Re: OpenVPN Roadwarrior y configuración de Clientes Win2
El día lunes, 17 de junio de 2013, a las 18:57:31, ciracusa escribió: c Les dejo una consulta, tengo funcionando un server OpenVPN roadwarrior c con clientes win2. El tema que me ocurre es el siguiente: c - En los clientes win2, si ejecuto el OpenVPN con una cuenta con c derechos de usuarios, se conecta perfectamente pero no tengo ping a los c host de mi red. c Ahora, si ejecuto el mismo OpenVPN en la misma PC pero con una cuenta c con derechos de Administrador si tengo ping con los host de la red. c Alguien sabe que puede suceder? Se me ocurre que puede suceder que los host de red NO devuelvan ping a quienes no tengan derechos de administrador... como política de seguridad... hay veces que muchos router y firewall están configurados para ser sordos a peticiones de ping. -- Saludos, GamlaUppsala mailto:gamlaupps...@yahoo.com.ar -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1076608785.20130619014...@yahoo.com.ar
Re: OpenVPN Roadwarrior y configuración de Clientes Win2
El Mon, 17 Jun 2013 18:57:31 -0300, ciracusa escribió: Buenas noches! Buenas, tu mensaje ha salido duplicado. Les dejo una consulta, tengo funcionando un server OpenVPN roadwarrior con clientes win2. El tema que me ocurre es el siguiente: - En los clientes win2, si ejecuto el OpenVPN con una cuenta con derechos de usuarios, se conecta perfectamente pero no tengo ping a los host de mi red. Ahora, si ejecuto el mismo OpenVPN en la misma PC pero con una cuenta con derechos de Administrador si tengo ping con los host de la red. Alguien sabe que puede suceder? Puede ser que al tener derechos de usuario no se puede cambiar la tabla de ruteos o alguna política del firewall? Por lo que se lee parece que es el comportamiento normal: Non-Admin usage of OpenVPN on Windows https://forums.openvpn.net/topic8250.html Desconozco las interioridades y el motivo de esto, personalmente y así a bote pronto, no me convence lo más mínimo. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/pan.2013.06.18.14.40...@gmail.com
Re: OpenVPN Roadwarrior - Proteger certificados que se instalan en equipos clientes Win2
El jue, 23-05-2013 a las 07:27 -0300, ciracusa escribió: Flako, gracias por tu respuesta. Va entre tus líneas: On 22/05/13 19:59, Flako wrote: El día 22 de mayo de 2013 19:16, ciracusacirac...@gmail.com escribió: On 22/05/13 12:32, Flako wrote: De mi parte filtrar por IP a mi no me gusta (no es seguro), tanta seguridad vpn y te hakean el certificado y una ip valida y te entrar a tu red... Haber, la idea de agregar el filtro por la IP es justamente para además de los certificados, obligar a que solo se conecten desde el lugar que yo disponga. No se si estamos hablando de lo mismo.. yo me refiero a que cualquier filtro de ip que se realice pensando en aumentar la seguridad (pensando en autenticar a un host remoto) no sirve de nada.. No te da mas seguridad.. es muy fácil (pa el que sabe), hacerse pasar por una ip valida.. y tu idea de conecten desde el lugar que yo disponga se va al diablo. Entiendo, pero la idea es aumentar un poco la seguridad. Puedes hacer un filtro por ip, pero solo va ser un decorado.. , no lo pienses como algo que va a impedir que se conecte otro... Si estas penando en que alguien se puede robar tu certificado, deberías tener en cuenta que también te roben alguna de esas ip validas... En mi caso, sería mas probable que se roben los certificados y directamente se conecten a que se roben los certificados y luego tengan en cuenta el tema de la ip desde donde origina la nueva conexión. Ya que estamos te consulto, me puedes comentar como un usuario luego de robar mis certificados puede irse a su casa -por ejemplo- y simular la IP pública que yo tendría habilitada? IP Spoofing: http://es.wikipedia.org/wiki/Spoofing Es cierto que se puede hacer pero no es tan fácil. Como te estás haciendo pasar por otra IP las respuestas no te llegan a ti sino a la IP falsificada. A menos que también tengas acceso a la IP falsificada (con lo cual quizá ya no te interesa hacer un ataque IP spoofing) la comunicación es a ciegas. Tu envías paquetes pero no ves las respuestas. Para poder predecir las respuestas que el servidor envía (y que tu no ves) debes haber estudiado antes al milímetro el comportamiento del entorno donde estas haciendo el ataque, especialmente para predecir el numero de secuencia TCP. Con nmap -O -v ipservidor puedes medir la dificultad del ataque: TCP Sequence Prediction: Difficulty=263 (Good luck!) Saludos. -- Francesc Guitart -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1369469200.2400.11.camel@negret
Re: OpenVPN Roadwarrior - Proteger certificados que se instalan en equipos clientes Win2
Flako, gracias por tu respuesta. Va entre tus líneas: On 22/05/13 19:59, Flako wrote: El día 22 de mayo de 2013 19:16, ciracusacirac...@gmail.com escribió: On 22/05/13 12:32, Flako wrote: De mi parte filtrar por IP a mi no me gusta (no es seguro), tanta seguridad vpn y te hakean el certificado y una ip valida y te entrar a tu red... Haber, la idea de agregar el filtro por la IP es justamente para además de los certificados, obligar a que solo se conecten desde el lugar que yo disponga. No se si estamos hablando de lo mismo.. yo me refiero a que cualquier filtro de ip que se realice pensando en aumentar la seguridad (pensando en autenticar a un host remoto) no sirve de nada.. No te da mas seguridad.. es muy fácil (pa el que sabe), hacerse pasar por una ip valida.. y tu idea de conecten desde el lugar que yo disponga se va al diablo. Entiendo, pero la idea es aumentar un poco la seguridad. Puedes hacer un filtro por ip, pero solo va ser un decorado.. , no lo pienses como algo que va a impedir que se conecte otro... Si estas penando en que alguien se puede robar tu certificado, deberías tener en cuenta que también te roben alguna de esas ip validas... En mi caso, sería mas probable que se roben los certificados y directamente se conecten a que se roben los certificados y luego tengan en cuenta el tema de la ip desde donde origina la nueva conexión. Ya que estamos te consulto, me puedes comentar como un usuario luego de robar mis certificados puede irse a su casa -por ejemplo- y simular la IP pública que yo tendría habilitada? Muchas Gracias. Saludos. en estos tiempos ni se lo piensa como algo importante.. solo agrega un obstáculo mas.. es muy fácil -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/519def26.1070...@gmail.com
Re: OpenVPN Roadwarrior - Proteger certificados que se instalan en equipos clientes Win2
El Wed, 22 May 2013 19:19:35 -0300, ciracusa escribió: On 22/05/13 13:02, Camaleón wrote: (...) El tema es que como los clientes tienen ADSLs tendría que buscar la manera de saber que IPs tienen en cada momento? (...) Y cambiarla continuamente... no, no me parece una buena idea ni tampoco práctica. Ok, que me sugieres tú para asegurarme que algún pillo no les robe los certificados VPN y tenga pleno acceso contra mis servidores? Si de verdad te preocupa la seguridad, para equipos portátiles recomendaría el cifrado completo del disco duro (en windows esto suele ser más sencillo) y políticas de gestión de contraseña (tanto del sistema local como del remoto/VPN) endurecidas. Y sobre todo, ya que es lo que al fin y cabo vas a poder controlar tú mismo, análisis y monitorización constante del servidor que gestione la VPN para que en el caso de se produzca alguna violación o accesos no autorizados, revoques los certificados de esos clientes cuanto antes. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/knl74c$3ac$3...@ger.gmane.org
Re: OpenVPN Roadwarrior - Proteger certificados que se instalan en equipos clientes Win2
2013/5/22 ciracusa cirac...@gmail.com Lista, buenos días. Les consulto, tengo montado un server Openvpn en Debian 6. Ahora bien, la pregunta es esta, cuando genero los certificados y los monto dentro de la carpeta Config (en los equipos Win2 con el cliente de OpenVPN) como puedo evitar que alguien se copie esos certificados, los lleve a otra PC y tenga el mismo acceso que en la PC que yo los dispuse? Tu planteamiento es incorrecto. No vas a poder proteger esos certificados con mas de lo que te brinda el SO, en todo caso deberías proteger la conexión. Para lo cual podrías crear nuevos certificados cliente con ./build-key-pass entonces para una conexión exitosa necesitarías los certificados correctos y un password. Mas sofisticado seria usar autenticación centralizada contra una DB o un Active Directory O más sofisticación aún usar los certificados en conjunto con un token USB Saludos -- La Voluntad es el único motor de nuestros logros http://blog.ngen.com.ar/
Re: OpenVPN Roadwarrior - Proteger certificados que se instalan en equipos clientes Win2
Puede que quieras ponerle muchisima seguridad pero hay un factor humano en existencia que es el factor de riesgo por lo cual los descuidos estan siempre, pero seria buena practica que la autenticación no solo sea por certificado sino tamb contra un dominio es decir. utilizar conexión por certificado para iniciar la conexión pero que se autentique contra un ldap con usuario y contraseña ademas podes agregar una password al certificado. http://www.howtoforge.com/setting-up-an-openvpn-server-with-authentication-against-openldap-on-ubuntu-10.04-lts slds. El 22 de mayo de 2013 09:13, ciracusa cirac...@gmail.com escribió: Lista, buenos días. Les consulto, tengo montado un server Openvpn en Debian 6. Ahora bien, la pregunta es esta, cuando genero los certificados y los monto dentro de la carpeta Config (en los equipos Win2 con el cliente de OpenVPN) como puedo evitar que alguien se copie esos certificados, los lleve a otra PC y tenga el mismo acceso que en la PC que yo los dispuse? Muchas Gracias. Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@**lists.debian.orgdebian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/**519cb664.3060...@gmail.comhttp://lists.debian.org/519cb664.3060...@gmail.com
Re: OpenVPN Roadwarrior - Proteger certificados que se instalan en equipos clientes Win2
Lista, buenos días. Les consulto, tengo montado un server Openvpn en Debian 6. Ahora bien, la pregunta es esta, cuando genero los certificados y los monto dentro de la carpeta Config (en los equipos Win2 con el cliente de OpenVPN) como puedo evitar que alguien se copie esos certificados, los lleve a otra PC y tenga el mismo acceso que en la PC que yo los dispuse? Supongo que tendrías que buscar una solución por el lado del servidor VPN y no del cliente. Entiendo que es más sencillo, y a la vez más seguro, de esa forma. Espero que estos links puedan darte alguna idea: http://openvpn.net/archive/openvpn-users/2006-05/msg00194.html http://openvpn.net/archive/openvpn-users/2006-05/msg00206.html https://forums.openvpn.net/authentication-scripts-f16.html -- Luis -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/519cb664.3060...@gmail.com -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/caljfk2ay0yhbwkzhd2jvqzx18ivwzqjwtw7udqhoeea2l95...@mail.gmail.com
Re: OpenVPN Roadwarrior - Proteger certificados que se instalan en equipos clientes Win2
El día 22 de mayo de 2013 09:13, ciracusa cirac...@gmail.com escribió: Lista, buenos días. Les consulto, tengo montado un server Openvpn en Debian 6. Ahora bien, la pregunta es esta, cuando genero los certificados y los monto dentro de la carpeta Config (en los equipos Win2 con el cliente de OpenVPN) como puedo evitar que alguien se copie esos certificados, los lleve a otra PC y tenga el mismo acceso que en la PC que yo los dispuse? Muchas Gracias. Saludos. Como te dice, deberías pedir un password al user. El certificado es como si fuese una tarjeta magnética de un banco.. si la perdes.. y la usa otra persona no es culpa de tarjeta...(si del sistema/esquema en general).. los bancos usan un PIN y un seguro de 24hs para estos casos.. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/CADqxbRTpwzLjVBC+vjC61R6=DwFPJJcFkq=c-55h1o4+dua...@mail.gmail.com
Re: OpenVPN Roadwarrior - Proteger certificados que se instalan en equipos clientes Win2
Msta (aravin) que gusto leerte a pesar del reto Te respondo entre tus líneas: On 22/05/13 09:48, Carlos Miranda Molina (Mstaaravin) wrote: 2013/5/22 ciracusa cirac...@gmail.com mailto:cirac...@gmail.com Lista, buenos días. Les consulto, tengo montado un server Openvpn en Debian 6. Ahora bien, la pregunta es esta, cuando genero los certificados y los monto dentro de la carpeta Config (en los equipos Win2 con el cliente de OpenVPN) como puedo evitar que alguien se copie esos certificados, los lleve a otra PC y tenga el mismo acceso que en la PC que yo los dispuse? Tu planteamiento es incorrecto. La idea era consultar diferentes escenarios. No vas a poder proteger esos certificados con mas de lo que te brinda el SO, en todo caso deberías proteger la conexión. Ok. Para lo cual podrías crear nuevos certificados cliente con ./build-key-pass entonces para una conexión exitosa necesitarías los certificados correctos y un password. Ok. Mas sofisticado seria usar autenticación centralizada contra una DB o un Active Directory Tenes algún ejemplo sobre alguna implementación sobre Plataformas Libres¿? O más sofisticación aún usar los certificados en conjunto con un token USB Esta era la idea, o lo que buscaba, pero no se como buscar esta solución. Saludos -- La Voluntad es el único motor de nuestros logros http://blog.ngen.com.ar/ Muchas Gracias! Saludos.
Re: OpenVPN Roadwarrior - Proteger certificados que se instalan en equipos clientes Win2
Flako, va entre tus líneas: On 22/05/13 10:21, Flako wrote: El día 22 de mayo de 2013 09:13, ciracusacirac...@gmail.com escribió: Lista, buenos días. Les consulto, tengo montado un server Openvpn en Debian 6. Ahora bien, la pregunta es esta, cuando genero los certificados y los monto dentro de la carpeta Config (en los equipos Win2 con el cliente de OpenVPN) como puedo evitar que alguien se copie esos certificados, los lleve a otra PC y tenga el mismo acceso que en la PC que yo los dispuse? Muchas Gracias. Saludos. Como te dice, deberías pedir un password al user. ok. El certificado es como si fuese una tarjeta magnética de un banco.. si la perdes.. y la usa otra persona no es culpa de tarjeta...(si del sistema/esquema en general).. Ok, yo no dije lo contrario. Solo les pedí una opinión. los bancos usan un PIN y un seguro de 24hs para estos casos.. Ok! Muchas Gracias! Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/519cceea.6070...@gmail.com
Re: OpenVPN Roadwarrior - Proteger certificados que se instalan en equipos clientes Win2
El Wed, 22 May 2013 09:13:24 -0300, ciracusa escribió: Les consulto, tengo montado un server Openvpn en Debian 6. Ahora bien, la pregunta es esta, cuando genero los certificados y los monto dentro de la carpeta Config (en los equipos Win2 con el cliente de OpenVPN) como puedo evitar que alguien se copie esos certificados, los lleve a otra PC y tenga el mismo acceso que en la PC que yo los dispuse? Podrías añadir un requerimiento adicional de seguridad como por ejemplo, solicitar usuario/contraseña. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/knik8l$83g$7...@ger.gmane.org
Re: OpenVPN Roadwarrior - Proteger certificados que se instalan en equipos clientes Win2
El día 22 de mayo de 2013 10:58, ciracusa cirac...@gmail.com escribió: Flako, va entre tus líneas: El certificado es como si fuese una tarjeta magnética de un banco.. si la perdes.. y la usa otra persona no es culpa de tarjeta...(si del sistema/esquema en general).. Ok, yo no dije lo contrario. Solo les pedí una opinión. Si lo se :), solo fue una aclaración, porque a veces uno no sabes que tanto conocimiento técnico tiene la otra persona.. Yo hago lo mismo en los foros... pedí una opinión, uno puede estar equivocado o puede haber una mejor solución :) Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/cadqxbrruvsc37enmljhjopgwwngyvxjg8skgz8qksm1dbde...@mail.gmail.com
Re: OpenVPN Roadwarrior - Proteger certificados que se instalan en equipos clientes Win2
On 22/05/13 11:21, Camaleón wrote: El Wed, 22 May 2013 09:13:24 -0300, ciracusa escribió: Les consulto, tengo montado un server Openvpn en Debian 6. Ahora bien, la pregunta es esta, cuando genero los certificados y los monto dentro de la carpeta Config (en los equipos Win2 con el cliente de OpenVPN) como puedo evitar que alguien se copie esos certificados, los lleve a otra PC y tenga el mismo acceso que en la PC que yo los dispuse? Podrías añadir un requerimiento adicional de seguridad como por ejemplo, solicitar usuario/contraseña. Saludos, Camaleon, si si, no lo descarto. Pero me gustaría mucho implementar algo que sea personal tipo USB/Pendrive y/o alguna autenticación como decía Mstaaravin. Ahora, estaba pensando, sería posible autenticar los hosts desde donde se realiza la petición de autenticación para el OpenVPN? Digo, habilitar a nivel de IPTABLES en el Server OpenVPN desde que IPs se me conectan. El tema es que como los clientes tienen ADSLs tendría que buscar la manera de saber que IPs tienen en cada momento? Si alguien se le ocurre alguna idea? Mientras sigo buscando! Saludos a todos! -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/519cdd8c.5050...@gmail.com
Re: OpenVPN Roadwarrior - Proteger certificados que se instalan en equipos clientes Win2
El día 22 de mayo de 2013 12:00, ciracusa cirac...@gmail.com escribió: On 22/05/13 11:21, Camaleón wrote: El Wed, 22 May 2013 09:13:24 -0300, ciracusa escribió: Les consulto, tengo montado un server Openvpn en Debian 6. Ahora bien, la pregunta es esta, cuando genero los certificados y los monto dentro de la carpeta Config (en los equipos Win2 con el cliente de OpenVPN) como puedo evitar que alguien se copie esos certificados, los lleve a otra PC y tenga el mismo acceso que en la PC que yo los dispuse? Podrías añadir un requerimiento adicional de seguridad como por ejemplo, solicitar usuario/contraseña. Saludos, Camaleon, si si, no lo descarto. Pero me gustaría mucho implementar algo que sea personal tipo USB/Pendrive y/o alguna autenticación como decía Mstaaravin. Ahora, estaba pensando, sería posible autenticar los hosts desde donde se realiza la petición de autenticación para el OpenVPN? Digo, habilitar a nivel de IPTABLES en el Server OpenVPN desde que IPs se me conectan. El tema es que como los clientes tienen ADSLs tendría que buscar la manera de saber que IPs tienen en cada momento? Si alguien se le ocurre alguna idea? Mientras sigo buscando! Saludos a todos! Si queres filtrar por ip en un adsl dinámico, y no podes usar algun servicio de nombres (dns) para ip dinamico, no le veo como vas a saber cual es la ip valida... De mi parte filtrar por IP a mi no me gusta (no es seguro), tanta seguridad vpn y te hakean el certificado y una ip valida y te entrar a tu red... Lo mas simple es password.., un pendrive, lo pueden perder o prestar de la misma forma que un password :) Saludos -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/cadqxbrq1q1zmjf6tkfywxxbcese3e_hsoheyq61txntcu06...@mail.gmail.com
Re: OpenVPN Roadwarrior - Proteger certificados que se instalan en equipos clientes Win2
El Wed, 22 May 2013 12:00:28 -0300, ciracusa escribió: On 22/05/13 11:21, Camaleón wrote: (...) Podrías añadir un requerimiento adicional de seguridad como por ejemplo, solicitar usuario/contraseña. Camaleon, si si, no lo descarto. Pero me gustaría mucho implementar algo que sea personal tipo USB/Pendrive y/o alguna autenticación como decía Mstaaravin. Hum... tengo filtrados a varios usuarios de esta lista así que no leo/veo sus mensajes por lo que no sé a qué te refieres exactamente con algo personal tipo USB ¿quieres decir una solución de tipo OTP (generador de contraseñas al vuelo? ¿o a un hardware de seguridad? Porque una llave USB también se la pueden llevar. Ahora, estaba pensando, sería posible autenticar los hosts desde donde se realiza la petición de autenticación para el OpenVPN? Digo, habilitar a nivel de IPTABLES en el Server OpenVPN desde que IPs se me conectan. Ese sistema de vincular una IP con un usuario no suele dar buen resultado para los road-warrior ya que la mayoría de las conexiones que usan son de IP dinámica o salen a través de un NAT/proxy. El tema es que como los clientes tienen ADSLs tendría que buscar la manera de saber que IPs tienen en cada momento? (...) Y cambiarla continuamente... no, no me parece una buena idea ni tampoco práctica. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/kniq78$83g$8...@ger.gmane.org
Re: OpenVPN Roadwarrior - Proteger certificados que se instalan en equipos clientes Win2
On 22/05/13 12:32, Flako wrote: El día 22 de mayo de 2013 12:00, ciracusacirac...@gmail.com escribió: On 22/05/13 11:21, Camaleón wrote: El Wed, 22 May 2013 09:13:24 -0300, ciracusa escribió: Les consulto, tengo montado un server Openvpn en Debian 6. Ahora bien, la pregunta es esta, cuando genero los certificados y los monto dentro de la carpeta Config (en los equipos Win2 con el cliente de OpenVPN) como puedo evitar que alguien se copie esos certificados, los lleve a otra PC y tenga el mismo acceso que en la PC que yo los dispuse? Podrías añadir un requerimiento adicional de seguridad como por ejemplo, solicitar usuario/contraseña. Saludos, Camaleon, si si, no lo descarto. Pero me gustaría mucho implementar algo que sea personal tipo USB/Pendrive y/o alguna autenticación como decía Mstaaravin. Ahora, estaba pensando, sería posible autenticar los hosts desde donde se realiza la petición de autenticación para el OpenVPN? Digo, habilitar a nivel de IPTABLES en el Server OpenVPN desde que IPs se me conectan. El tema es que como los clientes tienen ADSLs tendría que buscar la manera de saber que IPs tienen en cada momento? Si alguien se le ocurre alguna idea? Mientras sigo buscando! Saludos a todos! Si queres filtrar por ip en un adsl dinámico, y no podes usar algun servicio de nombres (dns) para ip dinamico, no le veo como vas a saber cual es la ip valida... Claro, la idea era esa, osea tener identificado la IP desde donde se origina la conexión VPN mediante un servicio de DNS dinámico. De mi parte filtrar por IP a mi no me gusta (no es seguro), tanta seguridad vpn y te hakean el certificado y una ip valida y te entrar a tu red... Haber, la idea de agregar el filtro por la IP es justamente para además de los certificados, obligar a que solo se conecten desde el lugar que yo disponga. Lo mas simple es password.., un pendrive, lo pueden perder o prestar de la misma forma que un password :) Si, lo del Pendrive lo desestimé, no así el tema de la clave, lo cual obliga al responsable a no perderla ni pasarla. Saludos Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/519d43b0.1080...@gmail.com
Re: OpenVPN Roadwarrior - Proteger certificados que se instalan en equipos clientes Win2
On 22/05/13 13:02, Camaleón wrote: El Wed, 22 May 2013 12:00:28 -0300, ciracusa escribió: On 22/05/13 11:21, Camaleón wrote: (...) Podrías añadir un requerimiento adicional de seguridad como por ejemplo, solicitar usuario/contraseña. Camaleon, si si, no lo descarto. Pero me gustaría mucho implementar algo que sea personal tipo USB/Pendrive y/o alguna autenticación como decía Mstaaravin. Hum... tengo filtrados a varios usuarios de esta lista así que no leo/veo sus mensajes por lo que no sé a qué te refieres exactamente con algo personal tipo USB ¿quieres decir una solución de tipo OTP (generador de contraseñas al vuelo? ¿o a un hardware de seguridad? Porque una llave USB también se la pueden llevar. Si tienes razón, luego de analizarlo estoy viendo este panorama: - Certificados VPN con clave al conectar. - Filtrar con Iptables en el Server OPENVPN desde donde se conectan (de esto aún no pude buscar información por la querida internet). Ahora, estaba pensando, sería posible autenticar los hosts desde donde se realiza la petición de autenticación para el OpenVPN? Digo, habilitar a nivel de IPTABLES en el Server OpenVPN desde que IPs se me conectan. Ese sistema de vincular una IP con un usuario no suele dar buen resultado para los road-warrior ya que la mayoría de las conexiones que usan son de IP dinámica o salen a través de un NAT/proxy. Te comento, en mi caso solo tendré 2 clientes y si bien son RoadWarrior, deberían trabajar de lugares remotos pero fijos, vamos, no son viajantes que recorren el País. Sobre lo del NAT/Proxy es un tema que me preocupa. El tema es que como los clientes tienen ADSLs tendría que buscar la manera de saber que IPs tienen en cada momento? (...) Y cambiarla continuamente... no, no me parece una buena idea ni tampoco práctica. Saludos, Ok, que me sugieres tú para asegurarme que algún pillo no les robe los certificados VPN y tenga pleno acceso contra mis servidores? Muchas Gracias. Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/519d4477.8020...@gmail.com
Re: OpenVPN Roadwarrior - Proteger certificados que se instalan en equipos clientes Win2
El día 22 de mayo de 2013 19:16, ciracusa cirac...@gmail.com escribió: On 22/05/13 12:32, Flako wrote: De mi parte filtrar por IP a mi no me gusta (no es seguro), tanta seguridad vpn y te hakean el certificado y una ip valida y te entrar a tu red... Haber, la idea de agregar el filtro por la IP es justamente para además de los certificados, obligar a que solo se conecten desde el lugar que yo disponga. No se si estamos hablando de lo mismo.. yo me refiero a que cualquier filtro de ip que se realice pensando en aumentar la seguridad (pensando en autenticar a un host remoto) no sirve de nada.. No te da mas seguridad.. es muy fácil (pa el que sabe), hacerse pasar por una ip valida.. y tu idea de conecten desde el lugar que yo disponga se va al diablo. Puedes hacer un filtro por ip, pero solo va ser un decorado.. , no lo pienses como algo que va a impedir que se conecte otro... Si estas penando en que alguien se puede robar tu certificado, deberías tener en cuenta que también te roben alguna de esas ip validas... en estos tiempos ni se lo piensa como algo importante.. solo agrega un obstáculo mas.. es muy fácil -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/CADqxbRT8day9GrmXp3rD=jvfth9stco7h_yewgv62hmzt9o...@mail.gmail.com
Re: OpenVPN necesita 2 interfaces o solo una?
El Mon, 14 Jan 2013 10:16:25 -0200, adriancito escribió: Deseo instalar un server OpenVPN (quizás lo instale dentro de ProxMox o nativo en Debian). El mismo va a estar ubicado después de los firewalls, por lo que entiendo que deberé abrir el port 1194. Ahora bien, el mismo, al estar detrás de los firewall debe tener 2 interfaces de red o solo una. Dependerá de tus necesidades (seguridad, enrutado interno...) pero con una es suficiente, más aún si tienes un cortafuegos delante. Osea, si lo dejo con solo una interface y que el default gateway sea nuestro firewall sería correcto y suficiente? Entiendo que sí. Más info (oficial): Can an OpenVPN server be set up on a machine with a single NIC? http://openvpn.net/index.php/open-source/faq/77-server/257-can-an- openvpn-server-be-set-up-on-a-machine-with-a-single-nic.html Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/kd1apg$5pd$3...@ger.gmane.org
Re: OpenVPN, OpenVZ y firewall
2010/11/17 Marc Olive marc.ol...@grupblau.com: Hola gente, veo que está animada la lista, bien, bien. A ver si me podeis echar un cable: tengo un par de máquinas, una de ellas con dos NICs haciendo de firewall, SNAT y redirigiendo puertos hacia servicios internos. La otra máquina tiene varios contenedores VZ, entre ellos uno con OpenVPN para poder acceder a la red remotamente sin problemas (dice la teoria). Sin firewall no se puede acceder a la VPN, pero creo que el mismo firewall bloquea el acceso a los contenedores con VETH. Conectado por VPN puedo acceder a los equipos de la red sin mas, y tambien puedo acceder a los contendores que usan VENET, pero no a los que tienen una VETH. Las reglas iptables estan a http://pastebin.ca/1994330 Hay una regla comentada que dice: $IPTABLES -A FORWARD -i eth1 -o eth1 -j ACCEPT Sin esta regla no puedo hacer pings a los contenedores VENETH, con ella puedo hacer pings, pero entonces las respuestas parecen venir de la IP del firewall y no del contenedor y da problemas: ~$ host vpn ;; reply from unexpected source: 10.81.53.2#53, expected 10.81.53.5#53 ;; reply from unexpected source: 10.81.53.2#53, expected 10.81.53.5#53 10.81.53.2 es el firewall y 10.81.53.5 el DNS. Alguna idea de por que no puedo acceder a los contenedores VENETH via VPN? He mirado los arp_filter y forwarding y la ruta hacia la VPN está puesta (o no podria acceder a los VENET). Gracias! Buenas Marc, No se si estas dos cosas te van a servir, te lo comento porque es lo que siempre me ha funcionado para solucionar problemas con venet y su extraño comportamiento. 1)Para que un container con venet y varias ips responda con la que toca (al menos des del punto de vista de su HN) prueba con ejecutar esto dentro del container: ip r add 10.0.0.0/24 dev venet0 src 10.0.0.21 ip r add 77.xxx.xxx.0/24 dev venet0 src 77.xxx.xxx.81 2)Y para controlar que ip van a tener esos paquetes fura del HN creo que puedes configurarlo con VE_ROUTE_SRC_DEV en /etc/vz/vz.conf -- Marc -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/aanlktinkzsab45uisdccg3hcrwr3ckf=rugvuga-b...@mail.gmail.com
Re: OpenVPN, OpenVZ y firewall
On Wednesday 17 November 2010 11:26:58 Marc Aymerich wrote: 2010/11/17 Marc Olive marc.ol...@grupblau.com: Alguna idea de por que no puedo acceder a los contenedores VENETH via VPN? He mirado los arp_filter y forwarding y la ruta hacia la VPN está puesta (o no podria acceder a los VENET). Gracias! Buenas Marc, No se si estas dos cosas te van a servir, te lo comento porque es lo que siempre me ha funcionado para solucionar problemas con venet y su extraño comportamiento. Perdona, donde dije VENETH queria decir VETH. Me apunto como poner las rutas para que use la IP que corresponda, gracias. -- Marc Olivé Grup Blau www.grupblau.com -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/201011171420.51296.marc.ol...@grupblau.com
Re: openvpn host to host (SOLUCIONADO)
Tenia caracteres no visibles en el archivo.. por eso el error :S gracias :) On Fri, Sep 3, 2010 at 6:59 PM, Rino Rondan villadalm...@gmail.com wrote: Buenas: Quiero hacer una configuracion host to host con openvpn, bien basica.. Son dos maquinas virtuales, con dos placas en nat. cat server.conf dev tun proto udp ifconfig 10.8.0.1 10.8.0.2 secret secret.key port 1194 user nobody group nobody complzo ping 15 verb 4 stationx:/etc/openvpn# cat client.conf remote 172.16.31.128 port 1194 dev tun tunmtu 1500 ifconfig 10.8.0.2 10.8.0.1 secret /etc/openvpn/secret.key complzo ping 10 verb 4 mute 10 stationx:/etc/openvpn# Pero al querer inicializar la configuracion me tira el siguiente error. serverx:/etc/openvpn# openvpn --config /etc/openvpn/server.conf Options error: Unrecognized option or missing parameter(s) in /etc/openvpn/server.conf:3: ifconfig 10.8.0.1 (2.1_rc11) Use --help for more information. serverx:/etc/openvpn# clientex:/etc/openvpn# /etc/init.d/openvpn start Starting virtual private network daemon: server tun0 failed! clientex:/etc/openvpn# No entiendo que tiene mal la linea del ifconfig, he leido por muchas paginas y todas tienen esa linea asi. Saludos -- Viva La Santa Federacion!! Mueran Los Salvages Unitarios!! ^^^Transcripcion de la epoca ^^^ http://www.rinorondan.com.ar http://counter.li.org Linux User - #517918
Re: OpenVPN Roadwarrior y hosts internos
Carlos Martinez wrote: Cristian Mitchell escribió: 2008/4/27, ciracusa [EMAIL PROTECTED]: Buenas lista. Recién termino de instalar un server OpenVPN en Debian con PKI para permitir que clientes remotos se conecten a la red de mi empresa. Esquema: Red Interna: 192.168.0.0/24 Red VPN: 10.1.1.0/24 Red remota: 192.168.1.0/24 La pregunta es la siguiente: Luego de que el cliente se conecta el server openvpn le entrega la ip 10.1.1.6 y con ello se estable la conexion. Desde el cliente (192.168.1.50) puedo pingear a: ping 10.1.1.6 (extremo vpn local) ping 10.1.1.2 (extremo vpn remoto, osea el del server vpn) ping 192.168.0.1 (ip local del server vpn) Lo que no puedo es pingear a los hosts internos de la red (192.168.0.0/24), Viendo con tcpdump lo que pasaba vi que los pings se generaban desde 10.1.1.6 hacia 192.168.0.53 (por ejemplo) y claro, este host no sabe como devolver los paquetes a la red 10.1.1.0/24. Para solucionarlo agrege una ruta a la red 10.1.1.0/24 pero esto es correcto? Que opinan? Muchas Gracias. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] te faltan las reglas de ruteo no teolvides que es otra red Hola. Creo que a lo que se refiere es a que le funciona, pero que no sabe si la solución que ha tomado es buena o no (poner una ruta estática en los hosts internos). Si esa es la pregunta, no tiene nada que ver con iptables ni con reglas de enrutado del servidor VPN ni del cliente VPN. Efectivamente es problema de la vuelta de esas conexiones, ya que los hosts no saben devolver los paquetes al origen (los cliente VPN). La solución tomada es buena, aunque hay otras: - Que el router enmarcare la dirección del cliente y ponga la suya en su lugar: tiene sus ventajas y sus inconvenientes. - Utilizar un proxy arp: creo que OpenVPN lo soporta, pero no lo recuerdo. - ¿Más soluciones? Saludos. Carlos. Carlos que buena respuesta! Así es como aprendemos todos. Muchas Gracias. Saludos. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: OpenVPN Roadwarrior y hosts internos
On 27 abr, 21:00, ciracusa [EMAIL PROTECTED] wrote: Buenas lista. Recién termino de instalar un server OpenVPN en Debian con PKI para permitir que clientes remotos se conecten a la red de mi empresa. Esquema: Red Interna: 192.168.0.0/24 Red VPN: 10.1.1.0/24 Red remota: 192.168.1.0/24 La pregunta es la siguiente: Luego de que el cliente se conecta el server openvpn le entrega la ip 10.1.1.6 y con ello se estable la conexion. Desde el cliente (192.168.1.50) puedo pingear a: ping 10.1.1.6 (extremo vpn local) ping 10.1.1.2 (extremo vpn remoto, osea el del server vpn) ping 192.168.0.1 (ip local del server vpn) Lo que no puedo es pingear a los hosts internos de la red (192.168.0.0/24), Viendo con tcpdump lo que pasaba vi que los pings se generaban desde 10.1.1.6 hacia 192.168.0.53 (por ejemplo) y claro, este host no sabe como devolver los paquetes a la red 10.1.1.0/24. Para solucionarlo agrege una ruta a la red 10.1.1.0/24 pero esto es correcto? Utiliza la opción push del openVPN, para que le pases la ruta a los clientes Que opinan? Muchas Gracias. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: OpenVPN Roadwarrior y hosts internos
Cristian Mitchell escribió: 2008/4/27, ciracusa [EMAIL PROTECTED]: Buenas lista. Recién termino de instalar un server OpenVPN en Debian con PKI para permitir que clientes remotos se conecten a la red de mi empresa. Esquema: Red Interna: 192.168.0.0/24 Red VPN: 10.1.1.0/24 Red remota: 192.168.1.0/24 La pregunta es la siguiente: Luego de que el cliente se conecta el server openvpn le entrega la ip 10.1.1.6 y con ello se estable la conexion. Desde el cliente (192.168.1.50) puedo pingear a: ping 10.1.1.6 (extremo vpn local) ping 10.1.1.2 (extremo vpn remoto, osea el del server vpn) ping 192.168.0.1 (ip local del server vpn) Lo que no puedo es pingear a los hosts internos de la red (192.168.0.0/24), Viendo con tcpdump lo que pasaba vi que los pings se generaban desde 10.1.1.6 hacia 192.168.0.53 (por ejemplo) y claro, este host no sabe como devolver los paquetes a la red 10.1.1.0/24. Para solucionarlo agrege una ruta a la red 10.1.1.0/24 pero esto es correcto? Que opinan? Muchas Gracias. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] te faltan las reglas de ruteo no teolvides que es otra red Hola. Creo que a lo que se refiere es a que le funciona, pero que no sabe si la solución que ha tomado es buena o no (poner una ruta estática en los hosts internos). Si esa es la pregunta, no tiene nada que ver con iptables ni con reglas de enrutado del servidor VPN ni del cliente VPN. Efectivamente es problema de la vuelta de esas conexiones, ya que los hosts no saben devolver los paquetes al origen (los cliente VPN). La solución tomada es buena, aunque hay otras: - Que el router enmarcare la dirección del cliente y ponga la suya en su lugar: tiene sus ventajas y sus inconvenientes. - Utilizar un proxy arp: creo que OpenVPN lo soporta, pero no lo recuerdo. - ¿Más soluciones? Saludos. Carlos. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: OpenVPN Roadwarrior y hosts internos
Es la ruta de vuelta, yo he caido en la misma tonteria. Como a los equipos de la red LAN les asigno por dhcp dos gateways,,, pero ten cuidado porque los clientes windows creo que no soportan que se le especifique mas de un gateway a traves del dhcp. Otra solucion que ya te han comentado es establecer las rutas en el gateway que tienes y enviarle dicho trafico al servidor vpn. Otra solucion es hacer nat en el servidor vpn. Pero al final es lo mismo ese trafico tiene que saber volver a su origen. El dom, 27-04-2008 a las 21:55 -0300, ciracusa escribió: Buenas lista. Recién termino de instalar un server OpenVPN en Debian con PKI para permitir que clientes remotos se conecten a la red de mi empresa. Esquema: Red Interna: 192.168.0.0/24 Red VPN: 10.1.1.0/24 Red remota: 192.168.1.0/24 La pregunta es la siguiente: Luego de que el cliente se conecta el server openvpn le entrega la ip 10.1.1.6 y con ello se estable la conexion. Desde el cliente (192.168.1.50) puedo pingear a: ping 10.1.1.6 (extremo vpn local) ping 10.1.1.2 (extremo vpn remoto, osea el del server vpn) ping 192.168.0.1 (ip local del server vpn) Lo que no puedo es pingear a los hosts internos de la red (192.168.0.0/24), Viendo con tcpdump lo que pasaba vi que los pings se generaban desde 10.1.1.6 hacia 192.168.0.53 (por ejemplo) y claro, este host no sabe como devolver los paquetes a la red 10.1.1.0/24. Para solucionarlo agrege una ruta a la red 10.1.1.0/24 pero esto es correcto? Que opinan? Muchas Gracias. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: OpenVPN Roadwarrior y hosts internos
Hola, fijate en las reglas de iptables, ya que seguramente por ahi viene el problema. Saludos On abr 27, 2008, at 21:55, ciracusa [EMAIL PROTECTED] wrote: Buenas lista. Recién termino de instalar un server OpenVPN en Debian con PKI para permitir que clientes remotos se conecten a la red de mi empresa. Esquema: Red Interna: 192.168.0.0/24 Red VPN: 10.1.1.0/24 Red remota: 192.168.1.0/24 La pregunta es la siguiente: Luego de que el cliente se conecta el server openvpn le entrega la ip 10.1.1.6 y con ello se estable la conexion. Desde el cliente (192.168.1.50) puedo pingear a: ping 10.1.1.6 (extremo vpn local) ping 10.1.1.2 (extremo vpn remoto, osea el del server vpn) ping 192.168.0.1 (ip local del server vpn) Lo que no puedo es pingear a los hosts internos de la red (192.168.0.0/24 ), Viendo con tcpdump lo que pasaba vi que los pings se generaban desde 10.1.1.6 hacia 192.168.0.53 (por ejemplo) y claro, este host no sabe como devolver los paquetes a la red 10.1.1.0/24. Para solucionarlo agrege una ruta a la red 10.1.1.0/24 pero esto es correcto? Que opinan? Muchas Gracias. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: OpenVPN Roadwarrior y hosts internos
2008/4/27, ciracusa [EMAIL PROTECTED]: Buenas lista. Recién termino de instalar un server OpenVPN en Debian con PKI para permitir que clientes remotos se conecten a la red de mi empresa. Esquema: Red Interna: 192.168.0.0/24 Red VPN: 10.1.1.0/24 Red remota: 192.168.1.0/24 La pregunta es la siguiente: Luego de que el cliente se conecta el server openvpn le entrega la ip 10.1.1.6 y con ello se estable la conexion. Desde el cliente (192.168.1.50) puedo pingear a: ping 10.1.1.6 (extremo vpn local) ping 10.1.1.2 (extremo vpn remoto, osea el del server vpn) ping 192.168.0.1 (ip local del server vpn) Lo que no puedo es pingear a los hosts internos de la red (192.168.0.0/24), Viendo con tcpdump lo que pasaba vi que los pings se generaban desde 10.1.1.6 hacia 192.168.0.53 (por ejemplo) y claro, este host no sabe como devolver los paquetes a la red 10.1.1.0/24. Para solucionarlo agrege una ruta a la red 10.1.1.0/24 pero esto es correcto? Que opinan? Muchas Gracias. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] te faltan las reglas de ruteo no teolvides que es otra red -- MrIX Linux user number 412793. http://counter.li.org/ las grandes obras, las sueñan los santos locos, las realizan los luchadores natos, las aprovechan los felices cuerdo, y las critican los inútiles crónicos, yo no fui, seguro que es mas inteligente. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: openvpn control acceso
El Tuesday, 18 March del 2008 a las 12:31:24PM, XTeo escribió: Hola todos . Estaba probando la instalacion del Openvpn modalidad Road warrior y me salto la duda de si era posible la restriccion de acceso a traves de la VPN. La necesidad especifica es permitir a un cliente determinado del servidor VPN acceder unicamente a un equipo y a otros clientes acceder a toda la red. Inicialmente pense hacer con el firewall pero deberia saber la direccion IP de la interfaz virtual, pero recorde que el servidor VPN asigna dinamicamente estas direcciones. Alguien me podria recomendar alguna forma de implementar este tipo de restriccion. Puedes configurar el servidor para que a un determinado cliente (certificado) se le asigne IP fija, mirate los comentarios de la configuración del openvpn, ahí esta explicado. saludos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: OpenVPN server mode
El 18/07/07, Juan Jose Tomas Canovas [EMAIL PROTECTED] escribió: Hola lista, tengo una duda acerca del funcionamiento de la directiva --server network netmask. Y es que en el man de openvpn (http://openvpn.net/man.html) me he encontrado un ejemplo que no he probado aún: --server network netmask A helper directive designed to simplify the configuration of OpenVPN's server mode. This directive will set up an OpenVPN server which will allocate addresses to clients out of the given network/netmask. The server itself will take the .1 address of the given network for use as the server-side endpoint of the local TUN/TAP interface. For example, --server 10.8.0.0 255.255.255.0 expands as follows: mode server tls-server if dev tun: ifconfig 10.8.0.1 10.8.0.2 ifconfig-pool 10.8.0.4 10.8.0.251 route 10.8.0.0 255.255.255.0 if client-to-client: push route 10.8.0.0 255.255.255.0 else push route 10.8.0.1 if dev tap: ifconfig 10.8.0.1 255.255.255.0 ifconfig-pool 10.8.0.2 10.8.0.254 255.255.255.0 push route-gateway 10.8.0.1 En mi caso uso un tunel. En este ejemplo se establece un tunel con la direccion 10.8.0.1 en el extremo del servidor y la direccion 10.8.0.2 en el otro extremo (el lado de el/los clientes). Pero también se mantiene un pool de direcciones IP para los clientes, desde 10.8.0.4 hasta la 10.8.0.251 Si no me equivoco en lo dicho anteriormente, cual es la direccion origen de un paquete IP enviado desde un cliente por ejemplo el 10.8.0.4 ??? la direccion 10.8.0.4 o la direccion 10.8.0.2 ? Mas alla que estas armandote una galleta el ip es 4 creo que tu conficuion viene por la ip del tunel deve ser diferente a la de la red. estas poniendo ip sobre otra ip. es mas facil pensarlo en internet. tenes una ip publica que sobre ella montas la vpn que van ip privadas. en el caso que lo estes haciendo por una wifi. es lo mismo la unica diferencia es que las dos son ips privadas Nose como funciona exactamente este comando. Gracias a todos -- MrIX Linux user number 412793. http://counter.li.org/ las grandes obras, las sueñan los santos locos, las realizan los luchadores natos, las aprovechan los felices cuerdo, y las critican los inútiles crónicos, yo no fui, seguro que es mas inteligente.
Re: Openvpn, conecta pero no accede a la lan
El lun, 02-04-2007 a las 01:54 -0500, Juan Carlos Bravo Celis escribió: Hola a todos, configure un servidor vpn siguiendo las instrucciones de http://www.ecualug.org/?q=2007/02/06/comos/centos/c_mo_instalar_y_configurar_openvpn/2_configuraci_n_de_roadwarrior ,, cuando levanto el servicio en el cliente con xp conecta satisfactoriamente, y realizo las siguiente pruebas, ping 10.8.0.1 (ip tunel),, respuesta satisfactoria, ping 192.168.4.2 (ip lan firewall2) sin respuesta :( no responde ningun equipo de la red LAN a la cual quiero acceder, alguna idea..? dos cosillas: ¿has leido el capítulo 3 de ese howto? y... no se cual es tu eth0, pero me da que esto te bloquea algo: iptables -A FORWARD -i eth0 -s 192.168.0.0/16 -j DROP Suerte mi red tiene la siguiente configuracion l-dmz(10.10.10.0/24)--l l l internet ---firewall1-firewall2--Red LAN(192.168.4.0/22) l l l_Openvpn(192.168.4.6/22)_l en /etc/openvpn/server.conf tengo lo siguiente: port 1194 proto udp dev tun ca /etc/openvpn/keys/ca.crt cert /etc/openvpn/keys/server.crt dh /etc/openvpn/keys/dh1024.pem server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt push route 192.168.4.0 255.255.252.0 keepalive 10 120 comp-lzo user nobody group nobody persist-key persist-tun status openvpn-status.log log openvpn.log verb 4 tengo definidas las siguientes reglas con iptables PRIVATE=192.168.4.0/22 LOOP=127.0.0.1 iptables -P OUTPUT DROP iptables -P INPUT DROP iptables -P FORWARD DROP iptables -F iptables -P OUTPUT ACCEPT iptables -P INPUT DROP iptables -P FORWARD DROP iptables -A INPUT -i eth0 -s $LOOP -j DROP iptables -A FORWARD -i eth0 -s $LOOP -j DROP iptables -A INPUT -i eth0 -d $LOOP -j DROP iptables -A FORWARD -i eth0 -d $LOOP -j DROP iptables -A FORWARD -i eth0 -s 192.168.0.0/16 -j DROP iptables -A FORWARD -i eth0 -s 172.16.0.0/12 -j DROP iptables -A FORWARD -i eth0 -s 10.0.0.0/8 -j DROP iptables -A INPUT -i eth0 -s 192.168.0.0/16 -j DROP iptables -A INPUT -i eth0 -s 172.16.0.0/12 -j DROP iptables -A INPUT -i eth0 -s 10.0.0.0/8 -j DROP iptables -A FORWARD -p tcp --sport 137:139 -o eth0 -j DROP iptables -A FORWARD -p udp --sport 137:139 -o eth0 -j DROP iptables -A OUTPUT -p tcp --sport 137:139 -o eth0 -j DROP iptables -A OUTPUT -p udp --sport 137:139 -o eth0 -j DROP iptables -A FORWARD -s ! $PRIVATE -i eth1 -j DROP iptables -A INPUT -s $LOOP -j ACCEPT iptables -A INPUT -d $LOOP -j ACCEPT iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT iptables -A INPUT -p tcp --dport ssh -j ACCEPT iptables -A INPUT -p udp --dport 1194 -j ACCEPT iptables -A INPUT -i tun+ -j ACCEPT iptables -A FORWARD -i tun+ -j ACCEPT iptables -A INPUT -i tap+ -j ACCEPT iptables -A FORWARD -i tap+ -j ACCEPT iptables -A INPUT -i eth1 -j ACCEPT iptables -A FORWARD -i eth1 -j ACCEPT iptables -A OUTPUT -m state --state NEW -o eth0 -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -m state --state NEW -o eth0 -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -t nat -A POSTROUTING -s $PRIVATE -o eth0 -j MASQUERADE en la pc cliente con xp,,, tengo lo siguiente en un archivo .ovpn client dev tun proto udp remote ip.mi.servidor.vpn. 1194 resolv-retry infinite nobind persist-key persist-tun ca ca.crt cert jbravo.crt key jbravo.key comp-lzo verb 4 estas son las rutas en el cliente, despues de la conexion Rutas activas: Destino de redM scara de red Puerta de acceso Interfaz M‚trica 0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.6 20 10.8.0.1 255.255.255.255 10.8.0.510.8.0.6 1 10.8.0.4 255.255.255.252 10.8.0.610.8.0.6 30 10.8.0.6 255.255.255.255127.0.0.1 127.0.0.1 30 10.255.255.255 255.255.255.255 10.8.0.610.8.0.6 30 127.0.0.0255.0.0.0127.0.0.1 127.0.0.1 1 192.168.1.0255.255.255.0 192.168.1.6 192.168.1.6 20 192.168.1.6 255.255.255.255127.0.0.1 127.0.0.1 20 192.168.1.255 255.255.255.255 192.168.1.6 192.168.1.6 20 192.168.4.0255.255.252.0 10.8.0.510.8.0.6 1 224.0.0.0240.0.0.0 10.8.0.610.8.0.6 30 224.0.0.0240.0.0.0 192.168.1.6 192.168.1.6 20 255.255.255.255 255.255.255.255 10.8.0.610.8.0.6 1 255.255.255.255 255.255.255.255 192.168.1.6 192.168.1.6 1 Puerta de enlace predeterminada: 192.168.1.1 --- muy agradecido por sus comentarios y sugerencias. Saludos JCarlos
Re: Openvpn, conecta pero no accede a la lan
On 02/04/07, Iñigo Tejedor Arrondo [EMAIL PROTECTED] wrote: El lun, 02-04-2007 a las 01:54 -0500, Juan Carlos Bravo Celis escribió: Hola a todos, configure un servidor vpn siguiendo las instrucciones de http://www.ecualug.org/?q=2007/02/06/comos/centos/c_mo_instalar_y_configurar_openvpn/2_configuraci_n_de_roadwarrior ,, cuando levanto el servicio en el cliente con xp conecta satisfactoriamente, y realizo las siguiente pruebas, ping 10.8.0.1 (ip tunel),, respuesta satisfactoria, ping 192.168.4.2 (ip lan firewall2) sin respuesta :( no responde ningun equipo de la red LAN a la cual quiero acceder, alguna idea..? dos cosillas: ¿has leido el capítulo 3 de ese howto? si lo lei, pero segun entiendo, este ultimo capitulose refiere a la conexion entre dos redes, y lo que yo quiero es conectar una unica PC, que no esta detras de un Linux como servidor vpn y... no se cual es tu eth0, pero me da que esto te bloquea algo: iptables -A FORWARD -i eth0 -s 192.168.0.0/16 -j DROP eth0 esta conectado a internet, y eth1 esta conectado a la LAN mi red tiene la siguiente configuracion l-dmz(10.10.10.0/24)--l l l internet ---firewall1firewall2--LAN(192.168.4.0/22) l l l_Openvpn(192.168.4.6/22)_l [...] Saludos JCarlos
Re: Openvpn, conecta pero no accede a la lan
On 02/04/07, Juan Carlos Bravo Celis [EMAIL PROTECTED] wrote: On 02/04/07, Iñigo Tejedor Arrondo [EMAIL PROTECTED] wrote: El lun, 02-04-2007 a las 01:54 -0500, Juan Carlos Bravo Celis escribió: Hola a todos, configure un servidor vpn siguiendo las instrucciones de http://www.ecualug.org/?q=2007/02/06/comos/centos/c_mo_instalar_y_configurar_openvpn/2_configuraci_n_de_roadwarrior ,, cuando levanto el servicio en el cliente con xp conecta satisfactoriamente, y realizo las siguiente pruebas, ping 10.8.0.1 (ip tunel),, respuesta satisfactoria, ping 192.168.4.2 (ip lan firewall2) sin respuesta :( no responde ningun equipo de la red LAN a la cual quiero acceder, alguna idea..? dos cosillas: ¿has leido el capítulo 3 de ese howto? si lo lei, pero segun entiendo, este ultimo capitulose refiere a la conexion entre dos redes, y lo que yo quiero es conectar una unica PC, que no esta detras de un Linux como servidor vpn y... no se cual es tu eth0, pero me da que esto te bloquea algo: iptables -A FORWARD -i eth0 -s 192.168.0.0/16 -j DROP eth0 esta conectado a internet, y eth1 esta conectado a la LAN mi red tiene la siguiente configuracion l-dmz(10.10.10.0/24)--lgateway (192.168.4.1) l l l internet ---firewall1firewall2--LAN(192.168.4.0/22) l l l_Openvpn(192.168.4.6/22)_l Estuve realizando mas pruebas, y cuando le hago ping desde un cliente vpn al ip 192.168.4.6 que es la ip de la interface conectada a mi Red LAN, esta si me responde satisfactoriamente a un ping. pero cualquier otro equipo de mi red no responde. como dato adicional, todos los equipos de mi red tienen como gateway al 192.168.4.1 , lo que me hace suponer, que es un tema de ruta de retorno,, pero no se como ponerla, ni donde, pues en el firewall2 puse la ruta 10.8.0.0192.168.4.6 255.255.255.0 UG0 00 eth2 y desde este equipo si puedo hacerle ping al 10.8.0.1,, pero no a un equipo 10.8.0.10 que es un cliente vpn alguna idea al respecto..? sabe alguien como se enruta este trafico..? Saludos JCarlos
Re: OPENVPN O IPSEC/OPENSWAN?
La seguridad es la misma para ambos casos. Todo depende de para que lo quieras implementar. OpenVpn es mas simple de instalar e IpSec si ¡bien es más complicado(depende de que es lo que se quiera hacer) es mas estandarizado, funciona con Ci$co y M$. Saludos. Roldyx. PD: pronto voy a publicar un articulo de Criptografía y OpensWan, si quieres implementar algo sobre openswan este es mi e-mail. El Domingo 23 Julio 2006 08:06, andres linux escribió: Hola se sabe que openvpn trabaja sobre la capa da transporte yasea udp o tcp, y IPSEC trabaja en el ip directamente. donde es mejor la seguridad en el ip o en la capa de transporte? -- Rodrigo Daniel Roldán. CCNA Mi humildad es inversamente proporcional a tu vagancia Google Dixit.
Re: OPENVPN O IPSEC/OPENSWAN?
El 23/07/06, Roldyx[EMAIL PROTECTED] escribió: La seguridad es la misma para ambos casos. Todo depende de para que lo quieras implementar. OpenVpn es mas simple de instalar e IpSec si ¡bien es más complicado(depende de que es lo que se quiera hacer) es mas estandarizado, funciona con Ci$co y M$. Saludos. Roldyx. PD: pronto voy a publicar un articulo de Criptografía y OpensWan, si quieres implementar algo sobre openswan este es mi e-mail. El Domingo 23 Julio 2006 08:06, andres linux escribió: Hola se sabe que openvpn trabaja sobre la capa da transporte yasea udp o tcp, y IPSEC trabaja en el ip directamente. donde es mejor la seguridad en el ip o en la capa de transporte? -- Rodrigo Daniel Roldán. CCNA Mi humildad es inversamente proporcional a tu vagancia Google Dixit. si la seguridad es la misma, cual es la diferencia que uno trabaje sobre una capa y otra. que es mas seguro : aplicar seguridad al ip o a la capa de transporte? si el objetivo es asegurar el trafico de acceso a una bd por ejemplo? -- Andres Chavez. www.edasisweb.com Temuco - Chile
Re: OPENVPN O IPSEC/OPENSWAN?
El Domingo, 23 de Julio de 2006 23:05, Andres Chavez escribió: El 23/07/06, Roldyx[EMAIL PROTECTED] escribió: La seguridad es la misma para ambos casos. Todo depende de para que lo quieras implementar. OpenVpn es mas simple de instalar e IpSec si ¡bien es más complicado(depende de que es lo que se quiera hacer) es mas estandarizado, funciona con Ci$co y M$. Saludos. Roldyx. PD: pronto voy a publicar un articulo de Criptografía y OpensWan, si quieres implementar algo sobre openswan este es mi e-mail. El Domingo 23 Julio 2006 08:06, andres linux escribió: Hola se sabe que openvpn trabaja sobre la capa da transporte yasea udp o tcp, y IPSEC trabaja en el ip directamente. donde es mejor la seguridad en el ip o en la capa de transporte? -- Rodrigo Daniel Roldán. CCNA Mi humildad es inversamente proporcional a tu vagancia Google Dixit. si la seguridad es la misma, cual es la diferencia que uno trabaje sobre una capa y otra. Ipsec es una implementación en IPv4 portada a partir del diseño de IPv6. Por eso es a nivel de red. Yo entiendo que otras VPN's como OpenVPN están diseñadas desde un modelo mucho más flexible como es la capa de transporte. De hecho, hace poco aprendí en esta lista que incluso Ipsec dispone de un modo de funcionamiento en capa de transporte UDP para atravesar NAT. que es mas seguro : aplicar seguridad al ip o a la capa de transporte? No se me ocurre ninguna ventaja determinante en ninguno de los casos. Lo importante es que ambas VPN's permite cifrado y autenticación. Empate ;) si el objetivo es asegurar el trafico de acceso a una bd por ejemplo? No lo sé, pero tanto la capa de red como la de transporte son igualmente controladas vía firewall (como Iptables). -- Por el bien de todos respetemos las normas de la lista: http://wiki.debian.org/NormasLista
Re: Openvpn y windows
El Tuesday, 11 de July de 2006 00:43, Andres Chavez escribió: Cannot open dh1024.pem for DH parameters: error:02001002:system library:fopen:No such file or directory: error:2006D080:BIO routines:BIO_new_file:no such file Mon Jul 10 18:41:01 2006 Exiting (tengo todos los archivos en orden) ¿Seguro que los tienes bien? Se queja precisamente de que no encuentra el fichero diffie-hellman. No solo debe existir, sino que debería estar donde le estés indicando. -- BOFH excuse #116: the real ttys became pseudo ttys and vice-versa. pgpat7XvhGDFs.pgp Description: PGP signature
[OT] Re: Openvpn y windows
El lun, 10-07-2006 a las 18:43 -0400, Andres Chavez escribió: Hola, hace rato que tengo un error, al correr la vpn, teniendo a windows como servidor usando certificados me sale : Cannot open dh1024.pem for DH parameters: error:02001002:system library:fopen:No such file or directory: error:2006D080:BIO routines:BIO_new_file:no such file Mon Jul 10 18:41:01 2006 Exiting (tengo todos los archivos en orden) Despues de mucho intentar y modifcar el archivo .ovpn supuse que windows no podia actuar como server, sino que como cliente. es real lo que presiento??? ojala mepuedan aclarar la existencia No se de tu error, tampoco me he molestado en buscarlo en google, pero openvpn _si_ puede hacer de servidor, con certificados, en ms windows ;) -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Re: openvpn
Comprobamos que tenemos /dev/net/tun, si no existe lo creamos con: # mknod /dev/net/tun c 10 200 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: OpenVPN HOWTO (no me funciona).
On Wednesday 21 December 2005 19:13, Iñaki wrote: El Miércoles, 21 de Diciembre de 2005 18:42, Iñaki escribió: || El Miércoles, 21 de Diciembre de 2005 17:52, Alfonso Pinto Sampedro escribió: || || || || Esto no es correcto, tienes que aceptar lo que venga del || || || || puerto 1194 en la interface real (por ejemplo eth0). Todo || || || || lo que venga de ese puerto se pasa a la interface virtual || || || || tunX, asi que dependiendo de tu firewall puede ser que || || || || tengas que añadir reglas para esa interface. || || || || || || No, esto no es cierto, aunque el tráfico de TUN vaya || || || evidentemente sobre la única interfaz real de red que existe || || || (eth0) para Iptables son dos interfaces totalmente || || || independientes. No necesitas aceptar el tráfico al puerto 1194 || || || en eth0, de hecho yo no lo admito y me funciona. Tan sólo || || || debes permitir el INPUT, OUTPUT y FORWARD (tal vez -i y -o) || || || por tun0. || || || || || || Tal y como yo comentaba, son dos interfaces independientes, de || || || ahí que dijese que las reglas que tenía no funcionaban. Si usas || || || un escenario de vpn de servidor-cliente y tienes el servidor || || || detras de un firewall con politicas por defecto DROP (o el || || || servidor está en el propio firewall) como no abras el puerto en || || || el que escucha el demonio de openvpn te aseguro que no funciona, || || || bastante me he pegado con esto. || || || || Son dos cosas distintas, si tienes el servidor OpenVPN detrás de un || || firewall evidentemente necesitas permitir el tráfico por el puerto || || UDP 1194 en el firewall, y además redirigirlo a la máquina donde || || tengas el servidor OpenVPN. || || || || Pero si tienes el servidor OpenVPN y el firewall (Iptables) en la || || misma máquina NO es necesario permitir el tráfico por el puerto UDP || || 1194 en eth0 o ppp0 (o por donde se salga por defecto a Internet). || || Tan sólo debes permitir la entrada por el interfaz tun0. || || || || Te garantizo que he instalado OpenVPN en una máquina que a su vez || || hace de firewall y NAT a la red local, y en esos Iptables tengo por || || defecto DROP en INPUT y FORWARD, pero añado la reglas para que sí || || se acepte el tráfico por tun0. || || || || Pues o tienes mal configurado el firewall o estas aceptando el || || tráfico en el puerto correspiente a openvpn en la interface real sin || || que te hayas dado cuenta: || || || || Sacado de http://openvpn.net/faq.html, seccion My OpenVPN client and || || server say Connection Initiated with x.x.x.x but I cannot ping the || || server through the VPN. Why?, último parrafo || || || || Also note that firewalling the TUN/TAP interface is a completely || || separate operation from firewalling the internet-facing interface. || || For example, suppose an OpenVPN client is sending email via SMTP over || || the OpenVPN tunnel. The OpenVPN server firewall will need to allow || || both incoming encrypted data on TCP/UDP port 1194 via the || || internet-facing interface as well as incoming SMTP connections via || || the TUN/TAP interface. || || || || Además tengo un equipo de pruebas que es firewall y servidor de || || openvpn. Si quito la regla que permite la entrada de paquetes por el || || puerto 1194, obtengo una bonita lista de paquetes descartados en mis || || logs y la vpn no levanta. La interfaz tunX es una interfaz virtual. || || El cliente se conecta al servidor Openvpn en el puerto 1194. Este || || proceso se encarga de pasar todos los paquetes correspondientes a la || || interfaz tunX. Si tu no aceptas los paquetes por el puerto 1194 ¿como || || establecen conexión el cliente y el servidor Openvpn? Es imposible. || || Esto se pone muy interesante. Creo que intuyo lo que pasa: || || En realidad mi experiencia se limita a OpenVPN pero NO en modo || client-servidor, sino en modo ¿simétrico? (no sé como decirlo). || || En este modo al arrancar OpenVPN cada extremo inicia una comunicación y || hace un ping cada 15 segundos (en mi caso), por lo que por eso no hace || falta abrir el puerto 1194 UDP para la entrada, ya que al lanzar un ping || cada 15 segundos lo que viene se considera ESTABLISHED o RELATED (me || supongo). || || En modo servidor entiendo que SI que hay que abrir el puerto 1194 pues || dicho servidor no ha iniciado por su cuenta la comunicación con el otro || extremo, sino que es el cliente quien la inicia. Extraído del manual de OpenVPN: FIREWALLS *** OpenVPN's usage of a single UDP port makes it fairly firewall-friendly. You should add an entry to your firewall rules to allow incoming OpenVPN packets. On Linux 2.4+: iptables -A INPUT -p udp --dport 1194 -j ACCEPT would be adequate and would not render the host inflexible with respect to its peer having a dynamic IP address. OpenVPN also works well on stateful firewalls. In some
Re: OpenVPN HOWTO (no me funciona).
El Viernes, 23 de Diciembre de 2005 17:48, Alfonso Pinto Sampedro escribió: || On Wednesday 21 December 2005 19:13, Iñaki wrote: || El Miércoles, 21 de Diciembre de 2005 18:42, Iñaki escribió: || || El Miércoles, 21 de Diciembre de 2005 17:52, Alfonso Pinto Sampedro || || escribió: || || || || || Esto no es correcto, tienes que aceptar lo que venga del || || || || || puerto 1194 en la interface real (por ejemplo eth0). || || || || || Todo lo que venga de ese puerto se pasa a la interface || || || || || virtual tunX, asi que dependiendo de tu firewall puede || || || || || ser que tengas que añadir reglas para esa interface. || || || || || || || || No, esto no es cierto, aunque el tráfico de TUN vaya || || || || evidentemente sobre la única interfaz real de red que || || || || existe (eth0) para Iptables son dos interfaces totalmente || || || || independientes. No necesitas aceptar el tráfico al puerto || || || || 1194 en eth0, de hecho yo no lo admito y me funciona. Tan || || || || sólo debes permitir el INPUT, OUTPUT y FORWARD (tal vez -i || || || || y -o) por tun0. || || || || || || || || Tal y como yo comentaba, son dos interfaces independientes, || || || || de ahí que dijese que las reglas que tenía no funcionaban. Si || || || || usas un escenario de vpn de servidor-cliente y tienes el || || || || servidor detras de un firewall con politicas por defecto DROP || || || || (o el servidor está en el propio firewall) como no abras el || || || || puerto en el que escucha el demonio de openvpn te aseguro que || || || || no funciona, bastante me he pegado con esto. || || || || || || Son dos cosas distintas, si tienes el servidor OpenVPN detrás de || || || un firewall evidentemente necesitas permitir el tráfico por el || || || puerto UDP 1194 en el firewall, y además redirigirlo a la || || || máquina donde tengas el servidor OpenVPN. || || || || || || Pero si tienes el servidor OpenVPN y el firewall (Iptables) en || || || la misma máquina NO es necesario permitir el tráfico por el || || || puerto UDP 1194 en eth0 o ppp0 (o por donde se salga por defecto || || || a Internet). Tan sólo debes permitir la entrada por el interfaz || || || tun0. || || || || || || Te garantizo que he instalado OpenVPN en una máquina que a su || || || vez hace de firewall y NAT a la red local, y en esos Iptables || || || tengo por defecto DROP en INPUT y FORWARD, pero añado la reglas || || || para que sí se acepte el tráfico por tun0. || || || || || || Pues o tienes mal configurado el firewall o estas aceptando el || || || tráfico en el puerto correspiente a openvpn en la interface real || || || sin que te hayas dado cuenta: || || || || || || Sacado de http://openvpn.net/faq.html, seccion My OpenVPN client || || || and server say Connection Initiated with x.x.x.x but I cannot || || || ping the server through the VPN. Why?, último parrafo || || || || || || Also note that firewalling the TUN/TAP interface is a completely || || || separate operation from firewalling the internet-facing interface. || || || For example, suppose an OpenVPN client is sending email via SMTP || || || over the OpenVPN tunnel. The OpenVPN server firewall will need to || || || allow both incoming encrypted data on TCP/UDP port 1194 via the || || || internet-facing interface as well as incoming SMTP connections via || || || the TUN/TAP interface. || || || || || || Además tengo un equipo de pruebas que es firewall y servidor de || || || openvpn. Si quito la regla que permite la entrada de paquetes por || || || el puerto 1194, obtengo una bonita lista de paquetes descartados || || || en mis logs y la vpn no levanta. La interfaz tunX es una interfaz || || || virtual. El cliente se conecta al servidor Openvpn en el puerto || || || 1194. Este proceso se encarga de pasar todos los paquetes || || || correspondientes a la interfaz tunX. Si tu no aceptas los paquetes || || || por el puerto 1194 ¿como establecen conexión el cliente y el || || || servidor Openvpn? Es imposible. || || || || Esto se pone muy interesante. Creo que intuyo lo que pasa: || || || || En realidad mi experiencia se limita a OpenVPN pero NO en modo || || client-servidor, sino en modo ¿simétrico? (no sé como decirlo). || || || || En este modo al arrancar OpenVPN cada extremo inicia una comunicación || || y hace un ping cada 15 segundos (en mi caso), por lo que por eso no || || hace falta abrir el puerto 1194 UDP para la entrada, ya que al lanzar || || un ping cada 15 segundos lo que viene se considera ESTABLISHED o || || RELATED (me supongo). || || || || En modo servidor entiendo que SI que hay que abrir el puerto 1194 || || pues dicho servidor no ha iniciado por su cuenta la comunicación con || || el otro extremo, sino que es el cliente quien la inicia. || || Extraído del manual de OpenVPN: || || || FIREWALLS || *** || OpenVPN's usage of a single UDP port
Re: OpenVPN HOWTO (no me funciona).
On Tuesday 20 December 2005 21:39, Iñaki wrote: El Lunes, 19 de Diciembre de 2005 13:21, Alfonso Pinto Sampedro escribió: || On Saturday 17 December 2005 20:07, Pablo Braulio wrote: || El Sábado, 17 de Diciembre de 2005 14:29, Ricardo Frydman Eureka! escribió: || Gracias al compañero Iñaki y a pedido del inmenso publico, se || encuentra disponible el OpenVPN Howto en || http://eureka-linux.com.ar/docs/openvpn.html || || Felicitaciones (y gracias!) a Iñaki y a disfrutarlo! || || Bueno pues siguiendo las indicaciones del howto, no consigo hacerlo || funcionar. || || Intento conectar la red de mi casa con la del despacho, instalando || openvpn en dos equipos con debian y kernel 2.6.12 y 2.6.14. Tengo || puesto como modulo la opción del kernel TUN/TAP (en ambos): || || # ls /dev/net || tun || || Siguiendo las indicaciones del how-to, al hacer /etc/init.d/openvpn || start funcionar, pero en mi caso no es así. || || # /etc/init.d/openvpn start || Starting virtual private network daemon: tunel(FAILED). || || Esto me ocurre en los dos equipos que hacen de extremos del tunel. || || En el despacho el equipo que tiene openvpn es el que hace de firewall. || No hay router, está conectado a un modem cable de ono. Tiene puesta la || regla en iptables: || iptables -A INPUT -i tun -p UDP --dport 1194 -m state --state || NEW,ESTABLISHED,RELATED -j ACCEPT || || Esto no es correcto, tienes que aceptar lo que venga del puerto 1194 en || la interface real (por ejemplo eth0). Todo lo que venga de ese puerto se || pasa a la interface virtual tunX, asi que dependiendo de tu firewall || puede ser que tengas que añadir reglas para esa interface. No, esto no es cierto, aunque el tráfico de TUN vaya evidentemente sobre la única interfaz real de red que existe (eth0) para Iptables son dos interfaces totalmente independientes. No necesitas aceptar el tráfico al puerto 1194 en eth0, de hecho yo no lo admito y me funciona. Tan sólo debes permitir el INPUT, OUTPUT y FORWARD (tal vez -i y -o) por tun0. Tal y como yo comentaba, son dos interfaces independientes, de ahí que dijese que las reglas que tenía no funcionaban. Si usas un escenario de vpn de servidor-cliente y tienes el servidor detras de un firewall con politicas por defecto DROP (o el servidor está en el propio firewall) como no abras el puerto en el que escucha el demonio de openvpn te aseguro que no funciona, bastante me he pegado con esto. Otra cosa es que hablemos de un firewall por hardware, que sólo tiene un interfaz y en el que evidentemente sí que hay que abrir y redirigir el puerto 1194 al ordenador que está haciendo la VPN mediante OpenVPN. || Lo de ESTABLISHED Y RELATED no te va a funcionar, recuerda que el || protocolo UDP no está orientado a conexión. Tendras que definir reglas || para lo que entra y para lo que sale. No es cierto, ESTABLISHED Y RELATED no es sólo para TCP, sirve para UDP, ICMP e incluso para protocolos desconocidos. Recomiendo encarecidamente la lectura de este manual de Iptables en castellano, que es el mejor que he visto nunca y con el que se aprende mucho. Lo pasé a PDF para imprimir (mi tiempo me llevó), si alguien lo quiere en PDF que me lo pida. Te aseguro que a mi ESTABLISHED Y RELATED me han dado problemas con UDP en un firewall con politicas por defecto DROP y que no me funcionaba. De todas formas es lógico: Established se refiere a conexión establecida y Related a conexión relacionada. Si en UDP no hay conexión ¿como van a funcionar? || El otro equipo es mi portátil que está detrás de un router. No se si || debería abrir el puerto en el router o redireccionarlo a mi portatil, || pues lo único que quiero es crear un tunel de mi portatil a la red del || despacho. No a toda la red de mi casa. || || Según creo debería tener creada una interfaz (tun), que se mostrase al || hacer ifconfig, pero esta no es creada. No se como hacerlo. || || Puede ser problema de que udev no te crea el dispositivo /dev/tunX. A mi || me ocurría eso y haciendo un dpkg-recofigure openvpn te pregunta si || quieres que lo cree, le dices que si, pruebas y nos cuentas. || || Un saludo. || || ¿Sabéis que puede estar fallando?. || Saludos. || Pablo || || Jabber: bruli(at)myjabber(to)net pgpZMcddFjGF1.pgp Description: PGP signature
Re: OpenVPN HOWTO (no me funciona).
El Miércoles, 21 de Diciembre de 2005 09:50, Alfonso Pinto Sampedro escribió: || On Tuesday 20 December 2005 21:39, Iñaki wrote: || El Lunes, 19 de Diciembre de 2005 13:21, Alfonso Pinto Sampedro escribió: || || On Saturday 17 December 2005 20:07, Pablo Braulio wrote: || || El Sábado, 17 de Diciembre de 2005 14:29, Ricardo Frydman Eureka! || || escribió: || || Gracias al compañero Iñaki y a pedido del inmenso publico, se || || encuentra disponible el OpenVPN Howto en || || http://eureka-linux.com.ar/docs/openvpn.html || || || || Felicitaciones (y gracias!) a Iñaki y a disfrutarlo! || || || || Bueno pues siguiendo las indicaciones del howto, no consigo hacerlo || || funcionar. || || || || Intento conectar la red de mi casa con la del despacho, instalando || || openvpn en dos equipos con debian y kernel 2.6.12 y 2.6.14. Tengo || || puesto como modulo la opción del kernel TUN/TAP (en ambos): || || || || # ls /dev/net || || tun || || || || Siguiendo las indicaciones del how-to, al hacer /etc/init.d/openvpn || || start funcionar, pero en mi caso no es así. || || || || # /etc/init.d/openvpn start || || Starting virtual private network daemon: tunel(FAILED). || || || || Esto me ocurre en los dos equipos que hacen de extremos del tunel. || || || || En el despacho el equipo que tiene openvpn es el que hace de || || firewall. No hay router, está conectado a un modem cable de ono. || || Tiene puesta la regla en iptables: || || iptables -A INPUT -i tun -p UDP --dport 1194 -m state --state || || NEW,ESTABLISHED,RELATED -j ACCEPT || || || || Esto no es correcto, tienes que aceptar lo que venga del puerto 1194 || || en la interface real (por ejemplo eth0). Todo lo que venga de ese || || puerto se pasa a la interface virtual tunX, asi que dependiendo de tu || || firewall puede ser que tengas que añadir reglas para esa interface. || || No, esto no es cierto, aunque el tráfico de TUN vaya evidentemente sobre || la única interfaz real de red que existe (eth0) para Iptables son dos || interfaces totalmente independientes. No necesitas aceptar el tráfico al || puerto 1194 en eth0, de hecho yo no lo admito y me funciona. Tan sólo || debes permitir el INPUT, OUTPUT y FORWARD (tal vez -i y -o) por tun0. || || Tal y como yo comentaba, son dos interfaces independientes, de ahí que || dijese que las reglas que tenía no funcionaban. Si usas un escenario de || vpn de servidor-cliente y tienes el servidor detras de un firewall con || politicas por defecto DROP (o el servidor está en el propio firewall) como || no abras el puerto en el que escucha el demonio de openvpn te aseguro que || no funciona, bastante me he pegado con esto. Son dos cosas distintas, si tienes el servidor OpenVPN detrás de un firewall evidentemente necesitas permitir el tráfico por el puerto UDP 1194 en el firewall, y además redirigirlo a la máquina donde tengas el servidor OpenVPN. Pero si tienes el servidor OpenVPN y el firewall (Iptables) en la misma máquina NO es necesario permitir el tráfico por el puerto UDP 1194 en eth0 o ppp0 (o por donde se salga por defecto a Internet). Tan sólo debes permitir la entrada por el interfaz tun0. Te garantizo que he instalado OpenVPN en una máquina que a su vez hace de firewall y NAT a la red local, y en esos Iptables tengo por defecto DROP en INPUT y FORWARD, pero añado la reglas para que sí se acepte el tráfico por tun0. || Otra cosa es que hablemos de un firewall por hardware, que sólo tiene un || interfaz y en el que evidentemente sí que hay que abrir y redirigir el || puerto 1194 al ordenador que está haciendo la VPN mediante OpenVPN. || || || Lo de ESTABLISHED Y RELATED no te va a funcionar, recuerda que el || || protocolo UDP no está orientado a conexión. Tendras que definir || || reglas para lo que entra y para lo que sale. || || No es cierto, ESTABLISHED Y RELATED no es sólo para TCP, sirve para UDP, || ICMP e incluso para protocolos desconocidos. || || Recomiendo encarecidamente la lectura de este manual de Iptables en || castellano, que es el mejor que he visto nunca y con el que se aprende || mucho. Lo pasé a PDF para imprimir (mi tiempo me llevó), si alguien lo || quiere en PDF que me lo pida. || || Te aseguro que a mi ESTABLISHED Y RELATED me han dado problemas con UDP en || un firewall con politicas por defecto DROP y que no me funcionaba. De || todas formas es lógico: Established se refiere a conexión establecida y || Related a conexión relacionada. Si en UDP no hay conexión ¿como van a || funcionar? No dudo que te haya dado problemas, pero te equivocas al decir que ESTABLISHED y RELATED sólo se refieren a TCP, no es así. El kernel mediante conntrack puede seguir las conexiones TCP, UDP, ICMP y otras y establecer cuáles son ESTABLISHE y RELATED. Entiendo que no estés de acuerdo, pero por favor, echa un vistazo al siguiente link:
Re: OpenVPN HOWTO (no me funciona).
On Wednesday 21 December 2005 15:26, Iñaki wrote: El Miércoles, 21 de Diciembre de 2005 09:50, Alfonso Pinto Sampedro escribió: || On Tuesday 20 December 2005 21:39, Iñaki wrote: || El Lunes, 19 de Diciembre de 2005 13:21, Alfonso Pinto Sampedro escribió: || || On Saturday 17 December 2005 20:07, Pablo Braulio wrote: || || El Sábado, 17 de Diciembre de 2005 14:29, Ricardo Frydman Eureka! || || escribió: || || Gracias al compañero Iñaki y a pedido del inmenso publico, se || || encuentra disponible el OpenVPN Howto en || || http://eureka-linux.com.ar/docs/openvpn.html || || || || Felicitaciones (y gracias!) a Iñaki y a disfrutarlo! || || || || Bueno pues siguiendo las indicaciones del howto, no consigo || || hacerlo funcionar. || || || || Intento conectar la red de mi casa con la del despacho, || || instalando openvpn en dos equipos con debian y kernel 2.6.12 y || || 2.6.14. Tengo puesto como modulo la opción del kernel TUN/TAP (en || || ambos): || || || || # ls /dev/net || || tun || || || || Siguiendo las indicaciones del how-to, al hacer || || /etc/init.d/openvpn start funcionar, pero en mi caso no es así. || || || || # /etc/init.d/openvpn start || || Starting virtual private network daemon: tunel(FAILED). || || || || Esto me ocurre en los dos equipos que hacen de extremos del || || tunel. || || || || En el despacho el equipo que tiene openvpn es el que hace de || || firewall. No hay router, está conectado a un modem cable de ono. || || Tiene puesta la regla en iptables: || || iptables -A INPUT -i tun -p UDP --dport 1194 -m state --state || || NEW,ESTABLISHED,RELATED -j ACCEPT || || || || Esto no es correcto, tienes que aceptar lo que venga del puerto || || 1194 en la interface real (por ejemplo eth0). Todo lo que venga de || || ese puerto se pasa a la interface virtual tunX, asi que dependiendo || || de tu firewall puede ser que tengas que añadir reglas para esa || || interface. || || No, esto no es cierto, aunque el tráfico de TUN vaya evidentemente || sobre la única interfaz real de red que existe (eth0) para Iptables || son dos interfaces totalmente independientes. No necesitas aceptar el || tráfico al puerto 1194 en eth0, de hecho yo no lo admito y me || funciona. Tan sólo debes permitir el INPUT, OUTPUT y FORWARD (tal vez || -i y -o) por tun0. || || Tal y como yo comentaba, son dos interfaces independientes, de ahí que || dijese que las reglas que tenía no funcionaban. Si usas un escenario de || vpn de servidor-cliente y tienes el servidor detras de un firewall con || politicas por defecto DROP (o el servidor está en el propio firewall) || como no abras el puerto en el que escucha el demonio de openvpn te || aseguro que no funciona, bastante me he pegado con esto. Son dos cosas distintas, si tienes el servidor OpenVPN detrás de un firewall evidentemente necesitas permitir el tráfico por el puerto UDP 1194 en el firewall, y además redirigirlo a la máquina donde tengas el servidor OpenVPN. Pero si tienes el servidor OpenVPN y el firewall (Iptables) en la misma máquina NO es necesario permitir el tráfico por el puerto UDP 1194 en eth0 o ppp0 (o por donde se salga por defecto a Internet). Tan sólo debes permitir la entrada por el interfaz tun0. Te garantizo que he instalado OpenVPN en una máquina que a su vez hace de firewall y NAT a la red local, y en esos Iptables tengo por defecto DROP en INPUT y FORWARD, pero añado la reglas para que sí se acepte el tráfico por tun0. Pues o tienes mal configurado el firewall o estas aceptando el tráfico en el puerto correspiente a openvpn en la interface real sin que te hayas dado cuenta: Sacado de http://openvpn.net/faq.html, seccion My OpenVPN client and server say Connection Initiated with x.x.x.x but I cannot ping the server through the VPN. Why?, último parrafo Also note that firewalling the TUN/TAP interface is a completely separate operation from firewalling the internet-facing interface. For example, suppose an OpenVPN client is sending email via SMTP over the OpenVPN tunnel. The OpenVPN server firewall will need to allow both incoming encrypted data on TCP/UDP port 1194 via the internet-facing interface as well as incoming SMTP connections via the TUN/TAP interface. Además tengo un equipo de pruebas que es firewall y servidor de openvpn. Si quito la regla que permite la entrada de paquetes por el puerto 1194, obtengo una bonita lista de paquetes descartados en mis logs y la vpn no levanta. La interfaz tunX es una interfaz virtual. El cliente se conecta al servidor Openvpn en el puerto 1194. Este proceso se encarga de pasar todos los paquetes correspondientes a la interfaz tunX. Si tu no aceptas los paquetes por el puerto 1194 ¿como establecen conexión el cliente y el servidor Openvpn? Es imposible. || Otra cosa es que hablemos de un firewall por hardware, que sólo tiene ||
Re: OpenVPN HOWTO (no me funciona).
El Miércoles, 21 de Diciembre de 2005 17:52, Alfonso Pinto Sampedro escribió: || || || Esto no es correcto, tienes que aceptar lo que venga del puerto || || || 1194 en la interface real (por ejemplo eth0). Todo lo que venga || || || de ese puerto se pasa a la interface virtual tunX, asi que || || || dependiendo de tu firewall puede ser que tengas que añadir || || || reglas para esa interface. || || || || No, esto no es cierto, aunque el tráfico de TUN vaya evidentemente || || sobre la única interfaz real de red que existe (eth0) para Iptables || || son dos interfaces totalmente independientes. No necesitas aceptar || || el tráfico al puerto 1194 en eth0, de hecho yo no lo admito y me || || funciona. Tan sólo debes permitir el INPUT, OUTPUT y FORWARD (tal || || vez -i y -o) por tun0. || || || || Tal y como yo comentaba, son dos interfaces independientes, de ahí || || que dijese que las reglas que tenía no funcionaban. Si usas un || || escenario de vpn de servidor-cliente y tienes el servidor detras de || || un firewall con politicas por defecto DROP (o el servidor está en el || || propio firewall) como no abras el puerto en el que escucha el demonio || || de openvpn te aseguro que no funciona, bastante me he pegado con || || esto. || || Son dos cosas distintas, si tienes el servidor OpenVPN detrás de un || firewall evidentemente necesitas permitir el tráfico por el puerto UDP || 1194 en el firewall, y además redirigirlo a la máquina donde tengas el || servidor OpenVPN. || || Pero si tienes el servidor OpenVPN y el firewall (Iptables) en la misma || máquina NO es necesario permitir el tráfico por el puerto UDP 1194 en || eth0 o ppp0 (o por donde se salga por defecto a Internet). Tan sólo || debes permitir la entrada por el interfaz tun0. || || Te garantizo que he instalado OpenVPN en una máquina que a su vez hace || de firewall y NAT a la red local, y en esos Iptables tengo por defecto || DROP en INPUT y FORWARD, pero añado la reglas para que sí se acepte el || tráfico por tun0. || || Pues o tienes mal configurado el firewall o estas aceptando el tráfico en || el puerto correspiente a openvpn en la interface real sin que te hayas || dado cuenta: || || Sacado de http://openvpn.net/faq.html, seccion My OpenVPN client and || server say Connection Initiated with x.x.x.x but I cannot ping the || server through the VPN. Why?, último parrafo || || Also note that firewalling the TUN/TAP interface is a completely separate || operation from firewalling the internet-facing interface. For example, || suppose an OpenVPN client is sending email via SMTP over the OpenVPN || tunnel. The OpenVPN server firewall will need to allow both incoming || encrypted data on TCP/UDP port 1194 via the internet-facing interface as || well as incoming SMTP connections via the TUN/TAP interface. || || Además tengo un equipo de pruebas que es firewall y servidor de openvpn. || Si quito la regla que permite la entrada de paquetes por el puerto 1194, || obtengo una bonita lista de paquetes descartados en mis logs y la vpn no || levanta. La interfaz tunX es una interfaz virtual. El cliente se conecta || al servidor Openvpn en el puerto 1194. Este proceso se encarga de pasar || todos los paquetes correspondientes a la interfaz tunX. Si tu no aceptas || los paquetes por el puerto 1194 ¿como establecen conexión el cliente y el || servidor Openvpn? Es imposible. Esto se pone muy interesante. Creo que intuyo lo que pasa: En realidad mi experiencia se limita a OpenVPN pero NO en modo client-servidor, sino en modo ¿simétrico? (no sé como decirlo). En este modo al arrancar OpenVPN cada extremo inicia una comunicación y hace un ping cada 15 segundos (en mi caso), por lo que por eso no hace falta abrir el puerto 1194 UDP para la entrada, ya que al lanzar un ping cada 15 segundos lo que viene se considera ESTABLISHED o RELATED (me supongo). En modo servidor entiendo que SI que hay que abrir el puerto 1194 pues dicho servidor no ha iniciado por su cuenta la comunicación con el otro extremo, sino que es el cliente quien la inicia. ¿Qué opinas de esto que comento? ¿puede tener fundamento? No obstante puedo garantizar que yo no permito en el servidor la entrada al puerto 1194, lo he requeterevisado. Además si hago un nmap sólo me muestra los puertos que yo quería dejar abiertos (el 22 y el 80). Muchas gracias por los datos que aportas, sin duda me ahorrarán un batacazo gordo el día que tenga que poner un OpenVPN en modo servidor (pronto creo). || || Otra cosa es que hablemos de un firewall por hardware, que sólo || || tiene un interfaz y en el que evidentemente sí que hay que abrir y || || redirigir el puerto 1194 al ordenador que está haciendo la VPN || || mediante OpenVPN. || || || || || Lo de ESTABLISHED Y RELATED no te va a funcionar, recuerda que || || || el protocolo UDP no está orientado a conexión. Tendras que || || || definir reglas para lo que entra y para lo que
Re: OpenVPN HOWTO (no me funciona).
El Miércoles, 21 de Diciembre de 2005 18:42, Iñaki escribió: || El Miércoles, 21 de Diciembre de 2005 17:52, Alfonso Pinto Sampedro escribió: || || || || Esto no es correcto, tienes que aceptar lo que venga del || || || || puerto 1194 en la interface real (por ejemplo eth0). Todo lo || || || || que venga de ese puerto se pasa a la interface virtual tunX, || || || || asi que dependiendo de tu firewall puede ser que tengas que || || || || añadir reglas para esa interface. || || || || || || No, esto no es cierto, aunque el tráfico de TUN vaya || || || evidentemente sobre la única interfaz real de red que existe || || || (eth0) para Iptables son dos interfaces totalmente || || || independientes. No necesitas aceptar el tráfico al puerto 1194 || || || en eth0, de hecho yo no lo admito y me funciona. Tan sólo debes || || || permitir el INPUT, OUTPUT y FORWARD (tal vez -i y -o) por tun0. || || || || || || Tal y como yo comentaba, son dos interfaces independientes, de ahí || || || que dijese que las reglas que tenía no funcionaban. Si usas un || || || escenario de vpn de servidor-cliente y tienes el servidor detras || || || de un firewall con politicas por defecto DROP (o el servidor está || || || en el propio firewall) como no abras el puerto en el que escucha || || || el demonio de openvpn te aseguro que no funciona, bastante me he || || || pegado con esto. || || || || Son dos cosas distintas, si tienes el servidor OpenVPN detrás de un || || firewall evidentemente necesitas permitir el tráfico por el puerto || || UDP 1194 en el firewall, y además redirigirlo a la máquina donde || || tengas el servidor OpenVPN. || || || || Pero si tienes el servidor OpenVPN y el firewall (Iptables) en la || || misma máquina NO es necesario permitir el tráfico por el puerto UDP || || 1194 en eth0 o ppp0 (o por donde se salga por defecto a Internet). || || Tan sólo debes permitir la entrada por el interfaz tun0. || || || || Te garantizo que he instalado OpenVPN en una máquina que a su vez || || hace de firewall y NAT a la red local, y en esos Iptables tengo por || || defecto DROP en INPUT y FORWARD, pero añado la reglas para que sí se || || acepte el tráfico por tun0. || || || || Pues o tienes mal configurado el firewall o estas aceptando el tráfico || || en el puerto correspiente a openvpn en la interface real sin que te || || hayas dado cuenta: || || || || Sacado de http://openvpn.net/faq.html, seccion My OpenVPN client and || || server say Connection Initiated with x.x.x.x but I cannot ping the || || server through the VPN. Why?, último parrafo || || || || Also note that firewalling the TUN/TAP interface is a completely || || separate operation from firewalling the internet-facing interface. For || || example, suppose an OpenVPN client is sending email via SMTP over the || || OpenVPN tunnel. The OpenVPN server firewall will need to allow both || || incoming encrypted data on TCP/UDP port 1194 via the internet-facing || || interface as well as incoming SMTP connections via the TUN/TAP || || interface. || || || || Además tengo un equipo de pruebas que es firewall y servidor de || || openvpn. Si quito la regla que permite la entrada de paquetes por el || || puerto 1194, obtengo una bonita lista de paquetes descartados en mis || || logs y la vpn no levanta. La interfaz tunX es una interfaz virtual. El || || cliente se conecta al servidor Openvpn en el puerto 1194. Este proceso || || se encarga de pasar todos los paquetes correspondientes a la interfaz || || tunX. Si tu no aceptas los paquetes por el puerto 1194 ¿como establecen || || conexión el cliente y el servidor Openvpn? Es imposible. || || Esto se pone muy interesante. Creo que intuyo lo que pasa: || || En realidad mi experiencia se limita a OpenVPN pero NO en modo || client-servidor, sino en modo ¿simétrico? (no sé como decirlo). || || En este modo al arrancar OpenVPN cada extremo inicia una comunicación y || hace un ping cada 15 segundos (en mi caso), por lo que por eso no hace || falta abrir el puerto 1194 UDP para la entrada, ya que al lanzar un ping || cada 15 segundos lo que viene se considera ESTABLISHED o RELATED (me || supongo). || || En modo servidor entiendo que SI que hay que abrir el puerto 1194 pues || dicho servidor no ha iniciado por su cuenta la comunicación con el otro || extremo, sino que es el cliente quien la inicia. Extraído del manual de OpenVPN: FIREWALLS *** OpenVPN's usage of a single UDP port makes it fairly firewall-friendly. You should add an entry to your firewall rules to allow incoming OpenVPN packets. On Linux 2.4+: iptables -A INPUT -p udp --dport 1194 -j ACCEPT would be adequate and would not render the host inflexible with respect to its peer having a dynamic IP address. OpenVPN also works well on stateful firewalls. In some cases, you may not need to add any static rules to the firewall list if you are using a stateful firewall that knows how to track UDP
Re: OpenVPN HOWTO (no me funciona).
On Monday 19 December 2005 13:41, Pablo Braulio wrote: Puede ser problema de que udev no te crea el dispositivo /dev/tunX. A mi me ocurría eso y haciendo un dpkg-recofigure openvpn te pregunta si quieres que lo cree, le dices que si, pruebas y nos cuentas. Esto es lo único que muestra dpkg-reconfigure openvpn: ┌┤ Configuración de openvpn ├─┐ │ │ │ In some cases you may be upgrading openvpn in a remote server using a VPN to do so. The upgrade │ │ process stops the running daemon before installing the new version, in that case you may lose your │ │ connection, the upgrade may be interrupted, and you may not be able to reconnect to the remote │ │ host. │ │ │ │ Unless you do your upgrades locally, it is advised NOT to stop openvpn before it gets upgraded. │ │ The installation process will restart it once it's done. │ │ │ │ This option will take effect in your next upgrade. │ │ │ │ Would you like to stop openvpn before it gets upgraded? │ │ │ │ Sí No Despues de esta pregunta no te hace ninguna más??? Que raro, siempre que lo hice me pregunto a posteriori si quería crear el dispositivo tun??? Te has fijado si ya existe en /dev??? Has probado lo otro que te comente??? Un saludo. No me pregunta nada de crear tun. pgpVcXw8xkMmf.pgp Description: PGP signature
Re: OpenVPN HOWTO (no me funciona).
El Martes, 20 de Diciembre de 2005 16:18, Alfonso Pinto Sampedro escribió: Despues de esta pregunta no te hace ninguna más??? Que raro, siempre que lo hice me pregunto a posteriori si quería crear el dispositivo tun??? Te has fijado si ya existe en /dev??? Has probado lo otro que te comente??? # ls /dev/net/ tun Como puedes ver existe: # ifconfig eth0 Link encap:Ethernet HWaddr inet addr: Bcast:xx Mask:xx UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:23463472 errors:0 dropped:0 overruns:0 frame:0 TX packets:186421 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:1612244396 (1.5 GiB) TX bytes:53659390 (51.1 MiB) Interrupt:11 Base address:0x2800 eth1 Link encap:Ethernet HWaddr inet addr: Bcast:xx Mask:x UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:211991 errors:0 dropped:0 overruns:0 frame:0 TX packets:285226 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:50804634 (48.4 MiB) TX bytes:318001510 (303.2 MiB) Interrupt:10 Base address:0x4400 eth2 Link encap:Ethernet HWaddr inet addr: Bcast:xx Mask: UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:156429 errors:0 dropped:0 overruns:0 frame:0 TX packets:106623 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:164653887 (157.0 MiB) TX bytes:25688923 (24.4 MiB) Interrupt:11 Base address:0x6000 loLink encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:17114 errors:0 dropped:0 overruns:0 frame:0 TX packets:17114 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:6238940 (5.9 MiB) TX bytes:6238940 (5.9 MiB) Al decir,lo otro que me dijiste, supongo que te refieres a la regla de iptables. ¿no?. iptables -N openvpn -- echo -n --Regla openvpn: iptables -A INPUT -i $I_EXT -p udp --dport 1194 -j openvpn iptables -A OUTPUT -o $I_EXT -p udp --sport 1194 -j openvpn iptables -A openvpn -j ACCEPT iptables -A openvpn -j ULOG --ulog-nlgroup 1 --ulog-prefix OPENVPN: iptables -A openvpn -j DROP echo hecho. -- Saludos. Pablo Jabber: bruli(at)myjabber(to)net
Re: OpenVPN HOWTO (no me funciona).
On Tuesday 20 December 2005 16:23, Pablo Braulio wrote: El Martes, 20 de Diciembre de 2005 16:18, Alfonso Pinto Sampedro escribió: Despues de esta pregunta no te hace ninguna más??? Que raro, siempre que lo hice me pregunto a posteriori si quería crear el dispositivo tun??? Te has fijado si ya existe en /dev??? Has probado lo otro que te comente??? # ls /dev/net/ tun Como puedes ver existe: # ifconfig eth0 Link encap:Ethernet HWaddr inet addr: Bcast:xx Mask:xx UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:23463472 errors:0 dropped:0 overruns:0 frame:0 TX packets:186421 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:1612244396 (1.5 GiB) TX bytes:53659390 (51.1 MiB) Interrupt:11 Base address:0x2800 eth1 Link encap:Ethernet HWaddr inet addr: Bcast:xx Mask:x UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:211991 errors:0 dropped:0 overruns:0 frame:0 TX packets:285226 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:50804634 (48.4 MiB) TX bytes:318001510 (303.2 MiB) Interrupt:10 Base address:0x4400 eth2 Link encap:Ethernet HWaddr inet addr: Bcast:xx Mask: UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:156429 errors:0 dropped:0 overruns:0 frame:0 TX packets:106623 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:164653887 (157.0 MiB) TX bytes:25688923 (24.4 MiB) Interrupt:11 Base address:0x6000 loLink encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:17114 errors:0 dropped:0 overruns:0 frame:0 TX packets:17114 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:6238940 (5.9 MiB) TX bytes:6238940 (5.9 MiB) Al decir,lo otro que me dijiste, supongo que te refieres a la regla de iptables. ¿no?. iptables -N openvpn -- echo -n --Regla openvpn: iptables -A INPUT -i $I_EXT -p udp --dport 1194 -j openvpn iptables -A OUTPUT -o $I_EXT -p udp --sport 1194 -j openvpn iptables -A openvpn -j ACCEPT iptables -A openvpn -j ULOG --ulog-nlgroup 1 --ulog-prefix OPENVPN: iptables -A openvpn -j DROP echo hecho. Mandanos el archivo de configuración de opnevpn, a ver si falta alguna directiva. Un saludo. pgp9w3wp6Byas.pgp Description: PGP signature
Re: OpenVPN HOWTO (no me funciona).
El Martes, 20 de Diciembre de 2005 17:26, Alfonso Pinto Sampedro escribió: Mandanos el archivo de configuración de opnevpn, a ver si falta alguna directiva. Ya me arranca bien. Parece que había un error en la línea de /dev/net/tun. Ahora arrancan bien las dos puntas del tunel, pero no me responden los pings. Este es el archivo de configuracíon del servidor del despacho: dominio-casa.org float port 1194 dev-node /dev/net/tun persist-tun ifconfig 10.0.1.1 10.0.1.2 comp-lzo ping 15 ping restart 120 verb 3 secret /etc/openvpn/clave.key persist-key route 192.168.2.0 255.255.255.0 user nobody group nogroup chroot /var/empty Y el de casa: remote aldiagestion.com float port 1194 dev-node /dev/net/tun persist-tun ifconfig 10.0.1.2 10.0.1.1 comp-lzo ping 15 ping-restart 120 verb 3 secret /etc/openvpn/clave.key persist-key route 192.168.1.0 255.255.255.0 user nobody group nogroup chroot /var/empty Se me ocurre, que a lo mejor es porque el firewall no permite que entre en la red local. No se, podría ser. -- Saludos. Pablo Jabber: bruli(at)myjabber(to)net
Re: OpenVPN HOWTO (no me funciona).
El Lunes, 19 de Diciembre de 2005 13:21, Alfonso Pinto Sampedro escribió: || On Saturday 17 December 2005 20:07, Pablo Braulio wrote: || El Sábado, 17 de Diciembre de 2005 14:29, Ricardo Frydman Eureka! escribió: || Gracias al compañero Iñaki y a pedido del inmenso publico, se || encuentra disponible el OpenVPN Howto en || http://eureka-linux.com.ar/docs/openvpn.html || || Felicitaciones (y gracias!) a Iñaki y a disfrutarlo! || || Bueno pues siguiendo las indicaciones del howto, no consigo hacerlo || funcionar. || || Intento conectar la red de mi casa con la del despacho, instalando || openvpn en dos equipos con debian y kernel 2.6.12 y 2.6.14. Tengo puesto || como modulo la opción del kernel TUN/TAP (en ambos): || || # ls /dev/net || tun || || Siguiendo las indicaciones del how-to, al hacer /etc/init.d/openvpn || start funcionar, pero en mi caso no es así. || || # /etc/init.d/openvpn start || Starting virtual private network daemon: tunel(FAILED). || || Esto me ocurre en los dos equipos que hacen de extremos del tunel. || || En el despacho el equipo que tiene openvpn es el que hace de firewall. || No hay router, está conectado a un modem cable de ono. Tiene puesta la || regla en iptables: || iptables -A INPUT -i tun -p UDP --dport 1194 -m state --state || NEW,ESTABLISHED,RELATED -j ACCEPT || || Esto no es correcto, tienes que aceptar lo que venga del puerto 1194 en la || interface real (por ejemplo eth0). Todo lo que venga de ese puerto se pasa || a la interface virtual tunX, asi que dependiendo de tu firewall puede ser || que tengas que añadir reglas para esa interface. No, esto no es cierto, aunque el tráfico de TUN vaya evidentemente sobre la única interfaz real de red que existe (eth0) para Iptables son dos interfaces totalmente independientes. No necesitas aceptar el tráfico al puerto 1194 en eth0, de hecho yo no lo admito y me funciona. Tan sólo debes permitir el INPUT, OUTPUT y FORWARD (tal vez -i y -o) por tun0. Otra cosa es que hablemos de un firewall por hardware, que sólo tiene un interfaz y en el que evidentemente sí que hay que abrir y redirigir el puerto 1194 al ordenador que está haciendo la VPN mediante OpenVPN. || Lo de ESTABLISHED Y RELATED no te va a funcionar, recuerda que el || protocolo UDP no está orientado a conexión. Tendras que definir reglas || para lo que entra y para lo que sale. No es cierto, ESTABLISHED Y RELATED no es sólo para TCP, sirve para UDP, ICMP e incluso para protocolos desconocidos. Recomiendo encarecidamente la lectura de este manual de Iptables en castellano, que es el mejor que he visto nunca y con el que se aprende mucho. Lo pasé a PDF para imprimir (mi tiempo me llevó), si alguien lo quiere en PDF que me lo pida. || El otro equipo es mi portátil que está detrás de un router. No se si || debería abrir el puerto en el router o redireccionarlo a mi portatil, || pues lo único que quiero es crear un tunel de mi portatil a la red del || despacho. No a toda la red de mi casa. || || Según creo debería tener creada una interfaz (tun), que se mostrase al || hacer ifconfig, pero esta no es creada. No se como hacerlo. || || Puede ser problema de que udev no te crea el dispositivo /dev/tunX. A mi || me ocurría eso y haciendo un dpkg-recofigure openvpn te pregunta si || quieres que lo cree, le dices que si, pruebas y nos cuentas. || || Un saludo. || || ¿Sabéis que puede estar fallando?. || Saludos. || Pablo || || Jabber: bruli(at)myjabber(to)net -- y hasta aquí puedo leer...
Re: OpenVPN HOWTO (no me funciona).
El Martes, 20 de Diciembre de 2005 19:10, Pablo Braulio escribió: || El Martes, 20 de Diciembre de 2005 17:26, Alfonso Pinto Sampedro escribió: || Mandanos el archivo de configuración de opnevpn, a ver si falta alguna || directiva. || || Ya me arranca bien. Parece que había un error en la línea de /dev/net/tun. || || Ahora arrancan bien las dos puntas del tunel, pero no me responden los || pings. || || Este es el archivo de configuracíon del servidor del despacho: || || dominio-casa.org || float || port 1194 || dev-node /dev/net/tun || persist-tun || ifconfig 10.0.1.1 10.0.1.2 || comp-lzo || ping 15 || ping restart 120 || verb 3 || secret /etc/openvpn/clave.key || persist-key || route 192.168.2.0 255.255.255.0 || user nobody || group nogroup || chroot /var/empty Sólo por curiosidad: la red local del despacho es la 192.168.1.X y la de tu casa la 192.168.2.X ¿verdad? si no lo tienes al revés. || Y el de casa: || || remote aldiagestion.com || float || port 1194 || dev-node /dev/net/tun || persist-tun || ifconfig 10.0.1.2 10.0.1.1 || comp-lzo || ping 15 || ping-restart 120 || verb 3 || secret /etc/openvpn/clave.key || persist-key || route 192.168.1.0 255.255.255.0 || user nobody || group nogroup || chroot /var/empty || || Se me ocurre, que a lo mejor es porque el firewall no permite que entre en || la red local. No se, podría ser. ¿De qué firewall hablas? ¿del de casa? ¿tienes router en casa? ¿es una debian la que hace de router y firewall? En cuanto a la regla: iptables -A INPUT -i tun -p UDP --dport 1194 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT No tiene sentido: Lo que viene por el interfaz tun (que además NO será tun, será tun0 aunque el nodo sea /dev/net/tun) en realidad no viene por el puerto 1194. La cosa es: tú envías un paquete con destino la red local remota, el sistema lo enruta por un interfaz virtual (tun) que funcionará como funcione (es un paquete encriptado UDP por el puerto 1194), pero cuando el extremo lo recoge lo primero que hace es extraer el paquete original y luego llega a Iptables. Es decir, tras quitar el paquete UDP con destino puerto 1194 lo que queda es un paquete de lo que sea (un ping, un TCP...) que irá a un puerto X pero que a efectos prácticos viaja por el interfaz tun0, y en absoluto por el eth0. Así pues la única regla que debes poner en tu router-firewall-debian es que deje entrar lo que venga por tun0, que deje salir por tun0 y que permita el FORWARDING por tun0 (tanto para que la red local envíe paquetes como para que la red remota y el router remoto envíen paquetes a nuestra red local a través de la VPN. Justamente esto: # Permitimos conectar desde cualquier equipo de las redes a nuestro router por la VPN: -A INPUT -i tun+ -j ACCEPT # Permitimos conectar por la VPN desde el router al resto de routers y equipos de cada red: -A OUTPUT -o tun+ -j ACCEPT # Permitimos que equipos de las otras redes accedan a nuestra red: -A FORWARD -i tun+ -j ACCEPT # Permitimos que los equipos de nuestra red accedan a la VPN: -A FORWARD -o tun+ -j ACCEPT Si tienes cualquier duda no dudes en preguntar. -- y hasta aquí puedo leer...
Re: OpenVPN HOWTO (no me funciona).
El Martes, 20 de Diciembre de 2005 21:39, Iñaki escribió: No, esto no es cierto, aunque el tráfico de TUN vaya evidentemente sobre la única interfaz real de red que existe (eth0) para Iptables son dos interfaces totalmente independientes. No necesitas aceptar el tráfico al puerto 1194 en eth0, de hecho yo no lo admito y me funciona. Tan sólo debes permitir el INPUT, OUTPUT y FORWARD (tal vez -i y -o) por tun0. Otra cosa es que hablemos de un firewall por hardware, que sólo tiene un interfaz y en el que evidentemente sí que hay que abrir y redirigir el puerto 1194 al ordenador que está haciendo la VPN mediante OpenVPN. Si señor, esto es lo que me estaba fallando. -- Saludos. Pablo Jabber: bruli(at)myjabber(to)net
Re: OpenVPN HOWTO (no me funciona).
El Martes, 20 de Diciembre de 2005 21:39, Iñaki escribió: || Recomiendo encarecidamente la lectura de este manual de Iptables en || castellano, que es el mejor que he visto nunca y con el que se aprende || mucho. Lo pasé a PDF para imprimir (mi tiempo me llevó), si alguien lo || quiere en PDF que me lo pida. Y ahora es cuando pongo el enlace... http://iptables-tutorial.frozentux.net/spanish/chunkyhtml/index.html -- y hasta aquí puedo leer...
Re: OpenVPN HOWTO (no me funciona).
El Martes, 20 de Diciembre de 2005 21:49, Iñaki escribió: ¿De qué firewall hablas? ¿del de casa? No en el despacho. ¿tienes router en casa?. Si. Pero no me ha hecho falta tocar ningún puerto. ¿es una debian la que hace de router y firewall? En el despacho si. En cuanto a la regla: Justamente esto: # Permitimos conectar desde cualquier equipo de las redes a nuestro router por la VPN: -A INPUT -i tun+ -j ACCEPT # Permitimos conectar por la VPN desde el router al resto de routers y equipos de cada red: -A OUTPUT -o tun+ -j ACCEPT # Permitimos que equipos de las otras redes accedan a nuestra red: -A FORWARD -i tun+ -j ACCEPT # Permitimos que los equipos de nuestra red accedan a la VPN: -A FORWARD -o tun+ -j ACCEPT Es finalmente como la he dejado. Si tienes cualquier duda no dudes en preguntar. Gracias, pero tengo una duda. La red del despacho es 192.168.1.0 La red de casa es 192.168.2.0 En el despacho hay una DMZ con el servidor web y mail: 192.168.0.0 La cuestión es que ahora puedo hacer pings y acceder a la red de la red local del despacho (192.168.1.0), desde casa. Pero no puedo acceder a la DMZ. ¿Habría modo de poder acceder a ella con la vpn?. El interés que tenía en un principio de montar una vpn, es para dejar de leer el correo de mi servidor con un webmail desde casa. -- Saludos. Pablo Jabber: bruli(at)myjabber(to)net
Re: OpenVPN HOWTO (no me funciona).
El Martes, 20 de Diciembre de 2005 22:00, Pablo Braulio escribió: || El Martes, 20 de Diciembre de 2005 21:49, Iñaki escribió: || ¿De qué firewall hablas? ¿del de casa? || || No en el despacho. || || ¿tienes router en casa?. || || Si. Pero no me ha hecho falta tocar ningún puerto. || || ¿es una debian la que hace de router y firewall? || || En el despacho si. || || En cuanto a la regla: || || Justamente esto: || # Permitimos conectar desde cualquier equipo de las redes a nuestro || router por la VPN: || -A INPUT -i tun+ -j ACCEPT || # Permitimos conectar por la VPN desde el router al resto de routers y || equipos de cada red: || -A OUTPUT -o tun+ -j ACCEPT || # Permitimos que equipos de las otras redes accedan a nuestra red: || -A FORWARD -i tun+ -j ACCEPT || # Permitimos que los equipos de nuestra red accedan a la VPN: || -A FORWARD -o tun+ -j ACCEPT || || Es finalmente como la he dejado. || || Si tienes cualquier duda no dudes en preguntar. || || Gracias, pero tengo una duda. || || La red del despacho es 192.168.1.0 || La red de casa es 192.168.2.0 || En el despacho hay una DMZ con el servidor web y mail: 192.168.0.0 || || La cuestión es que ahora puedo hacer pings y acceder a la red de la red || local del despacho (192.168.1.0), desde casa. Pero no puedo acceder a la || DMZ. || || ¿Habría modo de poder acceder a ella con la vpn?. En DMZ ya me pierdo. ¿Desde tu despacho puedes hacer ping a la 192.168.0.X? En caso afirmativo entiendo que sólo tendrías que añadir otra línea en la configuración de OpenVPN en tu casa enrutando también lo que vaya a la 192.168.0.X a través del tun. Vamos, algo así: route 192.168.0.0 255.255.255.0 Y también recuerdo algo de una opción que permite que distintas VPNs con un punto en común se vean entre sí, cosa que depende de la configuración del punto común, aunque no recuerdo la opción, y de todas formas no es tu caso. || El interés que tenía en un principio de montar una vpn, es para dejar de || leer el correo de mi servidor con un webmail desde casa. -- y hasta aquí puedo leer...
Re: OpenVPN HOWTO (no me funciona).
El Martes, 20 de Diciembre de 2005 22:13, Iñaki escribió: En DMZ ya me pierdo. ¿Desde tu despacho puedes hacer ping a la 192.168.0.X? En caso afirmativo entiendo que sólo tendrías que añadir otra línea en la configuración de OpenVPN en tu casa enrutando también lo que vaya a la 192.168.0.X a través del tun. Vamos, algo así: route 192.168.0.0 255.255.255.0 Efectivamente, así funciona. Gracias -- Saludos. Pablo Jabber: bruli(at)myjabber(to)net
Re: OpenVPN HOWTO (no me funciona).
On Saturday 17 December 2005 20:07, Pablo Braulio wrote: El Sábado, 17 de Diciembre de 2005 14:29, Ricardo Frydman Eureka! escribió: Gracias al compañero Iñaki y a pedido del inmenso publico, se encuentra disponible el OpenVPN Howto en http://eureka-linux.com.ar/docs/openvpn.html Felicitaciones (y gracias!) a Iñaki y a disfrutarlo! Bueno pues siguiendo las indicaciones del howto, no consigo hacerlo funcionar. Intento conectar la red de mi casa con la del despacho, instalando openvpn en dos equipos con debian y kernel 2.6.12 y 2.6.14. Tengo puesto como modulo la opción del kernel TUN/TAP (en ambos): # ls /dev/net tun Siguiendo las indicaciones del how-to, al hacer /etc/init.d/openvpn start funcionar, pero en mi caso no es así. # /etc/init.d/openvpn start Starting virtual private network daemon: tunel(FAILED). Esto me ocurre en los dos equipos que hacen de extremos del tunel. En el despacho el equipo que tiene openvpn es el que hace de firewall. No hay router, está conectado a un modem cable de ono. Tiene puesta la regla en iptables: iptables -A INPUT -i tun -p UDP --dport 1194 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT Esto no es correcto, tienes que aceptar lo que venga del puerto 1194 en la interface real (por ejemplo eth0). Todo lo que venga de ese puerto se pasa a la interface virtual tunX, asi que dependiendo de tu firewall puede ser que tengas que añadir reglas para esa interface. Lo de ESTABLISHED Y RELATED no te va a funcionar, recuerda que el protocolo UDP no está orientado a conexión. Tendras que definir reglas para lo que entra y para lo que sale. El otro equipo es mi portátil que está detrás de un router. No se si debería abrir el puerto en el router o redireccionarlo a mi portatil, pues lo único que quiero es crear un tunel de mi portatil a la red del despacho. No a toda la red de mi casa. Según creo debería tener creada una interfaz (tun), que se mostrase al hacer ifconfig, pero esta no es creada. No se como hacerlo. Puede ser problema de que udev no te crea el dispositivo /dev/tunX. A mi me ocurría eso y haciendo un dpkg-recofigure openvpn te pregunta si quieres que lo cree, le dices que si, pruebas y nos cuentas. Un saludo. ¿Sabéis que puede estar fallando?. Saludos. Pablo Jabber: bruli(at)myjabber(to)net pgpxdgypUqFP5.pgp Description: PGP signature
Re: OpenVPN HOWTO (no me funciona).
Puede ser problema de que udev no te crea el dispositivo /dev/tunX. A mi me ocurría eso y haciendo un dpkg-recofigure openvpn te pregunta si quieres que lo cree, le dices que si, pruebas y nos cuentas. Esto es lo único que muestra dpkg-reconfigure openvpn: ┌┤ Configuración de openvpn ├─┐ │ │ │ In some cases you may be upgrading openvpn in a remote server using a VPN to do so. The upgrade │ │ process stops the running daemon before installing the new version, in that case you may lose your │ │ connection, the upgrade may be interrupted, and you may not be able to reconnect to the remote │ │ host. │ │ │ │ Unless you do your upgrades locally, it is advised NOT to stop openvpn before it gets upgraded. │ │ The installation process will restart it once it's done. │ │ │ │ This option will take effect in your next upgrade. │ │ │ │ Would you like to stop openvpn before it gets upgraded? │ │ │ │ Sí No No me pregunta nada de crear tun. -- Saludos. Pablo Jabber: bruli(at)myjabber(to)net
Re: OpenVPN HOWTO
El Sábado, 17 de Diciembre de 2005 14:29, Ricardo Frydman Eureka! escribió: Gracias al compañero Iñaki y a pedido del inmenso publico, se encuentra disponible el OpenVPN Howto en http://eureka-linux.com.ar/docs/openvpn.html Felicitaciones (y gracias!) a Iñaki y a disfrutarlo! Casualmente lo estoy usando, y tengo un par de problemillas que en un ratito posteare. -- Saludos. Pablo Jabber: bruli(at)myjabber(to)net
Re: OpenVPN HOWTO (no me funciona).
El Sábado, 17 de Diciembre de 2005 14:29, Ricardo Frydman Eureka! escribió: Gracias al compañero Iñaki y a pedido del inmenso publico, se encuentra disponible el OpenVPN Howto en http://eureka-linux.com.ar/docs/openvpn.html Felicitaciones (y gracias!) a Iñaki y a disfrutarlo! Bueno pues siguiendo las indicaciones del howto, no consigo hacerlo funcionar. Intento conectar la red de mi casa con la del despacho, instalando openvpn en dos equipos con debian y kernel 2.6.12 y 2.6.14. Tengo puesto como modulo la opción del kernel TUN/TAP (en ambos): # ls /dev/net tun Siguiendo las indicaciones del how-to, al hacer /etc/init.d/openvpn start funcionar, pero en mi caso no es así. # /etc/init.d/openvpn start Starting virtual private network daemon: tunel(FAILED). Esto me ocurre en los dos equipos que hacen de extremos del tunel. En el despacho el equipo que tiene openvpn es el que hace de firewall. No hay router, está conectado a un modem cable de ono. Tiene puesta la regla en iptables: iptables -A INPUT -i tun -p UDP --dport 1194 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT El otro equipo es mi portátil que está detrás de un router. No se si debería abrir el puerto en el router o redireccionarlo a mi portatil, pues lo único que quiero es crear un tunel de mi portatil a la red del despacho. No a toda la red de mi casa. Según creo debería tener creada una interfaz (tun), que se mostrase al hacer ifconfig, pero esta no es creada. No se como hacerlo. ¿Sabéis que puede estar fallando?. Saludos. Pablo Jabber: bruli(at)myjabber(to)net
Re: Re: openvpn
Hola, si no teneis el /dev/net/tun, primero teneis que crearlo, si no, no os funcionará el driver tun/tap. mknod /dev/net/tun c 10 200 Con esto os funcionará;p Pone unused, porque aún no has arrancado nada que lo utilice, como pro ejemplo openvpn. Un saludo Raúl bueno no lo he compilado, pero cargo el modulo, coorse:~# lsmod Module Size Used byNot tainted tun 3840 0 (unused) soundcore 3236 0 (autoclean) lo que si se me hace raro es que me dice unused ?? o que de plano a recompilar el kernel gracias Mensaje citado por Juan Orti [EMAIL PROTECTED]: El kernel tiene que tener soporte para los dispositivos tun/tap ¿lo has compilado tu? ¿has cargado el modulo?
Re: openvpn
El Viernes, 3 de Octubre de 2003 19:07, Bernardo Mejia Paredes escribió: que tal lista, estoy intentando poner una pequeña vpn, con openvpn, tengo una maquina con slackware 9 y la otra con debian woody, en la maquina debian ejecuto mi comando de openvpn --dev tun1 con otros paramatros y me sale esto Cannot open TUN/TAP dev /dev/net/tun: No such file or directory (errno=2) Exiting me voy a /dev/net y exactamente no hay nada de tun, alguna sugerencia de como poder solucionar este problema El kernel tiene que tener soporte para los dispositivos tun/tap ¿lo has compilado tu? ¿has cargado el modulo? Saludos. -- Jabber: [EMAIL PROTECTED] PGP key 1024D/1CE29D5F 2003-09-05 Fingerprint: A191 554E 3466 BDF9 2176 64FA B4C6 A8AE 1CE2 9D5F pgp6FfY2KiKeq.pgp Description: signature
Re: openvpn
bueno no lo he compilado, pero cargo el modulo, coorse:~# lsmod Module Size Used byNot tainted tun 3840 0 (unused) soundcore 3236 0 (autoclean) lo que si se me hace raro es que me dice unused ?? o que de plano a recompilar el kernel gracias Mensaje citado por Juan Orti [EMAIL PROTECTED]: El kernel tiene que tener soporte para los dispositivos tun/tap ¿lo has compilado tu? ¿has cargado el modulo? - This mail sent through IMP: http://horde.org/imp/
Re: openvpn
El Viernes, 3 de Octubre de 2003 22:36, Bernardo Mejia Paredes escribió: bueno no lo he compilado, pero cargo el modulo, coorse:~# lsmod Module Size Used byNot tainted tun 3840 0 (unused) soundcore 3236 0 (autoclean) lo que si se me hace raro es que me dice unused ?? o que de plano a recompilar el kernel gracias Yo recuerdo haber usado el tun/tap alguna vez cuando probaba el UML. Ahora no se lo que puede fallar. He mirado y yo tampoco tengo /dev/net/tun si averiguo algo te lo hare saber. Chao. -- Jabber: [EMAIL PROTECTED] PGP key 1024D/1CE29D5F 2003-09-05 Fingerprint: A191 554E 3466 BDF9 2176 64FA B4C6 A8AE 1CE2 9D5F pgpIlT62gOXxo.pgp Description: signature