Re: [FUG-BR] RES: OpenVPN
Já respondi isso na lista antes... tenho 1 matriz e 5 filiais todas com adsl ou radio, ip dinamico usando no-ip e consigo acessar todas as estações de todos os pontos partindo de qualquer estação da um dos pontos conectados a vpn, funciona que eh uma maravilha, inclusive o proprio openvpn se auto-reconecta no caso de uma queda da conexão com a internet mesmo do servidor central, o grande porem é que cada empresa (ponto) de vpn tem um server roteando uma rede classe C diferente das demais, por exemplo, a matriz é a rede 192.168.1.0/24. a filial 1 é 192.168.2.0/24 a filial 2 192.168.3.0/24 e assim por diante, nao estou usando o openvpn em modo bridge, o que tambem seria uma saida...mais de qualquer forma deixo aqui a mesma resposta que deixei no outro topico. Acho que finalmente entendi o que vc quer, no caso vc tem uma rede e nessa rede naum tem servidor dedicado bsd ou linux, então vc quer que uma das maquinas windows se conecte com o cliente openvpn for windows e de acesso a todas as maquinas da rede eh isso se sim naum tenho ideia de como fazer, no meu caso tambem estou recebendo mascaras 252 nas interfaces da vpn (tun/tap), o diferencial é q distribuo as rotas com o server vpn e em cada rede uso um servidor bsd q roteia os pacotes da rede atravez da rede vpn da uma olhada nos meus arquivos de configuração server - bsd # Interface da VPN dev tun # Ouvir em que endereço (Esta comentado ouvirá em todos os ips) ;local a.b.c.d # Ouvir em que porta port 1194 # Protocolo TCP ou UDP proto udp # Tornar o servidor de VPN seu gateway padráo para a internet # Rede e Classe de Rede entre Clientes e Servidor server 10.10.1.0 255.255.255.0 # Arquivo aonde fica armazenado os ips dos clientes ifconfig-pool-persist ipp.txt # Certificados para a autenticação da VPN ca /usr/local/etc/openvpn/easy-rsa/keys/ca.crt cert /usr/local/etc/openvpn/easy-rsa/keys/girassol.crt key /usr/local/etc/openvpn/easy-rsa/keys/girassol.key dh /usr/local/etc/openvpn/easy-rsa/keys/dh1024.pem # As rotas que o cliente deve pegar #configuracao dos terminais clientes ** client-config-dir ccd route 192.168.2.0 255.255.255.0 client-to-client push route 192.168.2.0 255.255.255.0 push route 192.168.1.0 255.255.255.0 client-config-dir ccd # Usar compressão na VPN comp-lzo # Reestabelece a conexão se por ventura a mesma falhar ping-timer-rem persist-tun persist-key # Rodar o OpenVPN como Daemon mas com privilégios de usuario nobody group nobody daemon # não repetir muitas vezes o mesmo erro mute 20 keepalive 10 120 client-to-client **dentro do diretório ccd existe um arquivo para cada cliente deixa eu explicar quando vc cria as chaves (filial1.key, filial2.key etc...) tem um campo assim Organizational Unit Name (eg, section) []: onde vc coloca o nome da unidade, da filial etc exmplo: Organizational Unit Name (eg, section) []: TRM_MARAVILHA essa chave vai para a filial MARAVILHA, onde a rede interna é 192.168.2.0/24 a rede atraz do servidor da matriz é 192.168.1.0/24 ate ai blz.. o importante é que cada filial tenha um nome diferente nesse campo, pois isso identificara cada uma na hora do servidor atribuir as rotas dos clientes agora voltando ao diretorio ccd, como falei... dentro desse diretorio vai ter um arquivo para cada cliente.. no exemplo acima teriamos o arquivo TRM_MARAVILHA com o seguinte conteúdo: iroute 192.168.2.0 255.255.255.0 isso faz com q o proprio servidor vpn estabeleça uma rota para a rede 192.168.2.0/24 sempre q o cliente TRM_MARAVILHA se conectar... openvpn.conf filial client remote ip.ser.ver.vpn 1194 dev tun comp-lzo ca ca.crt cert maravilha.crt key maravilha.key group nobody daemon verb 3 mute-replay-warnings mute 20 assim qq maquina da rede 192.168.2.0/24 consegue acessar qualquer maquina da rede 192.168.1.0/24 atravez do ip, caso vc queira seguir esse exemplo vc pode como jah foi dito antes usar um server wins em cada ponta para a resolução de nomes, mais ai naum sei como te explicar, pois naum cheguei a esse ponto nao sei se me fiz entender, mais ta ai, qq coisa entra em contato novamente... On 2/28/08, Cobausque [EMAIL PROTECTED] wrote: Consegui resolver meu problema com o Vpn .. era somente um ajuste no meu firewall que precisei fazer com relação a interface tun0 após modificar uma estação win Xp passou a funcionar na rede normalmente uma outra maquina que Tb é XP não tava dando certo mas notei que era aquele firewall do XP que tava atrapalhando desativei ele e passou a funcionar.. mas pra resolver o problema da mascara pra ficar mais fácil criei atalhos de rede onde o usuário clica e a maquina consegue encontrar tranquilamente as outras que estão na outra ponta do vpn através destes atalhos. E não estou com problemas mais na minha rede,, esta tudo beleza. No mais obrigado .. !!! -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Welkson Renny de Medeiros Enviada em: quinta-feira, 28 de fevereiro de 2008 15:42 Para: Lista
Re: [FUG-BR] Res: OpenVPN - Não conecta (sem rot a)
ops ops ops olha só, ele tá tentando conectar na porta 5000 e não na 1194... -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Original Message - From: Jose Augusto [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Monday, September 17, 2007 11:34 AM Subject: Re: [FUG-BR]Res: OpenVPN - Não conecta (sem rota) necessariamente é isto aqui que acontece quando eu tento conectar a filial na matriz Mon Sep 17 11:29:32 2007 TCP: connect to 189.44.63.18:5000 failed, will try again in 5 seconds: Connection timed out Mon Sep 17 11:29:47 2007 TCP: connect to 189.44.63.18:5000 failed, will try again in 5 seconds: Connection timed out Mon Sep 17 11:30:02 2007 TCP: connect to 189.44.63.18:5000 failed, will try again in 5 seconds: Connection timed out Mon Sep 17 11:30:17 2007 TCP: connect to 189.44.63.18:5000 failed, will try again in 5 seconds: Connection timed out Mon Sep 17 11:30:32 2007 TCP: connect to 189.44.63.18:5000 failed, will try again in 5 seconds: Connection timed out Mon Sep 17 11:30:47 2007 TCP: connect to 189.44.63.18:5000 failed, will try again in 5 seconds: Connection timed out Mon Sep 17 11:31:02 2007 TCP: connect to 189.44.63.18:5000 failed, will try again in 5 seconds: Connection timed out Mon Sep 17 11:31:17 2007 TCP: connect to 189.44.63.18:5000 failed, will try again in 5 seconds: Connection timed out Em 17/09/07, Jose Augusto [EMAIL PROTECTED] escreveu: Não aparece nenhuma mensagem de erro, apenas o listening Engraçado eu não consigo conectar na porta nem via telnet, será este o problema? Mas...eu abri as regras no firewall e tal. Vlws Em 17/09/07, Leonardo Santos [EMAIL PROTECTED] escreveu: Qual mensagem aparece quando vc usa o comando openvpn --config sever.conf? - Mensagem original De: Jose Augusto [EMAIL PROTECTED] Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Enviadas: Segunda-feira, 17 de Setembro de 2007 10:40:09 Assunto: [FUG-BR] OpenVPN - Não conecta (sem rota) Galera, blz? To com um puta problema na vpn aqui, instalei o openvpn para fechar uma conexão entre matriz e filial, no entanto, eles não conseguem estabelecer conexão :( a matriz está assim interface interna 10.10.50.233 netmask 255.255.0.0 interface externa 189.x.x.x netmask 255.255.255.248 na filial assim interface interna 10.10.120.5 netmask 255.255.255.0 interface externa 189.x.x.x netmask 255.255.255.248 Os dois conseguem se pingar direto pelo IP público, blz? No servidor da matriz o arquivo de configuração esta assim: # TUN para conexão dev tun proto tcp-server # ip da VPN na matriz 192.168.0.1, ip da filial 192.168.0.2 ifconfig 192.168.0.1 192.168.0.2 # Acessa os arquivos de configuração cd /etc/openvpn # Criptografia ativada! secret chave #daemon # Porta para conexao port 1194 # Usuario que starta o servico user nobody # Usar biblioteca Lzo comp-lzo #Subir as rotas route 10.10.0.0 255.255.0.0 #Manter conexao ping-timer-rem persist-tun # Manter a conexao com a filial; 10 = segundos ping 10 # log verb 3 Na filial o arquivo esta assim # TUN para conexão dev tun dev tun # IP da VPN na matriz 192.168.0.1 e ip da filial 192.168.0.2 ifconfig 192.168.0.2 192.168.0.1 proto tcp-client # IP da Matriz remote 189.x.x.18 1194 # Acessa os arquivos de configuraç cd /etc/openvpn # Criptografia ativada! secret chave #daemon #subir rotas #up ./rotas # Porta para conexão port 1194 # Usuario que roda o serviço user nobody # Usar biblioteca Lzo comp-lzo # Manter a conexao com a matriz ping 10 # log verb 3 ~ Já existem regras no firewall para liberação destas portas :) No entanto eu rodo no servidor e fica assim: Mon Sep 17 05:37:09 2007 WARNING: --ping should normally be used with --ping-restart or --ping-exit Mon Sep 17 05:37:09 2007 WARNING: you are using user/group/chroot without persist-key/persist-tun -- this may cause restarts to fail Mon Sep 17 05:37:09 2007 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key Mon Sep 17 05:37:09 2007 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Mon Sep 17 05:37:09 2007 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key Mon Sep 17 05:37:09 2007 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Mon Sep 17 05:37:09 2007 LZO compression initialized Mon Sep 17 05:37:10 2007 TUN/TAP device tun0 opened
Re: [FUG-BR] Res: OpenVPN - Não conecta (sem rot a)
Estão sim, eu coloquei em ambos os lados a porta 5000 como TCP e depois voltei para 1194 como UDP :) Abs[] Em 17/09/07, Mauricio [EMAIL PROTECTED] escreveu: Mon Sep 17 11:29:32 2007 TCP: connect to 189.44.63.18:5000 failed, will try Olá, boa tarde Não entendo muito de FreeBSD, mas pelas mensagens de erro você está tentando conectar na porta 5000, mas em sua configuração está usando a porta 1194. Verifique nos arquivos de configuração se a porta usada tanto do lado servidor quanto no lado cliente estão corretas. Espero ter ajudado. Até mais, Mauricio - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- -- Segurança da Informação se faz com tecnologia, processos e pessoas, e a formação destas exige mais que uma seqüência de treinamentos. Porque você treina macacos. Pessoas,você educa. Se a gente se lança sem vigor, sete de dez ações tomadas não dão certo. É extremamente difícil tomar decisões num estado de agitação. Por outro lado, se sem se preocupar com as conseqüências menores, abordamos os problemas com o espíito afiado como uma lâmina, sempre encontramos a solução em menos tempo do que é necessáio para respirar sete vezes. Nabeshima Naoshige (1538-1618) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Res: OpenVPN - Não conecta (sem rot a)
Mon Sep 17 11:29:32 2007 TCP: connect to 189.44.63.18:5000 failed, will try Olá, boa tarde Não entendo muito de FreeBSD, mas pelas mensagens de erro você está tentando conectar na porta 5000, mas em sua configuração está usando a porta 1194. Verifique nos arquivos de configuração se a porta usada tanto do lado servidor quanto no lado cliente estão corretas. Espero ter ajudado. Até mais, Mauricio - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Res: OpenVPN - Não conecta (sem rot a)
quando fizero tutorial me avisa, exatamente agora estou instalando dois server que irão funcionar desse jeito. =p []' Lucas. Em 17/09/07, Jose Augusto [EMAIL PROTECTED] escreveu: galera consegui!! Faltava uma rota de NAT para compartilhar a internet ai eu consegui pingar, desabilitei algumas coisas e foi beleza!! Depois eu crio um tutorial!!! Vlws Em 17/09/07, Jose Augusto [EMAIL PROTECTED] escreveu: Estão sim, eu coloquei em ambos os lados a porta 5000 como TCP e depois voltei para 1194 como UDP :) Abs[] Em 17/09/07, Mauricio [EMAIL PROTECTED] escreveu: Mon Sep 17 11:29:32 2007 TCP: connect to 189.44.63.18:5000 failed, will try Olá, boa tarde Não entendo muito de FreeBSD, mas pelas mensagens de erro você está tentando conectar na porta 5000, mas em sua configuração está usando a porta 1194. Verifique nos arquivos de configuração se a porta usada tanto do lado servidor quanto no lado cliente estão corretas. Espero ter ajudado. Até mais, Mauricio - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- -- Segurança da Informação se faz com tecnologia, processos e pessoas, e a formação destas exige mais que uma seqüência de treinamentos. Porque você treina macacos. Pessoas,você educa. Se a gente se lança sem vigor, sete de dez ações tomadas não dão certo. É extremamente difícil tomar decisões num estado de agitação. Por outro lado, se sem se preocupar com as conseqüências menores, abordamos os problemas com o espíito afiado como uma lâmina, sempre encontramos a solução em menos tempo do que é necessáio para respirar sete vezes. Nabeshima Naoshige (1538-1618) -- -- Segurança da Informação se faz com tecnologia, processos e pessoas, e a formação destas exige mais que uma seqüência de treinamentos. Porque você treina macacos. Pessoas,você educa. Se a gente se lança sem vigor, sete de dez ações tomadas não dão certo. É extremamente difícil tomar decisões num estado de agitação. Por outro lado, se sem se preocupar com as conseqüências menores, abordamos os problemas com o espíito afiado como uma lâmina, sempre encontramos a solução em menos tempo do que é necessáio para respirar sete vezes. Nabeshima Naoshige (1538-1618) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Res: OpenVPN - Não conecta (sem rot a)
galera consegui!! Faltava uma rota de NAT para compartilhar a internet ai eu consegui pingar, desabilitei algumas coisas e foi beleza!! Depois eu crio um tutorial!!! Vlws Em 17/09/07, Jose Augusto [EMAIL PROTECTED] escreveu: Estão sim, eu coloquei em ambos os lados a porta 5000 como TCP e depois voltei para 1194 como UDP :) Abs[] Em 17/09/07, Mauricio [EMAIL PROTECTED] escreveu: Mon Sep 17 11:29:32 2007 TCP: connect to 189.44.63.18:5000 failed, will try Olá, boa tarde Não entendo muito de FreeBSD, mas pelas mensagens de erro você está tentando conectar na porta 5000, mas em sua configuração está usando a porta 1194. Verifique nos arquivos de configuração se a porta usada tanto do lado servidor quanto no lado cliente estão corretas. Espero ter ajudado. Até mais, Mauricio - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- -- Segurança da Informação se faz com tecnologia, processos e pessoas, e a formação destas exige mais que uma seqüência de treinamentos. Porque você treina macacos. Pessoas,você educa. Se a gente se lança sem vigor, sete de dez ações tomadas não dão certo. É extremamente difícil tomar decisões num estado de agitação. Por outro lado, se sem se preocupar com as conseqüências menores, abordamos os problemas com o espíito afiado como uma lâmina, sempre encontramos a solução em menos tempo do que é necessáio para respirar sete vezes. Nabeshima Naoshige (1538-1618) -- -- Segurança da Informação se faz com tecnologia, processos e pessoas, e a formação destas exige mais que uma seqüência de treinamentos. Porque você treina macacos. Pessoas,você educa. Se a gente se lança sem vigor, sete de dez ações tomadas não dão certo. É extremamente difícil tomar decisões num estado de agitação. Por outro lado, se sem se preocupar com as conseqüências menores, abordamos os problemas com o espíito afiado como uma lâmina, sempre encontramos a solução em menos tempo do que é necessáio para respirar sete vezes. Nabeshima Naoshige (1538-1618) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Openvpn X Ipsec
Tentei instalar aqui em um FreeBSD 4.11 o racoon2 e obtive erro na hora do help2man Como resolver? O meu kernel já está com as opções de IPSEC etc Obrigado On 6/26/07, Renato Frederick [EMAIL PROTECTED] wrote: Ipsec é padrão de mercado, você poderá utilizá-la para fechar um túnel encriptado e autenticado entre um bsd e um cisco, um checkpoint e um Linux, e por aí vai, praticamente todas as aplicações respeitáveis de segurança usam ipsec. O problema está aí, como é um padrão, há algumas estripulias que não ficam bem no ipsec, ex, túneis com pontas com IP dinâmicos, necessidade de utilizar udp ou tcp ou ainda repassagem de broadcast e por ai vai. Se o cenário do cliente tiver alguma peculiaridade, talvez o openvpn seja mais fácil manter. Além do que o Aristeu falou, openvpn tem cliente desde solaris até Windows XP :-) -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Aristeu Gil Alves Jr Enviada em: segunda-feira, 25 de junho de 2007 23:20 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] Openvpn X Ipsec Acho o OpenVPN mais portável... digo, vc pode usar com mais facilidade nas diferentes localidades remotas por rodar em cima de TCP/UDP. Tem até opção de proxy, quando usando TCP, facilitando ainda mais a vida do vivente. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Openvpn X Ipsec
Primeiro, vc pega uma galinha preta, 2 velas vermelhas (pq eh da cor do beastie), 3 chumaços de salsinha e vai pra encruzilhada.. e faz a dança da adivinhação... Pq soh se eu fosse vidente ou fizesse uma macumba pra descobrir o erro.. Vc precisa mandar o erro rapaz, senaum fica impossivel ajudar... Manda mais informações ae, cola aqui os erros de compilação, poe as versões tbm.. tenta atualizar o ports... Abraços Denis Granato wrote: Tentei instalar aqui em um FreeBSD 4.11 o racoon2 e obtive erro na hora do help2man Como resolver? O meu kernel já está com as opções de IPSEC etc Obrigado On 6/26/07, Renato Frederick [EMAIL PROTECTED] wrote: Ipsec é padrão de mercado, você poderá utilizá-la para fechar um túnel encriptado e autenticado entre um bsd e um cisco, um checkpoint e um Linux, e por aí vai, praticamente todas as aplicações respeitáveis de segurança usam ipsec. O problema está aí, como é um padrão, há algumas estripulias que não ficam bem no ipsec, ex, túneis com pontas com IP dinâmicos, necessidade de utilizar udp ou tcp ou ainda repassagem de broadcast e por ai vai. Se o cenário do cliente tiver alguma peculiaridade, talvez o openvpn seja mais fácil manter. Além do que o Aristeu falou, openvpn tem cliente desde solaris até Windows XP :-) -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Aristeu Gil Alves Jr Enviada em: segunda-feira, 25 de junho de 2007 23:20 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] Openvpn X Ipsec Acho o OpenVPN mais portável... digo, vc pode usar com mais facilidade nas diferentes localidades remotas por rodar em cima de TCP/UDP. Tem até opção de proxy, quando usando TCP, facilitando ainda mais a vida do vivente. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd