[FUG-BR] [OT] Ajuda a detectar problema em VPN (OpenVPN)
Senhores, Tenho um servidor com OpenVPN (FreeBSD 7.0/i386) rodando em produção a uns 2 anos (20 clientes +-)... Os clientes são tipos variados... alguns usando OpenVPN Client no Windows Server 2003, outros no XP, outros pfSense (tenho vários XP's como roteador de VPN rodando lindamente ) Recente um dos clientes mudou de provedor, e acredito que a rota da VPN está conflitando com a rede do provedor... pois não fiz mudança alguma e assim que a VPN estabelece a conexão internet cai... (e conseqüentemente a VPN =) No cliente uso Windows XP SP2 (no flames please =)... [FreeBSD] Classe de rede do OpenVPN no FreeBSD: 10.8.0.0/24 Classe de rede LAN: 192.168.0.0/24 [Windows XP/Cliente] Classe de rede WAN/Internet do cliente: 10.10.0.0/24 Classe de rede LAN: 192.168.2.0/24 Já calculei essas redes, e não vejo como isso conflita... SE NÃO ME ENGANO tem um bug no XP nesses cálculos de rede... mas também não faço idéia de como resolver.. Lembrem: não é configuração errada! Esse cliente está em produção a mais de 2 anos... a ÚNICA mudança recente foi de provedor, no qual houve mudança de rotas, classes de rede, etc. Sugestões? Mais alguma informação para ajudar na análise? -- Welkson Renny de Medeiros Desenvolvimento / Gerência de Redes Focus Automação Comercial FreeBSD Community Member - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OT] Ajuda a detectar problema em VPN (OpenVPN)
1 - Faça analise com tcpdump/ethereal tanto no cliente quanto no servidor, sobre até onde vão os pacotes, se chegam, etc.. 2 - Aumente o verbose do seu openvpn e verifique se não há erros de conexão, etcc. 3 - Verifique as rotas no cliente (netstat -rn ou route print) Poste os logs aqui! Em 19 de março de 2010 10:59, Welkson Renny de Medeiros welk...@focusautomacao.com.br escreveu: Senhores, Tenho um servidor com OpenVPN (FreeBSD 7.0/i386) rodando em produção a uns 2 anos (20 clientes +-)... Os clientes são tipos variados... alguns usando OpenVPN Client no Windows Server 2003, outros no XP, outros pfSense (tenho vários XP's como roteador de VPN rodando lindamente ) Recente um dos clientes mudou de provedor, e acredito que a rota da VPN está conflitando com a rede do provedor... pois não fiz mudança alguma e assim que a VPN estabelece a conexão internet cai... (e conseqüentemente a VPN =) No cliente uso Windows XP SP2 (no flames please =)... [FreeBSD] Classe de rede do OpenVPN no FreeBSD: 10.8.0.0/24 Classe de rede LAN: 192.168.0.0/24 [Windows XP/Cliente] Classe de rede WAN/Internet do cliente: 10.10.0.0/24 Classe de rede LAN: 192.168.2.0/24 Já calculei essas redes, e não vejo como isso conflita... SE NÃO ME ENGANO tem um bug no XP nesses cálculos de rede... mas também não faço idéia de como resolver.. Lembrem: não é configuração errada! Esse cliente está em produção a mais de 2 anos... a ÚNICA mudança recente foi de provedor, no qual houve mudança de rotas, classes de rede, etc. Sugestões? Mais alguma informação para ajudar na análise? -- Welkson Renny de Medeiros Desenvolvimento / Gerência de Redes Focus Automação Comercial FreeBSD Community Member - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Giancarlo Rubio - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OT] Ajuda a detectar problema em VPN (OpenVPN)
Em Fri, 19 Mar 2010 10:59:18 -0300 Welkson Renny de Medeiros welk...@focusautomacao.com.br, conhecido consumidor/usuário de drogas (Windows e BigMac com Coke) escreveu: Sugestões? Mais alguma informação para ajudar na análise? sugiro comparar o log do cliente QUE FUNCIONE com o do que NÃO funciona. Também analisar as informações do log, se possível colocando o debug level em 9, sem esquecer de definir que é para acrescentar aos logs e não sobrepor (man openvpn/log level) -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free A guerra é o maior dos crimes, mas não existe agressor que não disfarce seu crime com pretexto de justiça. (Voltaire) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OT] Ajuda a detectar problema em VPN (OpenVPN)
O provedor é via radio ?? pode esta bloqueando a porta. Ja aconteceu comigo aqui.. Em 19 de março de 2010 11:13, irado furioso com tudo ir...@bsd.com.br escreveu: Em Fri, 19 Mar 2010 10:59:18 -0300 Welkson Renny de Medeiros welk...@focusautomacao.com.br, conhecido consumidor/usuário de drogas (Windows e BigMac com Coke) escreveu: Sugestões? Mais alguma informação para ajudar na análise? sugiro comparar o log do cliente QUE FUNCIONE com o do que NÃO funciona. Também analisar as informações do log, se possível colocando o debug level em 9, sem esquecer de definir que é para acrescentar aos logs e não sobrepor (man openvpn/log level) -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free A guerra é o maior dos crimes, mas não existe agressor que não disfarce seu crime com pretexto de justiça. (Voltaire) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Marcio Antunes Powered by FreeBSD == * Windows: Where do you want to go tomorrow? * Linux: Where do you want to go today? * FreeBSD: Are you, guys, comming or what? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OT] Ajuda a detectar problema em VPN (OpenVPN)
Giancarlo Rubio escreveu: 1 - Faça analise com tcpdump/ethereal tanto no cliente quanto no servidor, sobre até onde vão os pacotes, se chegam, etc.. 2 - Aumente o verbose do seu openvpn e verifique se não há erros de conexão, etcc. 3 - Verifique as rotas no cliente (netstat -rn ou route print) Poste os logs aqui! Em 19 de março de 2010 10:59, Welkson Renny de Medeiros Gian, 1- Tentando aqui no cliente... no FreeBSD é mais complicado... muito tráfego... preciso refinar os filtros (tcpdump dst host 10.8.0.1, etc.. tentando) 2- Já está em 7 3- Rotas e logs do openvpn nos links abaixo. http://intranet.focusautomacao.com.br/publico/openvpn/fug_bsd.txt http://intranet.focusautomacao.com.br/publico/fug_windows.txt http://intranet.focusautomacao.com.br/publico/cliente_openvpn_log.zip Irado: conforme expliquei, estava funcionando até trocar de provedor! Não houve qualquer mudança no client ou no server... a VPN chega a estabelecer... (ipconfig mostra o ip 10.8.0.xxx), depois derruba a internet... (deixo pingando um site qualquer, e assim que a VPN estabelece a conexão cai). Márcio: é provedor a Rádio... mas não é bloqueio, pois chego a estabelecer a conexão... depois que o OpenVPN seta as rotas é que derruba tudo. Como expliquei no e-mail anterior, eu acho que o Windows SE ENROLA quando percebe que existem 2 redes começando com 10 (10.8 do OpenVPN, e 10.10 do rede do provedor)... e acaba perdendo o gateway... não sei ainda. -- Welkson Renny de Medeiros Desenvolvimento / Gerência de Redes Focus Automação Comercial FreeBSD Community Member - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OT] Ajuda a detectar problema em VPN (OpenVPN)
Veja se vc mudou os certificados.. Em 19 de março de 2010 11:42, Welkson Renny de Medeiros welk...@focusautomacao.com.br escreveu: Giancarlo Rubio escreveu: 1 - Faça analise com tcpdump/ethereal tanto no cliente quanto no servidor, sobre até onde vão os pacotes, se chegam, etc.. 2 - Aumente o verbose do seu openvpn e verifique se não há erros de conexão, etcc. 3 - Verifique as rotas no cliente (netstat -rn ou route print) Poste os logs aqui! Em 19 de março de 2010 10:59, Welkson Renny de Medeiros Gian, 1- Tentando aqui no cliente... no FreeBSD é mais complicado... muito tráfego... preciso refinar os filtros (tcpdump dst host 10.8.0.1, etc.. tentando) 2- Já está em 7 3- Rotas e logs do openvpn nos links abaixo. http://intranet.focusautomacao.com.br/publico/openvpn/fug_bsd.txt http://intranet.focusautomacao.com.br/publico/fug_windows.txt http://intranet.focusautomacao.com.br/publico/cliente_openvpn_log.zip Irado: conforme expliquei, estava funcionando até trocar de provedor! Não houve qualquer mudança no client ou no server... a VPN chega a estabelecer... (ipconfig mostra o ip 10.8.0.xxx), depois derruba a internet... (deixo pingando um site qualquer, e assim que a VPN estabelece a conexão cai). Márcio: é provedor a Rádio... mas não é bloqueio, pois chego a estabelecer a conexão... depois que o OpenVPN seta as rotas é que derruba tudo. Como expliquei no e-mail anterior, eu acho que o Windows SE ENROLA quando percebe que existem 2 redes começando com 10 (10.8 do OpenVPN, e 10.10 do rede do provedor)... e acaba perdendo o gateway... não sei ainda. -- Welkson Renny de Medeiros Desenvolvimento / Gerência de Redes Focus Automação Comercial FreeBSD Community Member - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Marcio Antunes Powered by FreeBSD == * Windows: Where do you want to go tomorrow? * Linux: Where do you want to go today? * FreeBSD: Are you, guys, comming or what? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OT] Ajuda a detectar problema em VPN (OpenVPN)
Welkson Renny de Medeiros escreveu: Giancarlo Rubio escreveu: 1 - Faça analise com tcpdump/ethereal tanto no cliente quanto no servidor, sobre até onde vão os pacotes, se chegam, etc.. 2 - Aumente o verbose do seu openvpn e verifique se não há erros de conexão, etcc. 3 - Verifique as rotas no cliente (netstat -rn ou route print) Poste os logs aqui! Em 19 de março de 2010 10:59, Welkson Renny de Medeiros Senhores, Tem um detalhe que atentei agora que pode fazer diferença... O provedor usa Mikrotik HotSpot (portal captivo)... Meu OpenVPN está configurado para rodar via TCP (muitos séculos atrás comentei sobre o route-to falhar com UDP - mais de um link, etc). O que percebo é que ASSIM que a VPN conecta, o hotspot DERRUBA minha sessão... joga novamente para a tela de SENHA. Isso pode ser alguma frescura na análise do tráfego TCP por parte do mikrotik vou derrubar tudo aqui, alterar para UDP e fazer o teste. Conto já para vocês o resultado. -- Welkson Renny de Medeiros Desenvolvimento / Gerência de Redes Focus Automação Comercial FreeBSD Community Member - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OT] Ajuda a detectar problema em VPN (OpenVPN)
Welkson Renny de Medeiros escreveu: Senhores, Tem um detalhe que atentei agora que pode fazer diferença... O provedor usa Mikrotik HotSpot (portal captivo)... Meu OpenVPN está configurado para rodar via TCP (muitos séculos atrás comentei sobre o route-to falhar com UDP - mais de um link, etc). O que percebo é que ASSIM que a VPN conecta, o hotspot DERRUBA minha sessão... joga novamente para a tela de SENHA. Isso pode ser alguma frescura na análise do tráfego TCP por parte do mikrotik vou derrubar tudo aqui, alterar para UDP e fazer o teste. Conto já para vocês o resultado. Pessoal, Conforme expliquei acima, fiz o teste com UDP e a VPN não derrubou a internet... é alguma frescura no Mikrotik HotSpot mesmo... vou tentar contato com o provedor para desabilitar o portal para este cliente em específico... porque não posso deixar como UDP. Muito obrigado a todos pelas dicas e mais uma dica boa para a base de conhecimento do FUG =) -- Welkson Renny de Medeiros Desenvolvimento / Gerência de Redes Focus Automação Comercial FreeBSD Community Member - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd