with respect to 
its peer having a dynamic IP address. 


 OpenVPN also works well on stateful firewalls. In some cases, you may not 
need to add any static rules to the firewall list if you are using a sta

Re: OpenVPN HOWTO (no me funciona).

2005-12-21 Por tema Iñaki

El Miércoles, 21 de Diciembre de 2005 17:52, Alfonso Pinto Sampedro escribió:
|| > || > || Esto no es correcto, tienes que aceptar lo que venga del puerto
|| > || > || 1194 en la interface real (por ejemplo eth0). Todo lo que venga
|| > || > || de ese puerto se pasa a la interface virtual tunX, asi que
|| > || > || dependiendo de tu firewall puede ser que tengas que añadir
|| > || > || reglas para esa interface.
|| > || >
|| > || > No, esto no es cierto, aunque el tráfico de TUN vaya evidentemente
|| > || > sobre la única interfaz real de red que existe (eth0) para Iptables
|| > || > son dos interfaces totalmente independientes. No necesitas aceptar
|| > || > el tráfico al puerto 1194 en eth0, de hecho yo no lo admito y me
|| > || > funciona. Tan sólo debes permitir el INPUT, OUTPUT y FORWARD (tal
|| > || > vez -i y -o) por tun0.
|| > ||
|| > || Tal y como yo comentaba, son dos interfaces independientes, de ahí
|| > || que dijese que las reglas que tenía no funcionaban. Si usas un
|| > || escenario de vpn de servidor-cliente y tienes el servidor detras de
|| > || un firewall con politicas por defecto DROP (o el servidor está en el
|| > || propio firewall) como no abras el puerto en el que escucha el demonio
|| > || de openvpn te aseguro que no funciona, bastante me he pegado con
|| > || esto.
|| >
|| > Son dos cosas distintas, si tienes el servidor OpenVPN detrás de un
|| > firewall evidentemente necesitas permitir el tráfico por el puerto UDP
|| > 1194 en el firewall, y además redirigirlo a la máquina donde tengas el
|| > servidor OpenVPN.
|| >
|| > Pero si tienes el servidor OpenVPN y el firewall (Iptables) en la misma
|| > máquina NO es necesario permitir el tráfico por el puerto UDP 1194 en
|| > eth0 o ppp0 (o por donde se salga por defecto a Internet). Tan sólo
|| > debes permitir la entrada por el interfaz tun0.
|| >
|| > Te garantizo que he instalado OpenVPN en una máquina que a su vez hace
|| > de firewall y NAT a la red local, y en esos Iptables tengo por defecto
|| > DROP en INPUT y FORWARD, pero añado la reglas para que sí se acepte el
|| > tráfico por tun0.
||
|| Pues o tienes mal configurado el firewall o estas aceptando el tráfico en
|| el puerto correspiente a openvpn en la interface real sin que te hayas
|| dado cuenta:
||
|| Sacado de http://openvpn.net/faq.html, seccion My OpenVPN client and
|| server say "Connection Initiated with x.x.x.x" but I cannot ping the
|| server through the VPN. Why?, último parrafo
||
|| Also note that firewalling the TUN/TAP interface is a completely separate
|| operation from firewalling the internet-facing interface. For example,
|| suppose an OpenVPN client is sending email via SMTP over the OpenVPN
|| tunnel. The OpenVPN server firewall will need to allow both incoming
|| encrypted data on TCP/UDP port 1194 via the internet-facing interface as
|| well as incoming SMTP connections via the TUN/TAP interface.
||
|| Además tengo un equipo de pruebas que es firewall y servidor de openvpn.
|| Si quito la regla que permite la entrada de paquetes por el puerto 1194,
|| obtengo una bonita lista de paquetes descartados en mis logs y la vpn no
|| levanta. La interfaz tunX es una interfaz virtual. El cliente se conecta
|| al servidor Openvpn en el puerto 1194. Este proceso se encarga de pasar
|| todos los paquetes correspondientes a la interfaz tunX. Si tu no aceptas
|| los paquetes por el puerto 1194 ¿como establecen conexión el cliente y el
|| servidor Openvpn? Es imposible.

Esto se pone muy interesante. Creo que intuyo lo que pasa:

En realidad mi experiencia se limita a OpenVPN pero NO en modo 
client-servidor, sino en modo ¿simétrico? (no sé como decirlo).

En este modo al arrancar OpenVPN cada extremo inicia una comunicación y hace 
un ping cada 15 segundos (en mi caso), por lo que por eso no hace falta abrir 
el puerto 1194 UDP para la entrada, ya que al lanzar un ping cada 15 segundos 
lo que viene se considera "ESTABLISHED" o "RELATED" (me supongo).

En modo servidor entiendo que SI que hay que abrir el puerto 1194 pues dicho 
servidor no ha iniciado por su cuenta la comunicación con el otro extremo, 
sino que es el cliente quien la inicia.

¿Qué opinas de esto que comento? ¿puede tener "fundamento"?

No obstante puedo garantizar que yo no permito en el servidor la entrada al 
puerto 1194, lo he requeterevisado. Además si hago un "nmap" sólo me muestra 
los puertos que yo quería dejar abiertos (el 22 y el 80).

Muchas gracias por los datos que aportas, sin duda me ahorrarán un batacazo 
gordo el día que tenga que poner un OpenVPN en modo servidor (pronto creo).


|| > || > Otra cosa es que hablemos de un firewall por hardware, que sólo
|| > || > tiene un interfaz y en el que evidentemente sí que hay que abrir y
|| > || > redirigir el puerto 1194 al ordenador que está haciendo la VPN
|| > || > mediante OpenVPN.
|| > || >
|| > || > || Lo de ESTABLISHED Y RELATED no te va a funcionar, recuerda que
|| > || > || el protocolo UDP no está orientado a conexión. Tend

Re: OpenVPN HOWTO (no me funciona).

2005-12-21 Por tema Alfonso Pinto Sampedro

On Wednesday 21 December 2005 15:26, Iñaki wrote:
> El Miércoles, 21 de Diciembre de 2005 09:50, Alfonso Pinto Sampedro 
escribió:
> || On Tuesday 20 December 2005 21:39, Iñaki wrote:
> || > El Lunes, 19 de Diciembre de 2005 13:21, Alfonso Pinto Sampedro 
escribió:
> || > || On Saturday 17 December 2005 20:07, Pablo Braulio wrote:
> || > || > El Sábado, 17 de Diciembre de 2005 14:29, Ricardo Frydman Eureka!
> || >
> || > escribió:
> || > || > > Gracias al compañero Iñaki y a pedido del inmenso publico, se
> || > || > > encuentra disponible el OpenVPN Howto en
> || > || > > http://eureka-linux.com.ar/docs/openvpn.html
> || > || > >
> || > || > > Felicitaciones (y gracias!) a Iñaki y a disfrutarlo!
> || > || >
> || > || > Bueno pues siguiendo las indicaciones del howto, no consigo
> || > || > hacerlo funcionar.
> || > || >
> || > || > Intento conectar la red de mi casa con la del despacho,
> || > || > instalando openvpn en dos equipos con debian y kernel 2.6.12 y
> || > || > 2.6.14. Tengo puesto como modulo la opción del kernel TUN/TAP (en
> || > || > ambos):
> || > || >
> || > || > # ls /dev/net
> || > || > tun
> || > || >
> || > || > Siguiendo las indicaciones del how-to, al hacer
> || > || > /etc/init.d/openvpn start funcionar, pero en mi caso no es así.
> || > || >
> || > || > # /etc/init.d/openvpn start
> || > || > Starting virtual private network daemon: tunel(FAILED).
> || > || >
> || > || > Esto me ocurre en los dos equipos que hacen de extremos del
> || > || > tunel.
> || > || >
> || > || > En el despacho el equipo que tiene openvpn es el que hace de
> || > || > firewall. No hay router, está conectado a un modem cable de ono.
> || > || > Tiene puesta la regla en iptables:
> || > || > iptables -A INPUT -i tun -p UDP --dport 1194 -m state --state
> || > || > NEW,ESTABLISHED,RELATED -j ACCEPT
> || > ||
> || > || Esto no es correcto, tienes que aceptar lo que venga del puerto
> || > || 1194 en la interface real (por ejemplo eth0). Todo lo que venga de
> || > || ese puerto se pasa a la interface virtual tunX, asi que dependiendo
> || > || de tu firewall puede ser que tengas que añadir reglas para esa
> || > || interface.
> || >
> || > No, esto no es cierto, aunque el tráfico de TUN vaya evidentemente
> || > sobre la única interfaz real de red que existe (eth0) para Iptables
> || > son dos interfaces totalmente independientes. No necesitas aceptar el
> || > tráfico al puerto 1194 en eth0, de hecho yo no lo admito y me
> || > funciona. Tan sólo debes permitir el INPUT, OUTPUT y FORWARD (tal vez
> || > -i y -o) por tun0.
> ||
> || Tal y como yo comentaba, son dos interfaces independientes, de ahí que
> || dijese que las reglas que tenía no funcionaban. Si usas un escenario de
> || vpn de servidor-cliente y tienes el servidor detras de un firewall con
> || politicas por defecto DROP (o el servidor está en el propio firewall)
> || como no abras el puerto en el que escucha el demonio de openvpn te
> || aseguro que no funciona, bastante me he pegado con esto.
>
> Son dos cosas distintas, si tienes el servidor OpenVPN detrás de un
> firewall evidentemente necesitas permitir el tráfico por el puerto UDP 1194
> en el firewall, y además redirigirlo a la máquina donde tengas el servidor
> OpenVPN.
>
> Pero si tienes el servidor OpenVPN y el firewall (Iptables) en la misma
> máquina NO es necesario permitir el tráfico por el puerto UDP 1194 en eth0
> o ppp0 (o por donde se salga por defecto a Internet). Tan sólo debes
> permitir la entrada por el interfaz tun0.
>
> Te garantizo que he instalado OpenVPN en una máquina que a su vez hace de
> firewall y NAT a la red local, y en esos Iptables tengo por defecto DROP en
> INPUT y FORWARD, pero añado la reglas para que sí se acepte el tráfico por
> tun0.

Pues o tienes mal configurado el firewall o estas aceptando el tráfico en el 
puerto correspiente a openvpn en la interface real sin que te hayas dado 
cuenta:

Sacado de http://openvpn.net/faq.html, seccion My OpenVPN client and server 
say "Connection Initiated with x.x.x.x" but I cannot ping the server through 
the VPN. Why?, último parrafo

Also note that firewalling the TUN/TAP interface is a completely separate 
operation from firewalling the internet-facing interface. For example, 
suppose an OpenVPN client is sending email via SMTP over the OpenVPN tunnel. 
The OpenVPN server firewall will need to allow both incoming encrypted data 
on TCP/UDP port 1194 via the internet-facing interface as well as incoming 
SMTP connections via the TUN/TAP interface.

Además tengo un equipo de pruebas que es firewall y servidor de openvpn. Si 
quito la regla que permite la entrada de paquetes por el puerto 1194, obtengo 
una bonita lista de paquetes descartados en mis logs y la vpn no levanta. La 
interfaz tunX es una interfaz virtual. El cliente se conecta al servidor 
Openvpn en el puerto 1194. Este proceso se encarga de pasar todos los 
paquetes correspondientes a la interfaz tunX. Si tu no aceptas los paquetes 
por el puerto 11

Re: OpenVPN HOWTO (no me funciona).

2005-12-21 Por tema Iñaki

El Miércoles, 21 de Diciembre de 2005 09:50, Alfonso Pinto Sampedro escribió:
|| On Tuesday 20 December 2005 21:39, Iñaki wrote:
|| > El Lunes, 19 de Diciembre de 2005 13:21, Alfonso Pinto Sampedro escribió:
|| > || On Saturday 17 December 2005 20:07, Pablo Braulio wrote:
|| > || > El Sábado, 17 de Diciembre de 2005 14:29, Ricardo Frydman Eureka!
|| >
|| > escribió:
|| > || > > Gracias al compañero Iñaki y a pedido del inmenso publico, se
|| > || > > encuentra disponible el OpenVPN Howto en
|| > || > > http://eureka-linux.com.ar/docs/openvpn.html
|| > || > >
|| > || > > Felicitaciones (y gracias!) a Iñaki y a disfrutarlo!
|| > || >
|| > || > Bueno pues siguiendo las indicaciones del howto, no consigo hacerlo
|| > || > funcionar.
|| > || >
|| > || > Intento conectar la red de mi casa con la del despacho, instalando
|| > || > openvpn en dos equipos con debian y kernel 2.6.12 y 2.6.14. Tengo
|| > || > puesto como modulo la opción del kernel TUN/TAP (en ambos):
|| > || >
|| > || > # ls /dev/net
|| > || > tun
|| > || >
|| > || > Siguiendo las indicaciones del how-to, al hacer /etc/init.d/openvpn
|| > || > start funcionar, pero en mi caso no es así.
|| > || >
|| > || > # /etc/init.d/openvpn start
|| > || > Starting virtual private network daemon: tunel(FAILED).
|| > || >
|| > || > Esto me ocurre en los dos equipos que hacen de extremos del tunel.
|| > || >
|| > || > En el despacho el equipo que tiene openvpn es el que hace de
|| > || > firewall. No hay router, está conectado a un modem cable de ono.
|| > || > Tiene puesta la regla en iptables:
|| > || > iptables -A INPUT -i tun -p UDP --dport 1194 -m state --state
|| > || > NEW,ESTABLISHED,RELATED -j ACCEPT
|| > ||
|| > || Esto no es correcto, tienes que aceptar lo que venga del puerto 1194
|| > || en la interface real (por ejemplo eth0). Todo lo que venga de ese
|| > || puerto se pasa a la interface virtual tunX, asi que dependiendo de tu
|| > || firewall puede ser que tengas que añadir reglas para esa interface.
|| >
|| > No, esto no es cierto, aunque el tráfico de TUN vaya evidentemente sobre
|| > la única interfaz real de red que existe (eth0) para Iptables son dos
|| > interfaces totalmente independientes. No necesitas aceptar el tráfico al
|| > puerto 1194 en eth0, de hecho yo no lo admito y me funciona. Tan sólo
|| > debes permitir el INPUT, OUTPUT y FORWARD (tal vez -i y -o) por tun0.
||
|| Tal y como yo comentaba, son dos interfaces independientes, de ahí que
|| dijese que las reglas que tenía no funcionaban. Si usas un escenario de
|| vpn de servidor-cliente y tienes el servidor detras de un firewall con
|| politicas por defecto DROP (o el servidor está en el propio firewall) como
|| no abras el puerto en el que escucha el demonio de openvpn te aseguro que
|| no funciona, bastante me he pegado con esto.

Son dos cosas distintas, si tienes el servidor OpenVPN detrás de un firewall 
evidentemente necesitas permitir el tráfico por el puerto UDP 1194 en el 
firewall, y además redirigirlo a la máquina donde tengas el servidor OpenVPN.

Pero si tienes el servidor OpenVPN y el firewall (Iptables) en la misma 
máquina NO es necesario permitir el tráfico por el puerto UDP 1194 en eth0 o 
ppp0 (o por donde se salga por defecto a Internet). Tan sólo debes permitir 
la entrada por el interfaz tun0.

Te garantizo que he instalado OpenVPN en una máquina que a su vez hace de 
firewall y NAT a la red local, y en esos Iptables tengo por defecto DROP en 
INPUT y FORWARD, pero añado la reglas para que sí se acepte el tráfico por 
tun0. 




|| > Otra cosa es que hablemos de un firewall por hardware, que sólo tiene un
|| > interfaz y en el que evidentemente sí que hay que abrir y redirigir el
|| > puerto 1194 al ordenador que está haciendo la VPN mediante OpenVPN.
|| >
|| > || Lo de ESTABLISHED Y RELATED no te va a funcionar, recuerda que el
|| > || protocolo UDP no está orientado a conexión. Tendras que definir
|| > || reglas para lo que entra y para lo que sale.
|| >
|| > No es cierto, ESTABLISHED Y RELATED no es sólo para TCP, sirve para UDP,
|| > ICMP e incluso para protocolos "desconocidos".
|| >
|| > Recomiendo encarecidamente la lectura de este manual de Iptables en
|| > castellano, que es el mejor que he visto nunca y con el que se aprende
|| > mucho. Lo pasé a PDF para imprimir (mi tiempo me llevó), si alguien lo
|| > quiere en PDF que me lo pida.
||
|| Te aseguro que a mi ESTABLISHED Y RELATED me han dado problemas con UDP en
|| un firewall con politicas por defecto DROP y que no me funcionaba. De
|| todas formas es lógico: Established se refiere a conexión establecida y
|| Related a conexión relacionada. Si en UDP no hay conexión ¿como van a
|| funcionar?

No dudo que te haya dado problemas, pero te equivocas al decir que ESTABLISHED 
y RELATED sólo se refieren a TCP, no es así. El kernel mediante conntrack 
puede seguir las "conexiones" TCP, UDP, ICMP y otras y establecer cuáles son 
ESTABLISHE y RELATED.

Entiendo que no estés de acuerdo, pero por favor, echa

Re: OpenVPN HOWTO (no me funciona).

2005-12-21 Por tema Alfonso Pinto Sampedro

On Tuesday 20 December 2005 21:39, Iñaki wrote:
> El Lunes, 19 de Diciembre de 2005 13:21, Alfonso Pinto Sampedro escribió:
> || On Saturday 17 December 2005 20:07, Pablo Braulio wrote:
> || > El Sábado, 17 de Diciembre de 2005 14:29, Ricardo Frydman Eureka!
>
> escribió:
> || > > Gracias al compañero Iñaki y a pedido del inmenso publico, se
> || > > encuentra disponible el OpenVPN Howto en
> || > > http://eureka-linux.com.ar/docs/openvpn.html
> || > >
> || > > Felicitaciones (y gracias!) a Iñaki y a disfrutarlo!
> || >
> || > Bueno pues siguiendo las indicaciones del howto, no consigo hacerlo
> || > funcionar.
> || >
> || > Intento conectar la red de mi casa con la del despacho, instalando
> || > openvpn en dos equipos con debian y kernel 2.6.12 y 2.6.14. Tengo
> || > puesto como modulo la opción del kernel TUN/TAP (en ambos):
> || >
> || > # ls /dev/net
> || > tun
> || >
> || > Siguiendo las indicaciones del how-to, al hacer /etc/init.d/openvpn
> || > start funcionar, pero en mi caso no es así.
> || >
> || > # /etc/init.d/openvpn start
> || > Starting virtual private network daemon: tunel(FAILED).
> || >
> || > Esto me ocurre en los dos equipos que hacen de extremos del tunel.
> || >
> || > En el despacho el equipo que tiene openvpn es el que hace de firewall.
> || > No hay router, está conectado a un modem cable de ono. Tiene puesta la
> || > regla en iptables:
> || > iptables -A INPUT -i tun -p UDP --dport 1194 -m state --state
> || > NEW,ESTABLISHED,RELATED -j ACCEPT
> ||
> || Esto no es correcto, tienes que aceptar lo que venga del puerto 1194 en
> || la interface real (por ejemplo eth0). Todo lo que venga de ese puerto se
> || pasa a la interface virtual tunX, asi que dependiendo de tu firewall
> || puede ser que tengas que añadir reglas para esa interface.
>
> No, esto no es cierto, aunque el tráfico de TUN vaya evidentemente sobre la
> única interfaz real de red que existe (eth0) para Iptables son dos
> interfaces totalmente independientes. No necesitas aceptar el tráfico al
> puerto 1194 en eth0, de hecho yo no lo admito y me funciona. Tan sólo debes
> permitir el INPUT, OUTPUT y FORWARD (tal vez -i y -o) por tun0.

Tal y como yo comentaba, son dos interfaces independientes, de ahí que dijese 
que las reglas que tenía no funcionaban. Si usas un escenario de vpn de  
servidor-cliente y tienes el servidor detras de un firewall con politicas por 
defecto DROP (o el servidor está en el propio firewall) como no abras el 
puerto en el que escucha el demonio de openvpn te aseguro que no funciona, 
bastante me he pegado con esto.

>
> Otra cosa es que hablemos de un firewall por hardware, que sólo tiene un
> interfaz y en el que evidentemente sí que hay que abrir y redirigir el
> puerto 1194 al ordenador que está haciendo la VPN mediante OpenVPN.
>
> || Lo de ESTABLISHED Y RELATED no te va a funcionar, recuerda que el
> || protocolo UDP no está orientado a conexión. Tendras que definir reglas
> || para lo que entra y para lo que sale.
>
> No es cierto, ESTABLISHED Y RELATED no es sólo para TCP, sirve para UDP,
> ICMP e incluso para protocolos "desconocidos".
>
> Recomiendo encarecidamente la lectura de este manual de Iptables en
> castellano, que es el mejor que he visto nunca y con el que se aprende
> mucho. Lo pasé a PDF para imprimir (mi tiempo me llevó), si alguien lo
> quiere en PDF que me lo pida.

Te aseguro que a mi ESTABLISHED Y RELATED me han dado problemas con UDP en un 
firewall con politicas por defecto DROP y que no me funcionaba. De todas 
formas es lógico: Established se refiere a conexión establecida y Related a 
conexión relacionada. Si en UDP no hay conexión ¿como van a funcionar?
>
> || > El otro equipo es mi portátil que está detrás de un router. No se si
> || > debería abrir el puerto en el router o redireccionarlo a mi portatil,
> || > pues lo único que quiero es crear un tunel de mi portatil a la red del
> || > despacho. No a toda la red de mi casa.
> || >
> || > Según creo debería tener creada una interfaz (tun), que se mostrase al
> || > hacer ifconfig, pero esta no es creada. No se como hacerlo.
> ||
> || Puede ser problema de que udev no te crea el dispositivo /dev/tunX. A mi
> || me ocurría eso y haciendo un dpkg-recofigure openvpn te pregunta si
> || quieres que lo cree, le dices que si, pruebas y nos cuentas.
> ||
> || Un saludo.
> ||
> || > ¿Sabéis que puede estar fallando?.
> || > Saludos.
> || > Pablo
> || > 
> || > Jabber: bruli(at)myjabber(to)net


pgpZMcddFjGF1.pgp
Description: PGP signature

Re: OpenVPN HOWTO (no me funciona).

2005-12-20 Por tema Pablo Braulio

El Martes, 20 de Diciembre de 2005 22:13, Iñaki escribió:
> En DMZ ya me pierdo. ¿Desde tu despacho puedes hacer ping a la 192.168.0.X?
> En caso afirmativo entiendo que sólo tendrías que añadir otra línea en la
> configuración de OpenVPN en tu casa enrutando también lo que vaya a la
> 192.168.0.X a través del tun. Vamos, algo así:
>   route 192.168.0.0 255.255.255.0

Efectivamente, así funciona.
Gracias
-- 
Saludos.
Pablo

Jabber: bruli(at)myjabber(to)net

Re: OpenVPN HOWTO (no me funciona).

2005-12-20 Por tema Iñaki

El Martes, 20 de Diciembre de 2005 22:00, Pablo Braulio escribió:
|| El Martes, 20 de Diciembre de 2005 21:49, Iñaki escribió:
|| > ¿De qué firewall hablas? ¿del de casa?
||
|| No en el despacho.
||
|| > ¿tienes router en casa?.
||
||  Si. Pero no me ha hecho falta tocar ningún puerto.
||
|| > ¿es una debian la que hace de router y firewall?
||
|| En el despacho si.
||
|| > En cuanto a la regla:
|| >
|| > Justamente esto:
|| > # Permitimos conectar desde cualquier equipo de las redes a nuestro
|| > router por la VPN:
|| >  -A INPUT -i tun+ -j ACCEPT
|| > # Permitimos conectar por la VPN desde el router al resto de routers y
|| > equipos de cada red:
|| >  -A OUTPUT -o tun+ -j ACCEPT
|| > # Permitimos que equipos de las otras redes accedan a nuestra red:
|| >  -A FORWARD -i tun+ -j ACCEPT
|| > # Permitimos que los equipos de nuestra red accedan a la VPN:
|| >  -A FORWARD -o tun+ -j ACCEPT
||
|| Es finalmente como la he dejado.
||
|| > Si tienes cualquier duda no dudes en preguntar.
||
|| Gracias, pero tengo una duda.
||
|| La red del despacho es 192.168.1.0
|| La red de casa es 192.168.2.0
|| En el despacho hay una DMZ con el servidor web y mail: 192.168.0.0
||
|| La cuestión es que ahora puedo hacer pings y acceder a la red de la red
|| local del despacho (192.168.1.0), desde casa. Pero no puedo acceder a la
|| DMZ.
||
|| ¿Habría modo de poder acceder a ella con la vpn?.

En DMZ ya me pierdo. ¿Desde tu despacho puedes hacer ping a la 192.168.0.X?
En caso afirmativo entiendo que sólo tendrías que añadir otra línea en la 
configuración de OpenVPN en tu casa enrutando también lo que vaya a la 
192.168.0.X a través del tun. Vamos, algo así:
  route 192.168.0.0 255.255.255.0


Y también recuerdo algo de una opción que permite que distintas VPNs con un 
punto en común se vean entre sí, cosa que depende de la configuración del 
punto común, aunque no recuerdo la opción, y de todas formas no es tu caso.



|| El interés que tenía en un principio de montar una vpn, es para dejar de
|| leer el correo de mi servidor con un webmail desde casa.

-- 
y hasta aquí puedo leer...

Re: OpenVPN HOWTO (no me funciona).

2005-12-20 Por tema Pablo Braulio

El Martes, 20 de Diciembre de 2005 21:49, Iñaki escribió:
> ¿De qué firewall hablas? ¿del de casa?
>
No en el despacho. 
> ¿tienes router en casa?. 
 Si. Pero no me ha hecho falta tocar ningún puerto.
> ¿es una debian la que hace de router y firewall? 

En el despacho si.
>
>
> En cuanto a la regla:

> Justamente esto:
> # Permitimos conectar desde cualquier equipo de las redes a nuestro router
> por la VPN:
>  -A INPUT -i tun+ -j ACCEPT
> # Permitimos conectar por la VPN desde el router al resto de routers y
> equipos de cada red:
>  -A OUTPUT -o tun+ -j ACCEPT
> # Permitimos que equipos de las otras redes accedan a nuestra red:
>  -A FORWARD -i tun+ -j ACCEPT
> # Permitimos que los equipos de nuestra red accedan a la VPN:
>  -A FORWARD -o tun+ -j ACCEPT
>
Es finalmente como la he dejado.
>
>
> Si tienes cualquier duda no dudes en preguntar.

Gracias, pero tengo una duda.

La red del despacho es 192.168.1.0
La red de casa es 192.168.2.0
En el despacho hay una DMZ con el servidor web y mail: 192.168.0.0

La cuestión es que ahora puedo hacer pings y acceder a la red de la red local 
del despacho (192.168.1.0), desde casa. Pero no puedo acceder a la DMZ.

¿Habría modo de poder acceder a ella con la vpn?.

El interés que tenía en un principio de montar una vpn, es para dejar de leer 
el correo de mi servidor con un webmail desde casa.

-- 
Saludos.
Pablo

Jabber: bruli(at)myjabber(to)net

Re: OpenVPN HOWTO (no me funciona).

2005-12-20 Por tema Iñaki

El Martes, 20 de Diciembre de 2005 21:39, Iñaki escribió:
|| Recomiendo encarecidamente la lectura de este manual de Iptables en
|| castellano, que es el mejor que he visto nunca y con el que se aprende
|| mucho. Lo pasé a PDF para imprimir (mi tiempo me llevó), si alguien lo
|| quiere en PDF que me lo pida.

Y ahora es cuando pongo el enlace...

  http://iptables-tutorial.frozentux.net/spanish/chunkyhtml/index.html



-- 
y hasta aquí puedo leer...

Re: OpenVPN HOWTO (no me funciona).

2005-12-20 Por tema Pablo Braulio

El Martes, 20 de Diciembre de 2005 21:39, Iñaki escribió:
> No, esto no es cierto, aunque el tráfico de TUN vaya evidentemente sobre la
> única interfaz real de red que existe (eth0) para Iptables son dos
> interfaces totalmente independientes. No necesitas aceptar el tráfico al
> puerto 1194 en eth0, de hecho yo no lo admito y me funciona. Tan sólo debes
> permitir el INPUT, OUTPUT y FORWARD (tal vez -i y -o) por tun0.
>
> Otra cosa es que hablemos de un firewall por hardware, que sólo tiene un
> interfaz y en el que evidentemente sí que hay que abrir y redirigir el
> puerto 1194 al ordenador que está haciendo la VPN mediante OpenVPN.

Si señor, esto es lo que me estaba fallando.
-- 
Saludos.
Pablo

Jabber: bruli(at)myjabber(to)net

Re: OpenVPN HOWTO (no me funciona).

2005-12-20 Por tema Iñaki

El Martes, 20 de Diciembre de 2005 19:10, Pablo Braulio escribió:
|| El Martes, 20 de Diciembre de 2005 17:26, Alfonso Pinto Sampedro escribió:
|| > Mandanos el archivo de configuración de opnevpn, a ver si falta alguna
|| > directiva.
||
|| Ya me arranca bien. Parece que había un error en la línea de /dev/net/tun.
||
|| Ahora arrancan bien las dos puntas del tunel, pero no me responden los
|| pings.
||
|| Este es el archivo de configuracíon del servidor del despacho:
||
|| dominio-casa.org
|| float
|| port 1194
|| dev-node /dev/net/tun
|| persist-tun
|| ifconfig 10.0.1.1 10.0.1.2
|| comp-lzo
|| ping 15
|| ping restart 120
|| verb 3
|| secret /etc/openvpn/clave.key
|| persist-key
|| route 192.168.2.0 255.255.255.0
|| user nobody
|| group nogroup
|| chroot /var/empty

Sólo por curiosidad: la red local del despacho es la 192.168.1.X y la de tu 
casa la 192.168.2.X ¿verdad? si no lo tienes al revés.


|| Y el de casa:
||
|| remote aldiagestion.com
|| float
|| port 1194
|| dev-node /dev/net/tun
|| persist-tun
|| ifconfig 10.0.1.2 10.0.1.1
|| comp-lzo
|| ping 15
|| ping-restart 120
|| verb 3
|| secret /etc/openvpn/clave.key
|| persist-key
|| route 192.168.1.0 255.255.255.0
|| user nobody
|| group nogroup
|| chroot /var/empty
||
|| Se me ocurre, que a lo mejor es porque el firewall no permite que entre en
|| la red local. No se, podría ser.


¿De qué firewall hablas? ¿del de casa?

¿tienes router en casa? ¿es una debian la que hace de router y firewall?


En cuanto a la regla:

iptables -A INPUT -i tun -p UDP --dport 1194 -m state --state 
NEW,ESTABLISHED,RELATED -j ACCEPT

No tiene sentido:

Lo que viene por el interfaz tun (que además NO será tun, será tun0 aunque el 
nodo sea /dev/net/tun) en realidad no viene por el puerto 1194.

La cosa es:
tú envías un paquete con destino la red local remota, el sistema lo enruta por 
un interfaz virtual (tun) que funcionará como funcione (es un paquete 
encriptado UDP por el puerto 1194), pero cuando el extremo lo recoge lo 
primero que hace es extraer el paquete original y luego llega a Iptables. Es 
decir, tras quitar el paquete UDP con destino puerto 1194 lo que queda es un 
paquete de lo que sea (un ping, un TCP...) que irá a un puerto X pero que a 
efectos prácticos viaja por el interfaz tun0, y en absoluto por el eth0.

Así pues la única regla que debes poner en tu router-firewall-debian es que 
deje entrar lo que venga por tun0, que deje salir por tun0 y que permita el 
FORWARDING por tun0 (tanto para que la red local envíe paquetes como para que 
la red remota y el router remoto envíen paquetes a nuestra red local a través 
de la VPN.
Justamente esto:
# Permitimos conectar desde cualquier equipo de las redes a nuestro router por 
la VPN:
 -A INPUT -i tun+ -j ACCEPT
# Permitimos conectar por la VPN desde el router al resto de routers y equipos 
de cada red:
 -A OUTPUT -o tun+ -j ACCEPT
# Permitimos que equipos de las otras redes accedan a nuestra red:
 -A FORWARD -i tun+ -j ACCEPT
# Permitimos que los equipos de nuestra red accedan a la VPN:
 -A FORWARD -o tun+ -j ACCEPT



Si tienes cualquier duda no dudes en preguntar.



-- 
y hasta aquí puedo leer...

Re: OpenVPN HOWTO (no me funciona).

2005-12-20 Por tema Iñaki

El Lunes, 19 de Diciembre de 2005 13:21, Alfonso Pinto Sampedro escribió:
|| On Saturday 17 December 2005 20:07, Pablo Braulio wrote:
|| > El Sábado, 17 de Diciembre de 2005 14:29, Ricardo Frydman Eureka! 
escribió:
|| > > Gracias al compañero Iñaki y a pedido del inmenso publico, se
|| > > encuentra disponible el OpenVPN Howto en
|| > > http://eureka-linux.com.ar/docs/openvpn.html
|| > >
|| > > Felicitaciones (y gracias!) a Iñaki y a disfrutarlo!
|| >
|| > Bueno pues siguiendo las indicaciones del howto, no consigo hacerlo
|| > funcionar.
|| >
|| > Intento conectar la red de mi casa con la del despacho, instalando
|| > openvpn en dos equipos con debian y kernel 2.6.12 y 2.6.14. Tengo puesto
|| > como modulo la opción del kernel TUN/TAP (en ambos):
|| >
|| > # ls /dev/net
|| > tun
|| >
|| > Siguiendo las indicaciones del how-to, al hacer /etc/init.d/openvpn
|| > start funcionar, pero en mi caso no es así.
|| >
|| > # /etc/init.d/openvpn start
|| > Starting virtual private network daemon: tunel(FAILED).
|| >
|| > Esto me ocurre en los dos equipos que hacen de extremos del tunel.
|| >
|| > En el despacho el equipo que tiene openvpn es el que hace de firewall.
|| > No hay router, está conectado a un modem cable de ono. Tiene puesta la
|| > regla en iptables:
|| > iptables -A INPUT -i tun -p UDP --dport 1194 -m state --state
|| > NEW,ESTABLISHED,RELATED -j ACCEPT
||
|| Esto no es correcto, tienes que aceptar lo que venga del puerto 1194 en la
|| interface real (por ejemplo eth0). Todo lo que venga de ese puerto se pasa
|| a la interface virtual tunX, asi que dependiendo de tu firewall puede ser
|| que tengas que añadir reglas para esa interface.

No, esto no es cierto, aunque el tráfico de TUN vaya evidentemente sobre la 
única interfaz real de red que existe (eth0) para Iptables son dos interfaces 
totalmente independientes. No necesitas aceptar el tráfico al puerto 1194 en 
eth0, de hecho yo no lo admito y me funciona. Tan sólo debes permitir el 
INPUT, OUTPUT y FORWARD (tal vez -i y -o) por tun0.

Otra cosa es que hablemos de un firewall por hardware, que sólo tiene un 
interfaz y en el que evidentemente sí que hay que abrir y redirigir el puerto 
1194 al ordenador que está haciendo la VPN mediante OpenVPN.


|| Lo de ESTABLISHED Y RELATED no te va a funcionar, recuerda que el
|| protocolo UDP no está orientado a conexión. Tendras que definir reglas
|| para lo que entra y para lo que sale.

No es cierto, ESTABLISHED Y RELATED no es sólo para TCP, sirve para UDP, ICMP 
e incluso para protocolos "desconocidos".

Recomiendo encarecidamente la lectura de este manual de Iptables en 
castellano, que es el mejor que he visto nunca y con el que se aprende mucho.
Lo pasé a PDF para imprimir (mi tiempo me llevó), si alguien lo quiere en PDF 
que me lo pida.



|| > El otro equipo es mi portátil que está detrás de un router. No se si
|| > debería abrir el puerto en el router o redireccionarlo a mi portatil,
|| > pues lo único que quiero es crear un tunel de mi portatil a la red del
|| > despacho. No a toda la red de mi casa.
|| >
|| > Según creo debería tener creada una interfaz (tun), que se mostrase al
|| > hacer ifconfig, pero esta no es creada. No se como hacerlo.
||
|| Puede ser problema de que udev no te crea el dispositivo /dev/tunX. A mi
|| me ocurría eso y haciendo un dpkg-recofigure openvpn te pregunta si
|| quieres que lo cree, le dices que si, pruebas y nos cuentas.
||
|| Un saludo.
||
|| > ¿Sabéis que puede estar fallando?.
|| > Saludos.
|| > Pablo
|| > 
|| > Jabber: bruli(at)myjabber(to)net

-- 
y hasta aquí puedo leer...

Re: OpenVPN HOWTO (no me funciona).

2005-12-20 Por tema Pablo Braulio

El Martes, 20 de Diciembre de 2005 17:26, Alfonso Pinto Sampedro escribió:
> Mandanos el archivo de configuración de opnevpn, a ver si falta alguna
> directiva.

Ya me arranca bien. Parece que había un error en la línea de /dev/net/tun.

Ahora arrancan bien las dos puntas del tunel, pero no me responden los pings.

Este es el archivo de configuracíon del servidor del despacho:

dominio-casa.org
float
port 1194
dev-node /dev/net/tun
persist-tun
ifconfig 10.0.1.1 10.0.1.2
comp-lzo
ping 15
ping restart 120
verb 3
secret /etc/openvpn/clave.key
persist-key
route 192.168.2.0 255.255.255.0
user nobody
group nogroup
chroot /var/empty

Y el de casa:

remote aldiagestion.com
float
port 1194
dev-node /dev/net/tun
persist-tun
ifconfig 10.0.1.2 10.0.1.1
comp-lzo
ping 15
ping-restart 120
verb 3
secret /etc/openvpn/clave.key
persist-key
route 192.168.1.0 255.255.255.0
user nobody
group nogroup
chroot /var/empty

Se me ocurre, que a lo mejor es porque el firewall no permite que entre en la 
red local. No se, podría ser.
-- 
Saludos.
Pablo

Jabber: bruli(at)myjabber(to)net

Re: OpenVPN HOWTO (no me funciona).

2005-12-20 Por tema Alfonso Pinto Sampedro

On Tuesday 20 December 2005 16:23, Pablo Braulio wrote:
> El Martes, 20 de Diciembre de 2005 16:18, Alfonso Pinto Sampedro escribió:
> > Despues de esta pregunta no te hace ninguna más??? Que raro, siempre
> > que lo hice me pregunto a posteriori si quería crear el dispositivo
> > tun??? Te has fijado si ya existe en /dev??? Has probado lo otro que te
> > comente???
>
> # ls /dev/net/
> tun
>
> Como puedes ver existe:
>
> # ifconfig
> eth0  Link encap:Ethernet  HWaddr 
>   inet addr:  Bcast:xx  Mask:xx
>   UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
>   RX packets:23463472 errors:0 dropped:0 overruns:0 frame:0
>   TX packets:186421 errors:0 dropped:0 overruns:0 carrier:0
>   collisions:0 txqueuelen:1000
>   RX bytes:1612244396 (1.5 GiB)  TX bytes:53659390 (51.1 MiB)
>   Interrupt:11 Base address:0x2800
>
> eth1  Link encap:Ethernet  HWaddr 
>   inet addr:  Bcast:xx 
> Mask:x UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
>   RX packets:211991 errors:0 dropped:0 overruns:0 frame:0
>   TX packets:285226 errors:0 dropped:0 overruns:0 carrier:0
>   collisions:0 txqueuelen:1000
>   RX bytes:50804634 (48.4 MiB)  TX bytes:318001510 (303.2 MiB)
>   Interrupt:10 Base address:0x4400
>
> eth2  Link encap:Ethernet  HWaddr 
>   inet addr:  Bcast:xx  Mask:
>   UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
>   RX packets:156429 errors:0 dropped:0 overruns:0 frame:0
>   TX packets:106623 errors:0 dropped:0 overruns:0 carrier:0
>   collisions:0 txqueuelen:1000
>   RX bytes:164653887 (157.0 MiB)  TX bytes:25688923 (24.4 MiB)
>   Interrupt:11 Base address:0x6000
>
> loLink encap:Local Loopback
>   inet addr:127.0.0.1  Mask:255.0.0.0
>   UP LOOPBACK RUNNING  MTU:16436  Metric:1
>   RX packets:17114 errors:0 dropped:0 overruns:0 frame:0
>   TX packets:17114 errors:0 dropped:0 overruns:0 carrier:0
>   collisions:0 txqueuelen:0
>   RX bytes:6238940 (5.9 MiB)  TX bytes:6238940 (5.9 MiB)
>
>
> Al decir,"lo otro que me dijiste", supongo que te refieres a la regla de
> iptables. ¿no?.
>
>   iptables -N openvpn
>
> -- echo -n "--Regla openvpn: "
> iptables -A INPUT -i $I_EXT -p udp --dport 1194 -j openvpn
> iptables -A OUTPUT -o $I_EXT -p udp --sport 1194 -j openvpn
> iptables -A openvpn -j ACCEPT
> iptables -A openvpn -j ULOG --ulog-nlgroup 1 --ulog-prefix
> "OPENVPN: "
> iptables -A openvpn -j DROP
> echo "hecho."

Mandanos el archivo de configuración de opnevpn, a ver si falta alguna 
directiva.

Un saludo.


pgp9w3wp6Byas.pgp
Description: PGP signature

Re: OpenVPN HOWTO (no me funciona).

2005-12-20 Por tema Pablo Braulio

El Martes, 20 de Diciembre de 2005 16:18, Alfonso Pinto Sampedro escribió:
> Despues de esta pregunta no te hace ninguna más??? Que raro, siempre
> que lo hice me pregunto a posteriori si quería crear el dispositivo tun???
> Te has fijado si ya existe en /dev??? Has probado lo otro que te comente???
# ls /dev/net/
tun

Como puedes ver existe:

# ifconfig
eth0  Link encap:Ethernet  HWaddr 
  inet addr:  Bcast:xx  Mask:xx
  UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
  RX packets:23463472 errors:0 dropped:0 overruns:0 frame:0
  TX packets:186421 errors:0 dropped:0 overruns:0 carrier:0
  collisions:0 txqueuelen:1000
  RX bytes:1612244396 (1.5 GiB)  TX bytes:53659390 (51.1 MiB)
  Interrupt:11 Base address:0x2800

eth1  Link encap:Ethernet  HWaddr 
  inet addr:  Bcast:xx  Mask:x
  UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
  RX packets:211991 errors:0 dropped:0 overruns:0 frame:0
  TX packets:285226 errors:0 dropped:0 overruns:0 carrier:0
  collisions:0 txqueuelen:1000
  RX bytes:50804634 (48.4 MiB)  TX bytes:318001510 (303.2 MiB)
  Interrupt:10 Base address:0x4400

eth2  Link encap:Ethernet  HWaddr 
  inet addr:  Bcast:xx  Mask:
  UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
  RX packets:156429 errors:0 dropped:0 overruns:0 frame:0
  TX packets:106623 errors:0 dropped:0 overruns:0 carrier:0
  collisions:0 txqueuelen:1000
  RX bytes:164653887 (157.0 MiB)  TX bytes:25688923 (24.4 MiB)
  Interrupt:11 Base address:0x6000

loLink encap:Local Loopback
  inet addr:127.0.0.1  Mask:255.0.0.0
  UP LOOPBACK RUNNING  MTU:16436  Metric:1
  RX packets:17114 errors:0 dropped:0 overruns:0 frame:0
  TX packets:17114 errors:0 dropped:0 overruns:0 carrier:0
  collisions:0 txqueuelen:0
  RX bytes:6238940 (5.9 MiB)  TX bytes:6238940 (5.9 MiB)


Al decir,"lo otro que me dijiste", supongo que te refieres a la regla de 
iptables. ¿no?.

  iptables -N openvpn

-- echo -n "--Regla openvpn: "
iptables -A INPUT -i $I_EXT -p udp --dport 1194 -j openvpn
iptables -A OUTPUT -o $I_EXT -p udp --sport 1194 -j openvpn
iptables -A openvpn -j ACCEPT
iptables -A openvpn -j ULOG --ulog-nlgroup 1 --ulog-prefix 
"OPENVPN: "
iptables -A openvpn -j DROP
echo "hecho."
--
Saludos.
Pablo

Jabber: bruli(at)myjabber(to)net

Re: OpenVPN HOWTO (no me funciona).

2005-12-20 Por tema Alfonso Pinto Sampedro

On Monday 19 December 2005 13:41, Pablo Braulio wrote:
> > Puede ser problema de que udev no te crea el dispositivo /dev/tunX. A mi
> > me ocurría eso y haciendo un dpkg-recofigure openvpn te pregunta si
> > quieres que lo cree, le dices que si, pruebas y nos cuentas.
>
> Esto es lo único que muestra dpkg-reconfigure openvpn:
>  ┌┤ Configuración de openvpn
> ├─┐
>  │
> │
>  │ In some cases you may be upgrading openvpn in a remote server using a
> VPN to do so. The upgrade │
>  │ process stops the running daemon before installing the new version, in
> that case you may lose your  │
>  │ connection, the upgrade may be interrupted, and you may not be able to
> reconnect to the remote  │
>  │ host.
> │
>  │
> │
>  │ Unless you do your upgrades locally, it is advised NOT to stop openvpn
> before it gets upgraded. │
>  │ The installation process will restart it once it's done.
> │
>  │
> │
>  │ This option will take effect in your next upgrade.
> │
>  │
> │
>  │ Would you like to stop openvpn before it gets upgraded?
> │
>  │
> │
>  │  
>

Despues de esta pregunta no te hace ninguna más??? Que raro, siempre que 
lo hice me pregunto a posteriori si quería crear el dispositivo tun??? Te has 
fijado si ya existe en /dev??? Has probado lo otro que te comente???

Un saludo.

> No me pregunta nada de crear tun.


pgpVcXw8xkMmf.pgp
Description: PGP signature

Re: OpenVPN HOWTO (no me funciona).

2005-12-19 Por tema Pablo Braulio


> Puede ser problema de que udev no te crea el dispositivo /dev/tunX. A mi me
> ocurría eso y haciendo un dpkg-recofigure openvpn te pregunta si quieres
> que lo cree, le dices que si, pruebas y nos cuentas.
>

Esto es lo único que muestra dpkg-reconfigure openvpn:
 ┌┤ Configuración de openvpn 
├─┐
 │  
   
│
 │ In some cases you may be upgrading openvpn in a remote server using a VPN 
to do so. The upgrade │
 │ process stops the running daemon before installing the new version, in that 
case you may lose your  │
 │ connection, the upgrade may be interrupted, and you may not be able to 
reconnect to the remote  │
 │ host.
   
│
 │  
   
│
 │ Unless you do your upgrades locally, it is advised NOT to stop openvpn 
before it gets upgraded. │
 │ The installation process will restart it once it's done. 
   
│
 │  
   
│
 │ This option will take effect in your next upgrade.   
   
│
 │  
   
│
 │ Would you like to stop openvpn before it gets upgraded?  
   
│
 │  
   
│
 │   


No me pregunta nada de crear tun.
-- 
Saludos.
Pablo

Jabber: bruli(at)myjabber(to)net

Re: OpenVPN HOWTO (no me funciona).

2005-12-19 Por tema Alfonso Pinto Sampedro

On Saturday 17 December 2005 20:07, Pablo Braulio wrote:
> El Sábado, 17 de Diciembre de 2005 14:29, Ricardo Frydman Eureka! escribió:
> > Gracias al compañero Iñaki y a pedido del inmenso publico, se encuentra
> > disponible el OpenVPN Howto en
> > http://eureka-linux.com.ar/docs/openvpn.html
> >
> > Felicitaciones (y gracias!) a Iñaki y a disfrutarlo!
>
> Bueno pues siguiendo las indicaciones del howto, no consigo hacerlo
> funcionar.
>
> Intento conectar la red de mi casa con la del despacho, instalando openvpn
> en dos equipos con debian y kernel 2.6.12 y 2.6.14. Tengo puesto como
> modulo la opción del kernel TUN/TAP (en ambos):
>
> # ls /dev/net
> tun
>
> Siguiendo las indicaciones del how-to, al hacer /etc/init.d/openvpn start
> funcionar, pero en mi caso no es así.
>
> # /etc/init.d/openvpn start
> Starting virtual private network daemon: tunel(FAILED).
>
> Esto me ocurre en los dos equipos que hacen de extremos del tunel.
>
> En el despacho el equipo que tiene openvpn es el que hace de firewall. No
> hay router, está conectado a un modem cable de ono. Tiene puesta la regla
> en iptables:
> iptables -A INPUT -i tun -p UDP --dport 1194 -m state --state
> NEW,ESTABLISHED,RELATED -j ACCEPT

Esto no es correcto, tienes que aceptar lo que venga del puerto 1194 en la 
interface real (por ejemplo eth0). Todo lo que venga de ese puerto se pasa a 
la interface virtual tunX, asi que dependiendo de tu firewall puede ser que 
tengas que añadir reglas para esa interface.

Lo de ESTABLISHED Y RELATED no te va a funcionar, recuerda que el protocolo 
UDP no está orientado a conexión. Tendras que definir reglas para lo que 
entra y para lo que sale.

>
> El otro equipo es mi portátil que está detrás de un router. No se si
> debería abrir el puerto en el router o redireccionarlo a mi portatil, pues
> lo único que quiero es crear un tunel de mi portatil a la red del despacho.
> No a toda la red de mi casa.
>
> Según creo debería tener creada una interfaz (tun), que se mostrase al
> hacer ifconfig, pero esta no es creada. No se como hacerlo.

Puede ser problema de que udev no te crea el dispositivo /dev/tunX. A mi me 
ocurría eso y haciendo un dpkg-recofigure openvpn te pregunta si quieres que 
lo cree, le dices que si, pruebas y nos cuentas.

Un saludo.

>
> ¿Sabéis que puede estar fallando?.
> Saludos.
> Pablo
> 
> Jabber: bruli(at)myjabber(to)net


pgpxdgypUqFP5.pgp
Description: PGP signature

Re: OpenVPN HOWTO (no me funciona).

2005-12-17 Por tema Pablo Braulio

El Sábado, 17 de Diciembre de 2005 14:29, Ricardo Frydman Eureka! escribió:
> Gracias al compañero Iñaki y a pedido del inmenso publico, se encuentra
> disponible el OpenVPN Howto en http://eureka-linux.com.ar/docs/openvpn.html
>
> Felicitaciones (y gracias!) a Iñaki y a disfrutarlo!

Bueno pues siguiendo las indicaciones del howto, no consigo hacerlo funcionar.

Intento conectar la red de mi casa con la del despacho, instalando openvpn en 
dos equipos con debian y kernel 2.6.12 y 2.6.14. Tengo puesto como modulo la 
opción del kernel TUN/TAP (en ambos):

# ls /dev/net
tun

Siguiendo las indicaciones del how-to, al hacer /etc/init.d/openvpn start 
funcionar, pero en mi caso no es así.

# /etc/init.d/openvpn start
Starting virtual private network daemon: tunel(FAILED).

Esto me ocurre en los dos equipos que hacen de extremos del tunel.

En el despacho el equipo que tiene openvpn es el que hace de firewall. No hay 
router, está conectado a un modem cable de ono. Tiene puesta la regla en 
iptables: 
iptables -A INPUT -i tun -p UDP --dport 1194 -m state --state 
NEW,ESTABLISHED,RELATED -j ACCEPT

El otro equipo es mi portátil que está detrás de un router. No se si debería 
abrir el puerto en el router o redireccionarlo a mi portatil, pues lo único 
que quiero es crear un tunel de mi portatil a la red del despacho. No a toda 
la red de mi casa.

Según creo debería tener creada una interfaz (tun), que se mostrase al hacer 
ifconfig, pero esta no es creada. No se como hacerlo.

¿Sabéis que puede estar fallando?.
Saludos.
Pablo

Jabber: bruli(at)myjabber(to)net

Re: OpenVPN HOWTO (no me funciona).

Re: OpenVPN HOWTO (no me funciona).

Re: OpenVPN HOWTO (no me funciona).

Re: OpenVPN HOWTO (no me funciona).

Re: OpenVPN HOWTO (no me funciona).

Re: OpenVPN HOWTO (no me funciona).

Re: OpenVPN HOWTO (no me funciona).

Re: OpenVPN HOWTO (no me funciona).

Re: OpenVPN HOWTO (no me funciona).

Re: OpenVPN HOWTO (no me funciona).

Re: OpenVPN HOWTO (no me funciona).

Re: OpenVPN HOWTO (no me funciona).

Re: OpenVPN HOWTO (no me funciona).

Re: OpenVPN HOWTO (no me funciona).

Re: OpenVPN HOWTO (no me funciona).

Re: OpenVPN HOWTO (no me funciona).

Re: OpenVPN HOWTO (no me funciona).

Re: OpenVPN HOWTO (no me funciona).

Re: OpenVPN HOWTO (no me funciona).

Re: OpenVPN HOWTO (no me funciona).

Re: OpenVPN HOWTO (no me funciona).

21 matches

Site Navigation

Mail list logo

Footer information