Muitas vezes precisamos que pessoas que não estejam em nossa rede possam trabalhar como se nela estivessem, a forma de fazer isso é com uma Rede Privada Virtual (VPN). Ter vendedores que possam fazer pedidos e ter acesso ao banco de dados da empresa de forma rápida e segura é essêncial para estar onde o cliente precisa e ao mesmo tempo manter a integridade da rede.
O OpenVPN trás a compressão com algoritmo lzma e criptografia de chaves assimétricas para dar velocidade e segurança aos dados da rede e com certificados criados e assinados por uma autoridade certificadora que a VPN reconhece garantimos que as conexões serão aceitas se possuirem um certificado válido. Outra vantagem do OpenVPN é ter clientes para vários sistemas operacionais e sistemas móveis.
No nosso exemplo temos uma rede com Gateway Linux Ubuntu e cliente Windows 7 64 bits. A rede possui IP 10.0.0.0/24 e o cliente um IP 192.168.1.1, a VPN deve ter um IP que seja diferente das redes para funcionar sem muito trabalho.
Iremos direto a configuração da VPN e certificados no servidor e colocação de certificados e configuração no cliente.
Veja no vídeo abaixo:
Arquivo de configuração da Matriz.
Arquivo de configuração do Vendedor.
Muito obrigado e não se esqueça de assinar o nosso blog.
Boa vagner!! muito bacana !
Pingback: VPN entre Linux e Windows com OpenVPN – Ubuntu Dicas
Qual o usuário e senha dos arquivos da matriz e filial ????
Mas o post está de parabéns….
Deyvid
Resolvido, qualquer coisa pode perguntar.
E não se esqueça de assinar o nosso blog.
ótimo artigo!
Ficou uma dúvida, em qual pasta coloco o arquivo matriz.conf e vendedor.conf?
Junior,
O arquivo matriz.conf fica no servidor Linux no diretório /etc/openvpn.
O arquivo vendedor.conf no cliente Windows fica no diretório C:Arquivos de ProgramasOpenVPNconf
Espero ter ajudado.
Valeu wagner deu certo!
porém utilizo no mesmo server o squid mas ao iniciar o serviço do openvpn ao efetuar a primeira conexão do cliente com o servidor, meu link de internet cai, só volta se parar o serviço. poderia me dar uma dica do que estaria havendo?
grato
Qual link que cai, cliente ou servidor? Provavelmente e problema de rota… Verifica as rotas e testa de novo.
Na verdade a situação é a seguinte: sempre que dou um start no serviço do openvpn meu proxy para. uso na rede interna o ip 192.168.1.0 255.255.255.0, na segunda rede a que recebe o link de internet dedicada uso 177.x.x.x nos arquivos da matriz.conf na linha da rede usada pela VPN defini o server 192.168.1.0 255.255.255.0 e uma rota 10.0.0.0 255.255.255.0, essa configuração de server está incorreta?
Junior,
Quais os IP das redes matriz, vendedor e os usados pelos túneis do OpenVPN?
Matriz:
eth0 (rede local)
ip:192.168.1.122
masc: 255.255.255.0
eth1 (ip dedicado)
ip: 177.19.x.x
masc: 255.255.255.248
Vendedor
rede local
ip:192.168.1.134
masc: 255.255.255.0
internet
ip dinamico
O problema Junior são as redes iguais da Matriz e da Filial, para resolver isso teria de fazer uma imenso nat de redes, a solução mais simples é alterar umas das redes, vendedor (filial) por exemplo para 192.168.2.0/24. É possível?
Pois com as redes sendo iguais, quando sua rede matriz procura 192.168.1.XX ela não precisa de rotas pois é a própria rede dela, assim também o seu gateway se enrola na hora de rotear a internet para rede interna.
Valeu Vagner, entendi vou alterar a faixa da rede matriz apesar que eu vou ter alguns probleminhas, será bem prático mudar para uma faixa de “ip’s” não tão usada quanto as 192.168…, pode me dar uma dica de qual faixa fica melhor de trabalhar e quais evitar?
Junior,
Não existe problemas em nenhuma faixa de IP se você faz a separação correta por máscaras, se a sua máscara for /24 (255.255.255.0) pode usar 192.168.1.0/24 para uma rede e 192.168.2.0/24 para outra, 192.168.3.0/24 e assim sucessivamente. Por ser /24 apenas o último octeto é relevante, assim podemos padronizar as redes e não termos problemas.
No seu caso sugiro utilizar na matriz que vai ser mudada 192.168.2.0/24 e nas outras redes futuras a partir de 192.168.3.0/24, e no seu caso usaria os IPs de túnel 10.0.0.1 no vendedor e 10.0.0.2 na matriz.
Um abraço meu amigo.
Wagner desculpe o numero de perguntas mas ainda não entendi a situação, na verdade sempre que meu cliente tiver uma faixa de ip igual a do meu servidor ele terá que mudar? porque a idéia de usar a vpn, é acessar um banco de dados da minha rede 192.168.1.0/24, e que todos os meus clientes acessem o banco através da vpn, ou seja sempre que eu tiver um cliente com a mesma rede, terá que mudar, a rota não faria isso?
Junior,
Ter que mudar você não tem, mas lembre-se que quando uma máquina procura um IP da mesma faixa que ela possui ela não procura o roteador(gateway) por achar que pode chegar nela sozinha. Você teria que fazer muitos NATs para isso. Se o acesso é de apenas uma máquina direto para o Servidor de VPN, pode omitir a rota e fazer uso apenas dos IPs de VPN (10.0.0.1 e 10.0.0.2). Você teria que dizer que todo IP da mesma rede que você que vem pelo túnel teria de ser remapeado para outra faixa de IP, isso pra cada túnel de cada cliente uma faixa diferente, nas duas pontas, isso obrigaria a ter um firewall Linux nas duas pontas.
Fala Vagner, cara assisti seu vídeo, realmente muito bom! Seguinte eu chego até a parte em que você dá o comando openvpn restart só que meu linux dá como diagnóstico um fail. Em que caminho eu acho o arquivo de log que teria o log desse erro?
Desde já agradeço.
Vagner consegui resolver o problema, li em alguns outros tutoriais ai adicionei essas linhas no .conf
# Informações de status da conexão
status /var/log/openvpn/matriz-staus.log
# Arquivo de log
log-append /var/log/openvpn/matriz.log
enfim parece que gerou o arquivo de log ai quando abrir o matriz.log ele tinha este erro aqui
Options error: You must define certificate file (–cert) or PKCS#12 file (–pkcs12)
você poderia me dar um help? o que este erro estaria apontando?
Luiz
Como é seu arquivo de configuração da VPN? manda ele pra podermos ver o erro.
Vagner, me ajuda cara, aqui rodou perfeito, eu estando na mesma rede, coloco o meu endereco dyndns e loga normalmente, porem quando eu estou fora da minha rede e tento conecta fica parado na open link remote [192.168.0.216:1194] e nao sai da ir por nada.
O q pode ser?
Absss
Renato,
Qual link que você usa para fazer o acesso de fora da rede? Lembre que o IP 192.168.0.216 não é um IP válido, portanto não pode ser usado via internet.
Entao Vagner. eu uso o dominio dyndns que configuerei. porem conforme havia falado com vc, verifiquei se a porta estava liberada no meu modem adsl do speedy, acabei de verificar que a porta 1194 nao esta listando como liberada, dei um nmap -a no ip da minha rede e mostrou apenas a posta 1723 aberta, que uso para vpn no Windows 2008. Quando falei do ip 192.168.0.216, é que esse ip esta minha aplicacao vpn e eu entedi que, como o openvpn para nessa opcao, ele esta pelo menos identificando que minha aplicacao esta nesse ip, ele barra a entra apenas na porta 1194.
Irei acessar minhas confg do modem da speedy e fazer um redirecionamento para a porta 1194 e verificar se resolve.
abss e obrigado pelo retorno.
Pessoal, se alguem puder me ajudar com esse problema, não consigo resolver por nada.
Vlwww pessoal do Cooperati.
Ola,
Eu cheguei a parte de iniciar a VPN e dá o fail
Que posso fazer?
Primeiro inicie a VPN pela linha de comando com o comando: openvpn –config matriz.conf
Assim pode verificar os erros relatados e resolvê-los.
Ou vc tbm pode executar o comando openvpn –config –daemon matriz.conf
Tive o mesmo problema e este comando me mostrou onde estava o erro (Nome do certificado errado no matriz.conf)
Absss
Esses comandos resultam isto:
“Options error: I’m trying to parse “-config” as an –option parameter but i dont see a leading ‘–’
Ja resolvi a erro do comando, eu esqueci de meter o duplo “-”
E agora? Só consegui correr o primeiro comando. O segundo nao funcionou. Que é que precisa de saber agora para me poder ajudar?
Cara desculpe a falta de atencao, o comando tem dois hifen ao inves de um, sendo o correto assim: openvpn –config –daemon matriz.conf
No lugar de – coloca dois (–) codigo deste comentario esta tirando quando é colocado dois hifens
Ola de novo,
A parte do linux foi realizada com sucesso. Agora tou com erro na parte windows.
Sun Jun 12 20:36:37 2011 NOTE: –user option is not implemented on Windows
Sun Jun 12 20:36:37 2011 NOTE: –group option is not implemented on Windows
Sun Jun 12 20:36:37 2011 OpenVPN 2.1.4 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Nov 8 2010
Sun Jun 12 20:36:37 2011 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Sun Jun 12 20:36:37 2011 NOTE: OpenVPN 2.1 requires ‘–script-security 2′ or higher to call user-defined scripts or executables
Sun Jun 12 20:36:37 2011 Cannot load private key file vendedor1.key: error:0906D06C:PEM routines:PEM_read_bio:no start line: error:140B0009:SSL routines:SSL_CTX_use_PrivateKey_file:PEM lib
Sun Jun 12 20:36:37 2011 Error: private key password verification failed
Sun Jun 12 20:36:37 2011 Exiting
Ae, que faço agora?
Obrigado malta
Aff desclupa ai o comentario em cima. RESOLVI
Problema agora: (Desculpa a quantidade de comments, mas tou aflito pa um trabalho da escola) – Nao se preocupe que vou colocar referencia para o autor (voce).
Agora a ligaçao morre a meio, o icon na “barra relogio” do windows fica amarelo e fica tentando ligar-se mas não consegue:
Sun Jun 12 20:48:27 2011 NOTE: –user option is not implemented on Windows
Sun Jun 12 20:48:27 2011 NOTE: –group option is not implemented on Windows
Sun Jun 12 20:48:27 2011 OpenVPN 2.1.4 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Nov 8 2010
Sun Jun 12 20:48:27 2011 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Sun Jun 12 20:48:27 2011 NOTE: OpenVPN 2.1 requires ‘–script-security 2′ or higher to call user-defined scripts or executables
Sun Jun 12 20:48:27 2011 LZO compression initialized
Sun Jun 12 20:48:27 2011 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sun Jun 12 20:48:27 2011 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sun Jun 12 20:48:27 2011 TAP-WIN32 device [Local Area Connection 2] opened: \.Global{18E4F2D5-624B-49B5-94CF-AE2085987A7F}.tap
Sun Jun 12 20:48:27 2011 TAP-Win32 Driver Version 9.7
Sun Jun 12 20:48:27 2011 TAP-Win32 MTU=1500
Sun Jun 12 20:48:27 2011 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.255.2/255.255.255.252 on interface {18E4F2D5-624B-49B5-94CF-AE2085987A7F} [DHCP-serv: 192.168.255.1, lease-time: 31536000]
Sun Jun 12 20:48:27 2011 NOTE: FlushIpNetTable failed on interface [29] {18E4F2D5-624B-49B5-94CF-AE2085987A7F} (status=5) : Access is denied.
Sun Jun 12 20:48:27 2011 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Jun 12 20:48:27 2011 Local Options hash (VER=V4): ‘cebd65bc’
Sun Jun 12 20:48:27 2011 Expected Remote Options hash (VER=V4): ’04425bfb’
Sun Jun 12 20:48:27 2011 UDPv4 link local (bound): [undef]:6999
Sun Jun 12 20:48:27 2011 UDPv4 link remote: 10.0.0.105:6999
Será da minha firewall?
Pedro,
Você está usando a porta 6999 nas duas pontas correto, mas parece que o problema ainda não está chegando no firewall, mas no Windows, você colocou para rodar como administrador? Parece que ele não está criando a interface TAP corretamente, isso provavelmente é problema na instalação (ficou faltando algo) ou na execução (faltou privilégios).
Abraços.
Cara, seu firewall tem que esta liberando a porta 1194, e como é sua internet ai, se for speedy, tem q liberar a porta 1194 no modem da speedy e tbm no seu roteador se tiver!.
Abss
Agora deu diferente, mas gelou no mesmo sitio:
Sun Jun 12 22:32:38 2011 LZO compression initialized
Sun Jun 12 22:32:38 2011 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sun Jun 12 22:32:38 2011 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sun Jun 12 22:32:38 2011 TAP-WIN32 device [Local Area Connection 2] opened: \.Global{18E4F2D5-624B-49B5-94CF-AE2085987A7F}.tap
Sun Jun 12 22:32:38 2011 TAP-Win32 Driver Version 9.7
Sun Jun 12 22:32:38 2011 TAP-Win32 MTU=1500
Sun Jun 12 22:32:38 2011 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.255.2/255.255.255.252 on interface {18E4F2D5-624B-49B5-94CF-AE2085987A7F} [DHCP-serv: 192.168.255.1, lease-time: 31536000]
Sun Jun 12 22:32:38 2011 Successful ARP Flush on interface [17] {18E4F2D5-624B-49B5-94CF-AE2085987A7F}
Sun Jun 12 22:32:38 2011 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Jun 12 22:32:38 2011 Local Options hash (VER=V4): ‘cebd65bc’
Sun Jun 12 22:32:38 2011 Expected Remote Options hash (VER=V4): ’04425bfb’
Sun Jun 12 22:32:38 2011 UDPv4 link local (bound): [undef]:6999
Sun Jun 12 22:32:38 2011 UDPv4 link remote: 10.0.0.105:6999
Nao percebo é porque que nao me deixa alterar o config do vendedor1.ovpn
Queria alterar o IP 10.0.0.105 para outro, mas depois guardo, volto a tentar conectar a VPN e dá este erro:
Options error: Unrecognized option or missing parameter(s) in vendedor1.ovpn:1: # (2.1.4)
Use –help for more information.
O IP da minha maquina ubunto é 192.168.1.97
O IP da minha maquina cliente é: 192.168.1.82
O IP dado pelo meu ISP é 18X.X2.20X.1XX (segundo o site omeuip.com)
Amigo, seu ip é fixo? caso contrario terá que utilizar o dyndns para fazer o redirecionamento de automatico.
Pedro,
Seu problema pode ser o editor que está usando, lembre que o tipo de codificação ascii usado no Windows não é como a codificação ascii padrão do Linux, sendo assim algo que você escreveu no arquivo pode ser interpretado erradamente.
Abraço.
Vagner, como faço para saber se meu ip ou dominio esta com uma porta bloqueada, no meu caso a 1194.
Vlww
Renato,
Depende muito, primeiro o OpenVPN roda no gateway ou tem um modem entre ele e a internet? se tiver um modem tem que fazer a liberação da porta e redirecionamento para seu IP interno.
Abraço.
Merda de windows pa…tava a corromper os ficheiros de config do vendedor1.
VALEU, ta tudo rolando 100%!
Entao Vagner, tem um modem (speedy) e um roteador entre ele e a internet, no roteador eu ja fiz o redirecionamento, é necessário fazer isso no modem tbm?
Obrigado.
Renato,
Se o quem disca para o provedor é o roteador não precisa fazer mais nada, mas se o modem é roteado a liberação deve ser feita nele.
Entao meu modem da speedy é roteado sim. Quer dizer q tenho q liberar a porta nele tbm. Irei fazer isso.
Obrigado.
Entao, descobrir uma coisa, conseguir liberar a porta 1194 direto pelo meu roteador. porem agora ela aparece com o seguinte status no nmap
1194/udp open|filtered.
pelo que pesquisei esse open|filterede é pq o nmap nao conseguiu identificar se ela esta aberta ou nao, quer dizer que tem algo inpedindo a verificacao da porta, mas nao temos firewall nem nenhuma outra aplicacao semelhante, e o meu modem da speedy não é roteador, ela nao tem a opcao de liberar porta, ja pesquisei isso.
Agora to na roça.
Vagner, me ajuda cara, ta muito estranho a parada aqui. Seguinte, vc disse que tenho q liberar a porta no meu modem da speedy, blz o mesmo nao tem essa opcao. Entao fiz uma verificacao usando o nmap, o resultado quando verifico o meu ip na porta 1194 é esse:
port state service
1194 closed unknown
porem tenho outra porta liberada no router, que é a 1723, pptp, e essa esta liberada:
port state service
1723 open pptp
Pq será isso?
Outra coisa pessoal, teria como eu usar outra porta no openvpn, ao inves da 1194, se tem o que devo fazer. Pq tentei colocar outra porta no confg matriz e quando restarto o vpn ele nao inicia, da erro.
Obrigado
Desculpa ficar enxendo aqui de propaganda, mas é que to loko pra resolver esse problema.
Agora descobrir outra coisa. Minha porta 1194 nao esta com status de ouvindo no meu fedora, eu rodei o comando netstat -l aparece a conexao udp:openvpn e no stat ela esta sem nada, e tem outras portas acima marcada como ouça.
Como faço para fazer a porta 1194 ficar com status de oucá?
Abss
Conseguir fazer uma coisa, que creio q funcione, ao inves de usar a porta udp, estou a utilizar a tcp. e ta tudo rodando, irei testar e posto minha conf pra vcs verem.
Abss
Ola,
Eu ja tenho a VPN a funcionar. Agora queria um ftp ou servidor web a funcionar apenas pela VPN.
Ja instalei isso na maquina ubuntu, mas agora nao sei como configurar e na internet nao encontrei nada de especial, pode dar uma ajuda?
Muito obrigado por esse tutorial , está magnifico
Rui,
O método mais simples é cria regras de firewall liberando apenas esses serviço para o IP da VPN.
Vagner.
Não ha outra maneira?
E eu so tou conseguindo estabelecer a vpn entre computadores ligados à mesma rede.
exemplo:
Nao da para eu estar em casa e alguem no trabalho e ligar os 2 PC pela minha vpn partilhando serviços como ftp?
Rui,
É possível sim, mas desde que seja usado o IP da VPN para acessar os serviços pela máquinas que compõe o túnel. Por exemplo ftp://ip-da-vpn/
Vagner
Aa vpn aqui nao funciona de jeito nenhum, quando tento conecta fica parado na seguinte mensagem: UDPv4 link remote: 192.168.0.216:1194
e não sai disso, por que será?
Abss
Se a porta está liberada, provavelmente a outra ponta da conexão não está funcionando normalmente.
Vagner da uma olhada no resultado do comando nmap -sTUR -v -p 1194 -PO 192.168.0.6:
1194/tcp closed
1194/udp open/filtered
e para o meu ip publico, que é fixo, rodei o mesmo comando e o resultado é o mesmo:
1194/tcp closed
1194/udp open/filtered
Esse open/filtered quer dizer oq? q esta livre porem filtrada?
Vlww
Renato,
Significa que esta porta está liberada por um firewall.
Verifica se o redirecionamento da porta 1194 está sendo feito para o IP interno do servidor de VPN.
Vagner.
Entao Vagner, meu roteador é um Linksys WRT54G, eu direcionei a porta 1194 para o ip 192.168.0.6 que é o meu ip do servidor de vpn, esse redirecionamento eu fiz dentro do roteador. olhe essa imagem e veja como fiz a liberacao http://cid-f642d0f9d8fccdf1.office.live.com/self.aspx/.Public/router.png
Meu arquivo da matriz esta assim:
dev tun
port 1194
proto udp
ca keys/ca.crt
cert keys/matriz.crt
key keys/matriz.key
dh keys/dh1024.pem
server 192.168.255.0 255.255.255.0
push “route 192.168.0.5 255.255.255.0″
comp-lzo
keepalive 10 120
float
max-clients 10
persist-key
persist-tun
log-append /var/log/openvpn.log
verb 6
tls-server
status /var/log/openvpn.stats
Esta correto?
Meu cliente esta assim:
dev tun
proto udp
port 1194
remote 192.168.0.6
ifconfig 192.168.255.2 192.168.255.1
ca ca.crt
cert cliente.crt
key cliente.key
tls-client
keepalive 10 120
comp-lzo
user nobody
user nogroup
persist-tun
persist-key
verb 3
No cliente quando coloco meu ip fixo, agora fica aparecendo a msg: TLS Error: client->client or server->server connection attempted from ip-fixo:1194
Ele nao esta identificando o meu ip interno definido no router.
Nossa nao sei mais oq fazer, me da uma luz ai.
Faltou um detalhe, a conexao apenas nao funciona quando estou fora da rede, quando deixo o ip interno no openvpn ele funfa vlz.
Renato,
Quando você está fora da rede é preciso que o cliente utilize na variáve remote o IP de internet da matriz. Fora que como cliente você não está utilizando a VPN com certificados, utilize como modelo o arquivo de vendedor1.conf que passei pois como você não está usando os certificados ele não reconhece o TLS.
Vagner
esse sao os certificados, se sim estao na conf do cliente sim.
ca ca.crt
cert cliente.crt
minha conf esta identica a sua. a unica coisa q muda é a porta, pois se eu coloca a porta 6999 no fedora na hora de iniciar o servico da vpn ele da falha.
Renato,
já tentou usando o método ifconfig no servidor e no cliente?
Você está usando o método apenas no cliente.
Vagner
Vagner,
Fiz o seguinte teste.
Eu tenho ip fixo, porem tentei o acesso atraves do meu dyndns q instalei no servidor, e no meu cliente adicionei o meu endereco do dyndns. Agora esta conectando, porem eu ainda estou na mesma rede, irei testar de fora da rede. Mas é estranho agora, pq ele reconhece o meu dominio dyndns e direciona para o servidor de vpn, porem quando adiciono o ip ele nao direciona e da erro, (mesmo adicionando o ifconfig no server tbm).
Obrigado
Vagner, creio que agora voce pode me ajudar, mexi em muitas coisas aqui. e agora da uma olhada no aparece no meu openvpn:
Wed Jun 15 08:29:13 2011 TCP/UDP: Incoming packet rejected from 192.168.0.6:1194[2], expected peer address: 200.200.102.12:1194 (allow this incoming source address/port by removing –remote or adding –float)
Oq é isso?
Aabss
Agora o erro é outro veja: Wed Jun 15 09:31:55 2011 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Jun 15 09:31:55 2011 TLS Error: TLS handshake failed
Os certificados estao no local correto.
Renato,
Isso parece problema com nat, se o openvpn funciona bem dentro da rede o problema parece ser do redirecionamento.
Entao, era problema de caminho do arquivo, resolvi isso e quase todos os outros problemas do openvpn. Agora quando peço pra ele conectar fica parado conforme a imagem:: http://cid-f642d0f9d8fccdf1.office.live.com/self.aspx/.Public/vpn.jpg
Muito estranho isso, pq nesse momento ele consegue identificar que dentro do meu dyndns esta o meu server de vpn, porem ele para ai.
Ola Vagner, deu certo cara, conseguir me conectar, eu refiz todas as liberacoes no meu server e funcionou.
Vlw por toda a ajuda
Vagner, tira uma duvida se possivel. Na linha -> ifconfig 192.168.255.2 192.168.255.1
defini com quem eu terei acesso na minha rede, no casso eu terei acesso apenas a Matriz onde esta o servidor do openvpn. Mas vamos supoer que eu precise de acesso ao servidor de dominio (192.168.0.2), eu posso remover o ip 192.168.255.1 do ifconfig ou terei q reserva uma faixa de ip no meu dhcp para adinionar na vpn.
Vlwww
Se é para acessar uma máquina que está na rede atrás da VPN então o que deve ser feito é o roteamento, regras de rotas permitem que as pontas da vpn funcionem como roteadores entre as redes que estão na matriz e na filial.
Entao, aqui eu so tenho uma matrix, o acesso será feito apenas por mim e meu superior.
Esse rotemaamento é feito no arquivo de configuracao da vpn?
Vlwww
Ola Vagner.
Entao eu tenho q criar uma rota dizendo que meu roteador da vpn é a ponta da vpn no caso 192.168.255.1 e 192.168.255.2.
Essa rota ficaria assim route net -add 192.168.255.0/24 netmask 255.255.255.0 gw 192.168.255.1
Abs
minha tabela atualemten esta assim:
Tabela de Roteamento IP do Kernel
Destino Roteador MáscaraGen. Opções Métrica Ref Uso Iface
192.168.255.2 * 255.255.255.255 UH 0 0 0 tun0
192.168.0.0 * 255.255.255.0 U 1 0 0 eth0
192.168.255.0 192.168.255.2 255.255.255.0 UG 0 0 0 tun0
default 192.168.0.5 0.0.0.0 UG 0 0 0 eth0
Renato,
A rota para a rede que fica na outra ponta do túnel é que deve ser feito usando o IP da VPN, não a rede em que a VPN está localizada.
Entao devo fazer a rota do meu Windows (dominio) para o server onde esta a vpn, é isso mesmo?
caso seja isso, devo fazer algo do tipo route add 192.168.255.0 mask 255.255.255.0 192.168.0.2 (dominio windows) metric 2
Desculpa ficar perguntando isso é que nao sei nada de roteamento e na net nao se acha nenhum material bom!
vlwww
Cara teria como você disponibilizar os arquivos
ca.crt
cliente.crt
cliente.key
Estamos com problemas para conectar o cliente à matriz.
conf. da matriz:
# Dispositivo usado pela VPN
dev tun
# Porta usada para conexão
port 443
# Protocolo de conexão
proto tcp-server
# Certificado da CA
ca keys/ca.crt
# Certificado do Servidor de VPN (Matriz)
cert keys/matriz.crt
# Chave usada pela matriz
key keys/matriz.key
# Chave Diffie-Hellman
dh keys/dh1024.pem
# Rede usada pela VPN (Matriz 192.168.255.1 e os clientes a partir de 192.168.255.2)
server 192.168.255.0 255.255.255.0
# Rota usada pelos clientes para acessar a rede da matriz
push “route 10.12.244.0 255.255.255.0″
# Envia um ping a cada 10 segundos e cancela a conexão se não houver resposta em 120 segundos
keepalive 10 120
# Máximo de clientes conectados simultaneamente
max-clients 15
# Compressão usando lzma
comp-lzo
# Usuário e grupo que o openvpn usará para ser executado
user nobody
group nogroup
# Manter a chave e os túneis persistentes
persist-key
persist-tun
# Nível de Log.
verb 3
conf do cliente:
# Dispositivo usado pela VPN
dev tun
# Porta usada para conexão
port 443
# Protocolo de conexão
proto tcp-client
# Endereço de IP (REAL) da matriz para os clientes fecharem a conexão
remote 189.111.200.72
# Endereço usado pelo cliente e o endereço que deve ser procurado no servidor
ifconfig 192.168.255.2 192.168.255.1
# Certificado da CA
ca ca.crt
# Certificado do cliente
cert usuario.crt
# Chave do cliente
key usuario.key
# No Windows é preciso especificar que ele é cliente de TLS
tls-client
# Envia um ping a cada 10 segundos e cancela a conexão se não houver resposta em 120 segundos
keepalive 10 120
# Compressão usando lzma
comp-lzo
# Usuário e grupo que o openvpn usará para ser executado
user nobody
group nogroup
# Manter a chave e os túneis persistentes
persist-key
persist-tun
# Nível de Log.
verb 3
o IP externo do meu servidor é 189.111.200.72, e a rede interna 10.12.244.0/24, tem algum erro na configuração que impeça a conexão?
Nesse mesmo servidor, trabalhamos com servidor proxy e firewall, isso influencia alguma coisa?
Servidor ???
Ou você usa o ifconfig nos dois arquivos e estabelece os IP que a VPN possui nas duas pontas, ou usa a opção “server” dentro do arquivo e deixa o servidor expecificar os IP dos clientes.
Vagner Fonseca
Pessoal, conseguir fazer minha vpn funfa perfeito, graças a ajuda do Vagner, e encontrei tambem umas dicas no site, http://www.renasti.com.br
os arquivos ca.cert server.crt uma vez criados podem ser utilizados em outra maquina?
Pedro,
Podem sim, apenas lembrando que você tem que permitir no servidor a diretiva “duplicate-cn” no arquivo de configuração do servidor para permitir que mais de um cliente utilize o mesmo certificado.
Abraços.
Rapaz a coisa aqui está muito estranha. meus arquivos de configuração estão iguais aos do video. a conexão se inicializa ( Fica verde no windows) mas nao há comunicação entre as pontas do tunel. Firewall está com politica padrão accept e não tem mais nenhuma regras. Tem isso no log do cliente:
Thu Sep 01 00:54:56 2011 NOTE: –user option is not implemented on Windows
Thu Sep 01 00:54:56 2011 NOTE: –group option is not implemented on Windows
Thu Sep 01 00:54:57 2011 WARNING: ‘ifconfig’ is present in local config but missing in remote config, local=’ifconfig 192.168.255.2 192.168.255.1′
sao os unicos erros
nao pinga em nennhum dos lados, nenhuma das pontas, windows ta com firewall destativado tbm.
Acabei de resolver colocando
pull no arquivo de configuração do cliente ao invez de ifconfig
Vi em outros tutoriais que algumas pessoas colocam “dh dh1024.pem” e copiam tambem o arquivo para lado do cliente, deve ser feito de qual jeito?
Pedro,
O arquivo dh1024.pem é a chave gerada pelo algoritmo diffie-hellman, usado para dar mais segurança na troca de chaves iniciais, deve ser gerado junto com os scripts que geram as chaves: ./build-dh
Pode usá-lo ou não, sendo que usá-lo melhora a segurança da troca inicial de dados.
Abraços.
Olá Vagner, primeiramente parabéns pelo tutorial.
Consegui fazer funcionar.
Só estou com um problema…Quando o cliente se conecta a VPN ele ficam sem acesso a internet.
Sabe como isto pode ser resolvido?
Antigamente nas VPNs Windows desmarcávamos a opção utilizar gateway padrão na discagem e o problema não ocorria mais.
Grande abraço
Lucas,
Provavelmente seu problema está no roteamento, verifique se a rota da VPN não conflita com suas rotas normais. Lembrando que o default gateway devem sempre ser seu gateway de internet.
Olá, eu segui essa metodologia e funcionou normalmente os clientes conseguem pigar a rede da vpn tranquilo, porem o servidor não pinga os clientes, e o servidor esta levantando rota para os clientes normalmente.
Deivison,
Você habiltou algum firewall nos clientes? A rota para os clientes se confunde com alguma outra rota existente no servidor?
Oi, eu configurei minha rede conforme os arquivos abaixo, eu ate conecto e navego no servidor do openvpn 192.168.0.6, porem nao consigo pingar os outros ips da rede na faixa 192.168.0.* onde eu errei na configuracao de rota, vlw pela ajuda.
#Config Cliente
dev tun
remote 200.168.59.111
proto udp
port 1194
tls-client
duplicate-cn
auth-user-pass
pull
ca ca.crt
cert cliente.crt
key cliente.key
keepalive 10 120
comp-lzo
user nobody
user nogroup
persist-tun
persist-key
resolv-retry infinite
verb 3
script-security 2 system
route add 192.168.0.0 mask 255.255.255.0 192.168.255.0
#Config Server
dev tun
port 1194
proto udp
ca keys/ca.crt
cert keys/matriz.crt
key keys/matriz.key
dh keys/dh1024.pem
server 192.168.255.0 255.255.255.0
push “route 192.168.0.0 255.255.255.0″
comp-lzo
keepalive 10 120
float
max-clients 10
persist-key
Os IPs da VPN não podem ser do mesmo escopo de rede da Matriz nem da da Filial. Os IPs que você usa devem ser de outras redes e as rotas tem que ser para as Redes da Matriz e Filial que são diferentes entre si.
Quando vc diz os IPs da VPN, esta dizendo o ip do meu servidor? ou os ips que definir no arquivo de configuração?
Pois no arquivo de configuracao definir o ip 192.168.255.0.
Vlww
Amigao, estou com o mesmo problema do Alberto, tenho meu server vpn de ip 192.168.0.2 configurado na vpn como 192.168.255.0 (conforme sua video aula) e meu cliente esta na rede 192.168.1.1, ele consegue logar porem no pinga o ip do server vpn. voce poderia postar um exemplo de como deve ser feito este roteamento, pelo menos a lógica.
Valeuuuuu
Jorge,
Ainda não entendi seu ambiente, quais os IP das Redes (matriz e filial) e quais os usados nos túneis (ponta matriz e ponta filial)? Assim posso ter idéia do que é possível fazer.
Minha rede é 192.168.0.0/24 ip real da vpn 192.168.0.6 ip do tunel 192.168.255.2 conforme definido em sua video aula, no meu cliente defino a seguinte rota route add 192.168.0.0 mask 255.255.255.0 192.168.255.0
Porem com esta rota eu consigo apenas pingar o server 192.168.0.6 (server vpn) e outros ip’s da minha rede 192.168.0.0/24 ñ estou pingando, saberia me dizer o pq.
Valeuuu
Jorge,
Me parece que o problema é com sua rota, ele deve ficar assim no arquivo da VPN:
route 192.168.0.0 255.255.255.0 192.168.255.2
Não pode ser 192.168.255.0 (isso é endereço de Rede e não IP de um gateway)
Lembre-se que tem que ter rota nos dois servidores de VPN para comunicação ida e volta.
Jorge,
Apaguei seu comentário pois tinha muita informação particular sua que acho que não deva ser mostrada. Pelo que entendi o Servidor tem uma rede 192.168.0.0/24 e seu IP interno é 192.168.0.6, você utiliza como ip do túnel 192.168.255.2 no servidor e a partir daí nos clientes. O que acontece é que se o servidor vai rotear para redes que existam nos clientes eles não precisa de rota, os clientes é que devem ter a rota: route 192.168.0.0 255.255.255.0 192.168.255.2 (lembrando que o IP dos clientes devem ter IP de túnel 192.168.255.X ). Lembrando que no modo que eu ensinei você tem que criar um túnel (com IP e porta diferente dos outros) para cada cliente(um arquivo por túnel), assim cada um terá uma porta específica e rotas nos arquivos. Só não entendi nos seus logs quem é 10.25.32.55, parece que é esse endereço que está dando erro.
Pretendo fazer em breve, um artigo sobre roteamento no Linux (tem muitas dúvidas nos comentários que são apenas sobre roteamento) e outro sobre VPN multiponto com OpenVPN, assim teremos a oportunidade de criar um servidor com um arquivo apenas que distribui IP para seus diversos clientes.
Vagner, então ta tudo certo na minha configuracao, pois o roteamento estou fazendo apenas no cliente mesmo. Agora esse ip 10.25.32.55 é de uma rede de outra empresa que trabalho, porem nao entendo porque aparece no log do openvpn, esse ip é de um servidor linux tbm, mas tipo conectei apenas uma vez nele via ssh e nao fiz mais nada, muito estranho.
Valeu pela ajuda e um tutorial sobre roteamento seria muito interessante a internet é muito carente de tutoriais bons e ainda mais sobre roteamento.
Obrigado
Caro Vagner fiz tudo certinho como segue no tutorial mas estou com um problema, nao consigo pingar a matriz, creio que seja um problema de rota pois nao sei como configurar a rota, deixei por padrao essa da sua configuração push “route 10.0.0.0 255.255.255.0″, estou usando um servidor dedicado para rodar a vpn, meu objetivo é navegar atravez do ip do servidor dedicado, abraço e obrigado.
Tem como você mandar um diagrama das suas redes(com IP) e quais ip de VPN você usa?
O ip 201.33.22.22 é o que instalei o openvpn e atribui o ip do tutorial 192.168.254.1, esse ip é fixo e é de um servidor dedicado, meu ip externo é 177.19.111.128, e a faixa de ip do roteador vai de 192.168.0.1 a 192.168.0.254 onde a maquinha que instalei o openvpnwin é de ip 192.168.0.111 que atribui o ip 192.168.254.2, como já havia falado consigo conectar mais nao consigo pingar entre as maquinas.
Atylla,
Lembre-se que os IP usados pelos túneis da VPN são diferentes dos usados nas redes, exemplo:
Matriz 192.168.1.0/24 e Filial 192.168.2.0/24, os IP usados nos túneis seriam por exemplo 172.16.1.1 e 172.16.1.2 (matriz e filial respectivamente), o roteamento seria assim:
No conf da matriz: route 192.168.2.0 255.255.255.0 172.16.1.2
No conf da filial: route 192.168.1.0 255.255.255.0 172.16.1.1
Lembrando que não deve possuir nenhum IP como os da VPN em suas redes.
Poxa amigo como eu faço pra conectar a vpn no linux??? desde ja grato
Uberlei,
Você seguiu as orientações passadas no vídeo? Qual foi o erro?
Opa muito bom o artigo.
Só tenho uma dúvida.
Estou com uma máquina com Windows Server 2000 (Cliente) e um Servidor de internet Linux Debian (Servidor da Vpn).
A VPN conecta, porém não consigo pingar nenhuma das pontas. A liberações foram feitas nos firewall (Windows Linux). Por ventura poderia dar uma luz?
Ateniciosamente…
Adriano,
Liberou a porta específica no protocolo UDP ou liberar a interface tun?
Boa tarde!
Vagner,
Estava a procura de uma solução para meu problema na net quando me deparei com sua publicação. Por favor, poderia me ajudar. Minha vpn com “openvpn” esta funcionado perfeitamente. Meu problema é o seguinte: de minha casa acesso sem problemas meu servidor VPN (Freebsd) e outros servidores Windows (TS), mas quando da empresa tento acessar minha casa não consigo. De casa consigo pingar meus servidores, do escritorio para minha casa não consigo pingar. Acho que deve ser algo simples ou que tenha esquecido.
Desde de já meus agradecimentos e parabéns pela postagem.
Você já verificou se as redes (casa e empresa) não são as mesmas?
Se você conecta na vpn mas não acessa, geralmente é problema de roteamento, leia o artigo sobre “Roteamento estático” que escrevi que isso pode te ajudar.
Boa tarde!
Obrigado pelo retorno.
O escopo de rede de minha casa é diferente do escopo de rede do escritótio. Casa=192.168.1.0/24 e Escritorio=192.168.10.0/24. Casa pinga escritorio, mas escritorio não pinga casa. De casa para o escritorio acesso sem problemas e pingo. O problema é do escritorio para minha casa que não pinga e claro não acessa.
Muito estranho, deveria funcionar. Vou dar uma lida no artigo que me indicou “Roteamento estático”.
Teria alguma outra sugestão?
Bom dia!
Obrigado pelo reotno e dicas Vagner.
Consegui resolver meu problema. Era o firewall do windows e meu firewall do Eset. Segue o que fiz: Em “Painel de Controle\Sistema e Segurança\Firewall do Windows” –> Configurações avançadas –> Regras de entrada –> Opção: Compartilhamento de arqruivo e impressoras (Solicitação de Eco – ICMPv4-In) –> Em propriedades ative a regra caso seja necessário e va para a aba escopo e adicone em “Endereço remoto” os endereços ips da vpn que deseja librar o ping. Caso tenha um outro firewal (Meu caso o Eset Smart Security ) coloque ele em “modo interativo” que ele mesmo te ajuda a configurar. Agora de ambas as pontas consigo pingar e acessar via openvpn. Dica: caso não tenha ip fixo ustilize por exemplo o “no-ip” e se usa algum roteador não esqueça de configura-lo para redirecionar para o seu servidor. Espero que isto ajude a alguém. Bom pelo menos, para mim resolveu.
Abraço.
Fiquei com algumas duvidas..
Eu crio tudo certinho, so que no arquivo de configuração do cliente eu tenho que colocar o ip da internet valido?
pois vou me contectar para abrir somente um unico programa da TOTVS..
VPN para servidor Suselinux, que redireciona para Servidor de aplicações windows, que vai abrir direto o programa microsiga da TOTVS..
a unica duvida é com o ip valido da internet.
No cliente precisa do IP válido sim, já que o cliente procura o Servidor para fechar a conexão.
Boa tarde Vagner, muito bom o vídeo, só que não estou conseguindo baixar os arquivos de configuração… Obrigado!
Vou verificar e corrijo o link.
Está funcionando corretamente, basta clicar no nome do arquivo que ele baixa em formato .zip .
A vpn funciona normalmente quando reinicio ela /etc/init.d/openvpn restart mas quando coloco os caminhos dos certificados
# Certificado da CA
ca keys/ca.crt
# Certificado do Servidor de VPN (Matriz)
cert keys/matriz.crt
# Chave usada pela matriz
key keys/matriz.key
# Chave Diffie-Hellman
dh keys/dh1024.pem
ela da conexão falha queria saber o porque disto…
Marcos,
O subdiretório keys está dentro do diretório do openvpn?
O subdiretorio keys esta dentro do diretorio openvpn.. quando eu comento essas linhas a vpn funciona quando descomento elas ,ela falha e não consigo achar o erro…
Marcos,
Você executou na mão o openvpn?
dentro do diretório do openvpn execute:
openvpn --config matriz.confPresumindo que matriz.conf seja seu arquivo de configuração, assim verá na hora o erro que impede o funcionamento da vpn, pois a tela ficara presa nas mensagens do openvpn.
Agora deu certo corrigi alguns erros no matriz.conf.. Agora outra duvida em vez do cliente de ser windows fosse linux o que teria que mudar nos arquivos de configurações….
Marcos,
Nada a ser alterado, a vantagem do OpenVPN é que seu arquivo de configuração é igual em Linux e Windows.
Ajustei o arquivo matriz.conf e agora funcionou..Agora se eu quisesse ter uma VPn tanto para linux e windows como ficaria os arquivos de configuracoes……
Ola Vagner,
Exelente material, parabens,
Segui o tutorial, so nao conseguir copiar os arquivos de configuração do cervidor para maquina windows, ah como importalos?
Use o WinSCP para copiar para a máquina Windows.
Obrigado Amigo, conseguir!
A vpn está funcionando normalmente no servidor Debian para windows só que ao dar um ipconifg no windows mostra o endereço 10.17.0.2 do tunel e mascara da sub-rede 255.255.255.252 e nornal ser 252 no final mesmoo… Ja no linux estou encontrando dificuldades para conectar-se ao tentar conectar da a seguinte mensagem a “conexão vpn falhou porque esgotou o tempo de tentaivas de conexão” o que pode ser isto..
Como estão seus arquivos de configuração?
arquivo da matriz.conf
# Dispositivo usado pela VPN
dev tun0
# Porta usada para conexão
port 6999
# Protocolo de conexão
proto udp
# Endereço de IP (REAL) da matriz para os clientes fecharem a conexão
remote 200.131.37.195
# Endereço usado pelo cliente e o endereço que deve ser procurado no servidor
ifconfig 10.17.0.2 10.17.0.1
# Certificado da CA
ca ca.crt
# Certificado do cliente
cert cliente.crt
# Chave do cliente
key cliente.key
# No Windows é preciso especificar que ele é cliente de TLS
tls-client
# Envia um ping a cada 10 segundos e cancela a conexão se não houver resposta em 120 segundos
keepalive 10 120
# Compressão usando lzma
comp-lzo
# Manter a chave e os túneis persistentes
persist-key
persist-tun
# NÃvel de Log.
verb 3
Outra duvida consigo conectar da minha casa no servidor vpn que fica na facul da conexao estabelicida pelo tunel 10.17.0.2 mais quando tento acessar o sistema qualidata da facul da o seguinte erro “não foi possível conectar a bd.acad.cefetmg.br”. Verifique suas conexões de rede.
tem alguma sugestao do que pode ser ..
obrigadooo
Meu problema e o seguinte tenho que acessar um servidor Vpn que fica na facul ip do servidor eth0 200.131.37.135 rede interna 10.17.0.5 ip do tunel 10.0.0.1. consigo conectar de casa mais não consigo conectar a rede internar..queria saber alguma sugetão do porque?
Seu problema é o roteamento, já leu meu artigo sobre Roteamento estático?
Dei uma lida mais ainda não conseguir resolver o problema de roteamento a Vpn ta em um servidor debian com 2 placas de rede eth0 200.131.37.195 eth1 10.17.10.78 e o tunel 192.168.0.1 a 192.168.0.2.Em casa uso o windows 7 ip 192.168.0.104 consigo conectar na vpn mais não consigo pingar na rede 10.17.10.78 onde preciso acessar o serviços da rede interna.COmo crio uma regra de roteamento para esta situação..grato
Marcos,
O problema é que seu IP interno é do mesmo range do IP da sua VPN, assim ele não busca seu túnel para acessar a rede da VPN.
Como você colocou no arquivo do cliente o comando “route”.
no cliente coloquei a seguinte regra route add net 10.17.0.0 mask 255.255.0.0 192.168.0.1 mais não seu certo tentei outras tambem mais não funcionou..
Oi Vagner. estou seguindo a configuração do seu excelente video e ja terminei a parte do servidor. No entanto quando faço restart surge:
root@server01:/etc/openvpn/keys# sudo /etc/init.d/openvpn restart * Stopping virtual private network daemon(s)… * No VPN is running.
* Starting virtual private network daemon(s)…
De seguida faço ifconfig e não surge o interface tun
é normal?
eth0 Link encap:Ethernet HWaddr 00:20:ed:9b:b6:2a
inet addr:192.168.1.111 Bcast:0.0.0.0 Mask:255.255.255.0
inet6 addr: fe80::220:edff:fe9b:b62a/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1000900 errors:0 dropped:83971 overruns:0 frame:0
TX packets:301459 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:99618421 (99.6 MB) TX bytes:46877944 (46.8 MB)
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:4708 errors:0 dropped:0 overruns:0 frame:0
TX packets:4708 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:282480 (282.4 KB) TX bytes:282480 (282.4 KB)
Muito Obrigado!
Rui,
Qual a distribuição Linux que você usa e qual o nome do arquivo de VPN que está no diretório /etc/openvpn?
Estou a usar o Ubuntu 11.10 server. Aqui vai a informação. Obrigado
root@server01:/# cd /etc/openvpn/
root@server01:/etc/openvpn# ls -la
total 16
drwxr-xr-x 3 root root 4096 2012-03-27 23:14 .
drwxr-xr-x 87 root root 4096 2012-03-27 18:14 ..
drwxr-xr-x 3 root root 4096 2012-03-27 22:58 2.0
lrwxrwxrwx 1 root root 9 2012-03-27 23:14 keys -> 2.0/keys/
-rwxr-xr-x 1 root root 1357 2011-07-04 14:07 update-resolv-conf
root@server01:/etc/openvpn#
———————————————————————————-
root@server01:/etc/openvpn# cd 2.0
root@server01:/etc/openvpn/2.0# ls -la
total 116
drwxr-xr-x 3 root root 4096 2012-03-27 22:58 .
drwxr-xr-x 3 root root 4096 2012-03-27 23:14 ..
-rwxr-xr-x 1 root root 119 2012-03-27 22:53 build-ca
-rwxr-xr-x 1 root root 352 2012-03-27 22:53 build-dh
-rwxr-xr-x 1 root root 188 2012-03-27 22:53 build-inter
-rwxr-xr-x 1 root root 163 2012-03-27 22:53 build-key
-rwxr-xr-x 1 root root 157 2012-03-27 22:53 build-key-pass
-rwxr-xr-x 1 root root 249 2012-03-27 22:53 build-key-pkcs12
-rwxr-xr-x 1 root root 268 2012-03-27 22:53 build-key-server
-rwxr-xr-x 1 root root 213 2012-03-27 22:53 build-req
-rwxr-xr-x 1 root root 158 2012-03-27 22:53 build-req-pass
-rwxr-xr-x 1 root root 428 2012-03-27 22:53 clean-all
-rwxr-xr-x 1 root root 1457 2012-03-27 22:53 inherit-inter
drwx—— 2 root root 4096 2012-03-28 00:21 keys
-rwxr-xr-x 1 root root 295 2012-03-27 22:53 list-crl
-rw-r–r– 1 root root 389 2012-03-27 22:53 Makefile
-rw-r–r– 1 root root 2976 2012-03-27 22:53 openssl-0.9.6.cnf.gz
-rw-r–r– 1 root root 8328 2012-03-27 22:53 openssl.cnf
-rwxr-xr-x 1 root root 12675 2012-03-27 22:53 pkitool
-rw-r–r– 1 root root 3745 2012-03-27 22:53 README.gz
-rwxr-xr-x 1 root root 918 2012-03-27 22:53 revoke-full
-rwxr-xr-x 1 root root 178 2012-03-27 22:53 sign-req
-rw-r–r– 1 root root 1668 2012-03-27 22:57 vars
-rwxr-xr-x 1 root root 190 2012-03-27 22:53 whichopensslcnf
root@server01:/etc/openvpn/2.0# clear
root@server01:/etc/openvpn/2.0# ls -la
total 116
drwxr-xr-x 3 root root 4096 2012-03-27 22:58 .
drwxr-xr-x 3 root root 4096 2012-03-27 23:14 ..
-rwxr-xr-x 1 root root 119 2012-03-27 22:53 build-ca
-rwxr-xr-x 1 root root 352 2012-03-27 22:53 build-dh
-rwxr-xr-x 1 root root 188 2012-03-27 22:53 build-inter
-rwxr-xr-x 1 root root 163 2012-03-27 22:53 build-key
-rwxr-xr-x 1 root root 157 2012-03-27 22:53 build-key-pass
-rwxr-xr-x 1 root root 249 2012-03-27 22:53 build-key-pkcs12
-rwxr-xr-x 1 root root 268 2012-03-27 22:53 build-key-server
-rwxr-xr-x 1 root root 213 2012-03-27 22:53 build-req
-rwxr-xr-x 1 root root 158 2012-03-27 22:53 build-req-pass
-rwxr-xr-x 1 root root 428 2012-03-27 22:53 clean-all
-rwxr-xr-x 1 root root 1457 2012-03-27 22:53 inherit-inter
drwx—— 2 root root 4096 2012-03-28 00:21 keys
-rwxr-xr-x 1 root root 295 2012-03-27 22:53 list-crl
-rw-r–r– 1 root root 389 2012-03-27 22:53 Makefile
-rw-r–r– 1 root root 2976 2012-03-27 22:53 openssl-0.9.6.cnf.gz
-rw-r–r– 1 root root 8328 2012-03-27 22:53 openssl.cnf
-rwxr-xr-x 1 root root 12675 2012-03-27 22:53 pkitool
-rw-r–r– 1 root root 3745 2012-03-27 22:53 README.gz
-rwxr-xr-x 1 root root 918 2012-03-27 22:53 revoke-full
-rwxr-xr-x 1 root root 178 2012-03-27 22:53 sign-req
-rw-r–r– 1 root root 1668 2012-03-27 22:57 vars
-rwxr-xr-x 1 root root 190 2012-03-27 22:53 whichopensslcnf
—————————————————————————-
root@server01:/etc/openvpn/2.0/keys# ls -l
total 80
-rw-r–r– 1 root root 4019 2012-03-27 23:05 01.pem
-rw-r–r– 1 root root 3902 2012-03-27 23:09 02.pem
-rw-r–r– 1 root root 1326 2012-03-27 23:00 ca.crt
-rw——- 1 root root 912 2012-03-27 23:00 ca.key
-rw-r–r– 1 root root 3902 2012-03-27 23:09 cliente1.crt
-rw-r–r– 1 root root 712 2012-03-27 23:09 cliente1.csr
-rw——- 1 root root 916 2012-03-27 23:09 cliente1.key
-rw-r–r– 1 root root 245 2012-03-27 23:12 dh1024.pem
-rw-r–r– 1 root root 248 2012-03-27 23:09 index.txt
-rw-r–r– 1 root root 21 2012-03-27 23:09 index.txt.attr
-rw-r–r– 1 root root 21 2012-03-27 23:05 index.txt.attr.old
-rw-r–r– 1 root root 124 2012-03-27 23:05 index.txt.old
-rw-r–r– 1 root root 897 2012-03-28 00:20 matriz.conf
-rw-r–r– 1 root root 3 2012-03-27 23:09 serial
-rw-r–r– 1 root root 3 2012-03-27 23:05 serial.old
-rwx—— 1 root root 904 2012-03-28 00:24 server01.conf
-rw-r–r– 1 root root 362 2012-03-28 00:14 server01.conf.old
-rw-r–r– 1 root root 4019 2012-03-27 23:05 server01.crt
-rw-r–r– 1 root root 712 2012-03-27 23:04 server01.csr
-rw——- 1 root root 916 2012-03-27 23:04 server01.key
Burrice minha…. o server01.conf não estava no /etc/openvpn
Copiei para lá e já esta OK.
root@server01:/etc/openvpn# /etc/init.d/openvpn restart
* Stopping virtual private network daemon(s)… * No VPN is running.
* Starting virtual private network daemon(s)… * Autostarting VPN ‘server01′ [ OK ]
Obrigado! Vou continuar a configuração
Bom Trabalho!
Ola Amigo,
Estou com a seguinte duvida, na minha empresa, eu tenho um firewal, que chega o IP Dedicado, e faz o NAT para as estações, e estou querendo por o OpenVpn na empresa, mas no caso a VPN ficaria atras do firewall, fiz uma regra de redirecionamento, de um IP publico para o IP interno do servidor vpn ex: 200.200.220.32 para o ip 192.168.1.58, e abrir a porta da opem vpn 6999, e direcionei a porta pra este ip interno. Meu servidor Openvpn so tem uma placa de rede e nela esta setada um IP de minha rede local, nao sei se estou fazendo o correto, seria algo diferente?? pois quando vou no arquivo cliente onde tenho que especificar o IP real, eu ponho o IP Publico do redirecionamento que fiz no firewall de minha empresa, mas nao consigo conectar!
O que devo fazer??
Grande Abraço!
Michel
Você redirecionou no firewall a porta 6999 udp para a porta 6999 do servidor interno e liberou no FORWARD a porta 6999 udp para o IP interno?
Abraço.
Ola Caro Amigo Vagner estou a dias ou para dizer a mese tentando fazer minha vpn ligar a meu servidor linux meu problemas que ela ate conecta mais nao pinga no servidor teria alguma ajuda os confins estao como vc falou em seu post
Obrigado
Joao
João,
O firewall libera ping ou outras conexões vidas do IP da VPN? Eu costumo liberar todo tráfego originado do IP da VPN dessa forma:
iptables -I INPUT -i tun+ -j ACCEPT
iptables -I FORWARD -i tun+ -j ACCEPT
Também olhe nos logs da vpn ou execute a vpn manualmente(com o comando: openvpn –config) para ver as mensagens de erro.
Vagner, meu servidor VPN é um proxy / firewall com 2 placas de REDE.
A placa que disca a conexão ADSL (eth1) para gerar a ppp0 tem o ip 192.168.10.1.
A placa que gera o DHCP para rede interna (eth0) tem o IP 192.168.254.2
E tenho tb a ppp0 que é gerada na conexão aDSL.
A minha duvida é: Qual desses ips eu coloco no arquivo de configuração do servidor e do cliente?
Obrigadoa.
So lembrando que nao tenho ip fixo, apenas um DDNS.
Posso colocar o endereço ddns da minha empresa no arquivo de configuracao?
Carlos,
Coloca o nome do DynDNS no arquivo do cliente.
Ola Vagner eu coloquei conforme vc falou e nada nao pinga o linux esta habilitado o ping no ip
Verifique que o comando iptraf como está o andamento do tráfego entre os hosts da vpn
Vagner descupe minha ignoracia como faco este comando sou leigo ainda
Ola Vagner eu intalei o programa e mandei monitorar a rede vpn e nada acontence
o Linux esta ativo a vpn a maquina windwos esta conecta a vpn mais na maquina windows eu nao ping 192,.168.1.2 que é minha rede interna
mande os arquivos de configuração e os IP internos que você usa.
minha rede é 192.168.1.1
meu firewall
#Open Vpn
$IPTABLES -A INPUT -i $WAN -p tcp –dport 6999 -j ACCEPT
$IPTABLES -A INPUT -i $WAN -p udp –dport 6999 -j ACCEPT
$IPTABLES -A OUTPUT -o $WAN -p tcp –sport 6999 -j ACCEPT
$IPTABLES -A OUTPUT -o $WAN -p udp –sport 6999 -j ACCEPT
$IPTABLES -A INPUT -i tun+ -j ACCEPT
$IPTABLES -A OUTPUT -o tun+ -j ACCEPT
$IPTABLES -A FORWARD -i tun+ -j ACCEPT
$IPTABLES -A FORWARD -o tun+ -j ACCEPT
meu arquivo cliente windows
dev tun
port 6999
proto udp
remote 10.0.0.105
ifconfig 192.168.255.2 192.168.255.1
ca ca.crt
cert vendedor1.crt
key vendedor1.key
tls-client
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
verb 3
meu arquivo matriz.conf
dev tun
port 6999
proto udp
ca keys/ca.crt
cert keys/matriz.crt
key keys/matriz.key
dh keys/dh1024.pem
server 192.168.255.0 255.255.255.0
push “route 192.168.0.1 255.255.255.0″
keepalive 10 120
max-clients 15
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
verb 3
ifconfig-pool-persist ipp.txt
status /var/log/openvpn-status.log ..- verifique a criação desse arquivo.
log /var/log/openvpn.log ..- verifique a criação desse arquivo.
log-append /var/log/openvpn.log ..- verifique a criação desse arquivo.
eu consigo conectar na vpn mais nao consigo pingar, este é meu cenario
João,
No firewall coloque as linhas do tun+ com -I e não -A ( para serem postas em primeiro na lista de regras)
DE:
$IPTABLES -A INPUT -i tun+ -j ACCEPT
$IPTABLES -A OUTPUT -o tun+ -j ACCEPT
$IPTABLES -A FORWARD -i tun+ -j ACCEPT
$IPTABLES -A FORWARD -o tun+ -j ACCEPT
Para:
$IPTABLES -I INPUT -i tun+ -j ACCEPT
$IPTABLES -I OUTPUT -o tun+ -j ACCEPT
$IPTABLES -I FORWARD -i tun+ -j ACCEPT
$IPTABLES -I FORWARD -o tun+ -j ACCEPT
Depois acerte no seu arquivo de VPN cliente o remote para seu endereço correto.
Acerte sua rota para a sua rede correta, a rede da VPN é 192.168.0.0/24 ,mas sua rede interna me parece ser 192.168.1.0/24. altere essa linha:
DE:
push “route 192.168.0.1 255.255.255.0″
PARA:
push “route 192.168.1.0 255.255.255.0″
Acho que isso deve resolver. Qualquer coisa pode colocar nos comentários.
acredita que nao deu certo conectou mais nao pingou ainda
Manda um traceroute e posta ai.
de onde vc quer windows ou linux
manda o traceroute do linux p/windows
Vagner vc tem mais alguma ideia que eu possa fazer?
Você ficou de mandar o traceroute do Linux pro Windows.
Lembre-se que nenhum dos IP do túnel de VPN deve ser do mesmo range das suas redes(192.168.255.1 e 192.168.255.2), e suas redes devem ser diferentes umas das outras 192.168.1.0/24 e 192.168.2.0/24, os certificados devem estar no subdiretório do OpenVPN(Linux ou Windows). e as rotas devem sempre apontar para o a ponta do túnel de VPN remoto.
como faco para dar o traceroute do Linux pro Windows.
1 xxxxxxxx.virtua.com.br (xxx.xxx.xxx.xxx) 105.040 ms 105.055 ms 105.017 ms
2 xxxxxxxx.rib.virtua.com.br (xxx.xxx.xxx.xxx) 104.874 ms 104.848 ms 104.820 ms
3 embratel-G1-0-0-ngacc01.rpo.embratel.net.br (201.90.151.33) 104.792 ms 104.791 ms 104.765 ms
4 ebt-G1-0-0-dist04.rpo.embratel.net.br (200.230.245.193) 132.032 ms 132.049 ms *
5 ebt-T0-5-2-0-tcore02.bhe.embratel.net.br (200.244.160.50) 131.986 ms 131.972 ms 131.925 ms
6 ebt-T0-5-0-0-tcore01.spoph.embratel.net.br (200.230.251.54) 131.910 ms 155.362 ms 155.292 ms
7 ebt-T0-7-2-0-tacc01.spo.embratel.net.br (200.230.158.209) 155.209 ms 155.185 ms 155.156 ms
8 peer-T0-7-5-0-tacc01.spo.embratel.net.br (200.211.219.14) 155.031 ms 155.042 ms 155.016 ms
9 201-0-5-205.dsl.telesp.net.br (201.0.5.205) 154.991 ms 131.473 ms 131.400 ms
10 200-100-98-174.dial-up.telesp.net.br (200.100.98.174) 131.266 ms 200-100-98-162.dial-up.telesp.net.br (200.100.98.162) 131.327 ms 187-100-59-5.dsl.telesp.net.br (187.100.59.5) 131.251 ms
11 187-100-58-106.dsl.telesp.net.br (187.100.58.106) 131.288 ms 200-100-98-134.dial-up.telesp.net.br (200.100.98.134) 131.157 ms 200-100-98-142.dial-up.telesp.net.br (200.100.98.142) 131.080 ms
12 xxx-xxx-xxx-xxx.dsl.telesp.net.br (xxx.xxx.xxx.xxx) 131.071 ms xxx-xxx-xxx-xxx.dsl.telesp.net.br (xxx.xxx.xxx.xxx) 131.075 ms xxx-xxx-xxx-xxx.dsl.telesp.net.br (xxx.xxx.xxx.xxx) 131.028 ms
13 * * *
*
*
*
30 * * *
Parece que não há erros de conexão, por isso o caminho do pacote está correto.
Tenta desabilitar o firewall e ping para o IP dos túneis da VPN.
Eu mudei a rang que estava na mesma rede minha ele conecta mais nao pinga ainda o firewaal esta desabilitado
tambem dei o comando route print no xp a saida esta ai
C:\Documents and Settings\CTD>route print
===========================================================================
Lista de interfaces
0×1 ……………………… MS TCP Loopback interface
0×2 …50 e5 49 f5 6b fa …… Atheros AR8151 PCI-E Gigabit Ethernet Controller
– Miniporta do agendador de pacotes
0×3 …00 08 54 21 1a ba …… VIA VT6105 Rhine III Fast Ethernet Adapter #3 -
Miniporta do agendador de pacotes
0×10005 …00 ff 20 c3 8a eb …… TAP-Win32 Adapter V8 – Miniporta do agendado
r de pacotes
===========================================================================
===========================================================================
Rotas ativas:
Endere‡o de rede M scara Ender. gateway Interface Custo
0.0.0.0 0.0.0.0 192.168.0.100 192.168.0.1 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.0.1 192.168.0.1 20
192.168.0.1 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.0.255 255.255.255.255 192.168.0.1 192.168.0.1 20
192.168.2.0 255.255.255.252 192.168.2.2 192.168.2.2 30
192.168.2.2 255.255.255.255 127.0.0.1 127.0.0.1 30
192.168.2.255 255.255.255.255 192.168.2.2 192.168.2.2 30
224.0.0.0 240.0.0.0 192.168.0.1 192.168.0.1 20
224.0.0.0 240.0.0.0 192.168.2.2 192.168.2.2 30
255.255.255.255 255.255.255.255 192.168.0.1 3 1
255.255.255.255 255.255.255.255 192.168.0.1 192.168.0.1 1
255.255.255.255 255.255.255.255 192.168.2.2 192.168.2.2 1
Gateway padrÆo: 192.168.0.100
===========================================================================
Rotas persistentes:
Nenhuma
cadê os IP da vpn? 192.168.255.1 ou 192.168.255.2
a interface tun não aparece?
o ip da vpn é 192.168.2.1
Mas nos arquivos que me mandou eram 192.168.255.1 e 192.168.255.2 , esse ip não dá conflito com suas redes?
Ola Vaganer tentar fazer o que me disse e nao pinga mesmo mudei como estava o ultimo config e nada tambem esta ai as novas configruacoes
Microsoft Windows XP [versão 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
C:\Documents and Settings\CTD>ipconfig
Configuração de IP do Windows
Adaptador Ethernet Conexão local 3:
Sufixo DNS específico de conexão . :
Endereço IP . . . . . . . . . . . . : 192.168.0.1
Máscara de sub-rede . . . . . . . . : 255.255.255.0
Gateway padrão. . . . . . . . . . . : 192.168.0.100
Adaptador Ethernet Conexão local:
Estado da mídia . . . . . . . . . . . : mídia desconectada
Adaptador Ethernet Conexão local 6:
Sufixo DNS específico de conexão . :
Endereço IP . . . . . . . . . . . . : 192.168.255.2
Máscara de sub-rede . . . . . . . . : 255.255.255.252
Gateway padrão. . . . . . . . . . . :
C:\Documents and Settings\CTD>ping 192.168.1.1
Disparando contra 192.168.1.1 com 32 bytes de dados:
Esgotado o tempo limite do pedido.
Esgotado o tempo limite do pedido.
Esgotado o tempo limite do pedido.
Esgotado o tempo limite do pedido.
Estat¡sticas do Ping para 192.168.1.1:
Pacotes: Enviados = 4, Recebidos = 0, Perdidos = 4 (100% de perda),
C:\Documents and Settings\CTD>route print
===========================================================================
Lista de interfaces
0×1 ……………………… MS TCP Loopback interface
0×2 …50 e5 49 f5 6b fa …… Atheros AR8151 PCI-E Gigabit Ethernet Controller
– Miniporta do agendador de pacotes
0×3 …00 08 54 21 1a ba …… VIA VT6105 Rhine III Fast Ethernet Adapter #3 -
Miniporta do agendador de pacotes
0×10005 …00 ff 20 c3 8a eb …… TAP-Win32 Adapter V8 – Miniporta do agendado
r de pacotes
===========================================================================
===========================================================================
Rotas ativas:
Endere‡o de rede M scara Ender. gateway Interface Custo
0.0.0.0 0.0.0.0 192.168.0.100 192.168.0.1 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.0.1 192.168.0.1 20
192.168.0.1 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.0.255 255.255.255.255 192.168.0.1 192.168.0.1 20
192.168.255.0 255.255.255.252 192.168.255.2 192.168.255.2 30
192.168.255.2 255.255.255.255 127.0.0.1 127.0.0.1 30
192.168.255.255 255.255.255.255 192.168.255.2 192.168.255.2 30
224.0.0.0 240.0.0.0 192.168.0.1 192.168.0.1 20
224.0.0.0 240.0.0.0 192.168.255.2 192.168.255.2 30
255.255.255.255 255.255.255.255 192.168.0.1 192.168.0.1 1
255.255.255.255 255.255.255.255 192.168.255.2 192.168.255.2 1
255.255.255.255 255.255.255.255 192.168.255.2 3 1
Gateway padrÆo: 192.168.0.100
===========================================================================
Rotas persistentes:
Nenhuma
uma da conecao quando estabiliza
Fri Apr 06 15:41:28 2012 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Fri Apr 06 15:41:28 2012 LZO compression initialized
Fri Apr 06 15:41:28 2012 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Fri Apr 06 15:41:28 2012 TAP-WIN32 device [Conexão local 6] opened: \\.\Global\{20C38AEB-0331-4CA0-9622-786233FDFFC2}.tap
Fri Apr 06 15:41:28 2012 TAP-Win32 Driver Version 8.4
Fri Apr 06 15:41:28 2012 TAP-Win32 MTU=1500
Fri Apr 06 15:41:28 2012 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.255.2/255.255.255.252 on interface {20C38AEB-0331-4CA0-9622-786233FDFFC2} [DHCP-serv: 192.168.255.1, lease-time: 31536000]
Fri Apr 06 15:41:28 2012 Successful ARP Flush on interface [65541] {20C38AEB-0331-4CA0-9622-786233FDFFC2}
Fri Apr 06 15:41:28 2012 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Fri Apr 06 15:41:28 2012 Local Options hash (VER=V4): ‘cebd65bc’
Fri Apr 06 15:41:28 2012 Expected Remote Options hash (VER=V4): ’04425bfb’
Fri Apr 06 15:41:28 2012 UDPv4 link local (bound): [undef]:6999
Fri Apr 06 15:41:28 2012 UDPv4 link remote: 189.5.232.61:6999
Fri Apr 06 15:42:29 2012 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Fri Apr 06 15:42:29 2012 TLS Error: TLS handshake failed
Fri Apr 06 15:42:29 2012 TCP/UDP: Closing socket
Fri Apr 06 15:42:29 2012 SIGUSR1[soft,tls-error] received, process restarting
Fri Apr 06 15:42:29 2012 Restart pause, 2 second(s)
Fri Apr 06 15:42:31 2012 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Fri Apr 06 15:42:31 2012 Re-using SSL/TLS context
Fri Apr 06 15:42:31 2012 LZO compression initialized
Fri Apr 06 15:42:31 2012 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Fri Apr 06 15:42:31 2012 Preserving previous TUN/TAP instance: Conexão local 6
Fri Apr 06 15:42:31 2012 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Fri Apr 06 15:42:31 2012 Local Options hash (VER=V4): ‘cebd65bc’
Fri Apr 06 15:42:31 2012 Expected Remote Options hash (VER=V4): ’04425bfb’
Fri Apr 06 15:42:31 2012 UDPv4 link local (bound): [undef]:6999
Fri Apr 06 15:42:31 2012 UDPv4 link remote: 189.5.232.61:6999
Fri Apr 06 15:43:32 2012 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Fri Apr 06 15:43:32 2012 TLS Error: TLS handshake failed
Fri Apr 06 15:43:32 2012 TCP/UDP: Closing socket
Fri Apr 06 15:43:32 2012 SIGUSR1[soft,tls-error] received, process restarting
Fri Apr 06 15:43:32 2012 Restart pause, 2 second(s)
Fri Apr 06 15:43:34 2012 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Fri Apr 06 15:43:34 2012 Re-using SSL/TLS context
Fri Apr 06 15:43:34 2012 LZO compression initialized
Fri Apr 06 15:43:34 2012 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Fri Apr 06 15:43:34 2012 Preserving previous TUN/TAP instance: Conexão local 6
Fri Apr 06 15:43:34 2012 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Fri Apr 06 15:43:34 2012 Local Options hash (VER=V4): ‘cebd65bc’
Fri Apr 06 15:43:34 2012 Expected Remote Options hash (VER=V4): ’04425bfb’
Fri Apr 06 15:43:34 2012 UDPv4 link local (bound): [undef]:6999
Fri Apr 06 15:43:34 2012 UDPv4 link remote: 189.5.232.61:6999
Fri Apr 06 15:44:34 2012 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Fri Apr 06 15:44:34 2012 TLS Error: TLS handshake failed
Fri Apr 06 15:44:34 2012 TCP/UDP: Closing socket
Fri Apr 06 15:44:34 2012 SIGUSR1[soft,tls-error] received, process restarting
Fri Apr 06 15:44:34 2012 Restart pause, 2 second(s)
Fri Apr 06 15:44:36 2012 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Fri Apr 06 15:44:36 2012 Re-using SSL/TLS context
Fri Apr 06 15:44:36 2012 LZO compression initialized
Fri Apr 06 15:44:36 2012 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Fri Apr 06 15:44:36 2012 Preserving previous TUN/TAP instance: Conexão local 6
Fri Apr 06 15:44:36 2012 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Fri Apr 06 15:44:36 2012 Local Options hash (VER=V4): ‘cebd65bc’
Fri Apr 06 15:44:36 2012 Expected Remote Options hash (VER=V4): ’04425bfb’
Fri Apr 06 15:44:36 2012 UDPv4 link local (bound): [undef]:6999
Fri Apr 06 15:44:36 2012 UDPv4 link remote: 189.5.232.61:6999
João,
Além de executar o openvpn como administrador, senão ele não consegue criar as rotas, crie essas linhas dentro do arquivo da matriz:
# Indica que ele usa TLS como o servidor
tls-server
# Chave para autenticação TLS
tls-auth keys/ta.key 0
# Algoritmo de cifra
cipher BF-CBC
###############
Essa chave ta.key foi criada pelo comando
dentro do diretório do openvpn.
e na filial coloque a seguinte linha:
tls-auth keys/ta.key 1
Esse ta.key da filial é o arquivo gerado na MATRIZ, não crie outro ou vai dar erro, tem que ser o mesmo arquivo da matriz.
Abraços.
Mon Apr 09 11:14:08 2012 NOTE: –user option is not implemented on Windows
Mon Apr 09 11:14:08 2012 NOTE: –group option is not implemented on Windows
Mon Apr 09 11:14:08 2012 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Mon Apr 09 11:14:08 2012 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Mon Apr 09 11:14:08 2012 Control Channel Authentication: using ‘ta.key’ as a OpenVPN static key file
Mon Apr 09 11:14:08 2012 Outgoing Control Channel Authentication: Using 160 bit message hash ‘SHA1′ for HMAC authentication
Mon Apr 09 11:14:08 2012 Incoming Control Channel Authentication: Using 160 bit message hash ‘SHA1′ for HMAC authentication
Mon Apr 09 11:14:08 2012 LZO compression initialized
Mon Apr 09 11:14:08 2012 Control Channel MTU parms [ L:1542 D:166 EF:66 EB:0 ET:0 EL:0 ]
Mon Apr 09 11:14:08 2012 TAP-WIN32 device [Conexão local 6] opened: \\.\Global\{20C38AEB-0331-4CA0-9622-786233FDFFC2}.tap
Mon Apr 09 11:14:08 2012 TAP-Win32 Driver Version 8.4
Mon Apr 09 11:14:08 2012 TAP-Win32 MTU=1500
Mon Apr 09 11:14:08 2012 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.255.2/255.255.255.252 on interface {20C38AEB-0331-4CA0-9622-786233FDFFC2} [DHCP-serv: 192.168.255.1, lease-time: 31536000]
Mon Apr 09 11:14:08 2012 Successful ARP Flush on interface [65541] {20C38AEB-0331-4CA0-9622-786233FDFFC2}
Mon Apr 09 11:14:08 2012 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Apr 09 11:14:08 2012 Local Options hash (VER=V4): ‘eda1feb8′
Mon Apr 09 11:14:08 2012 Expected Remote Options hash (VER=V4): ’8cf9b57d’
Mon Apr 09 11:14:08 2012 UDPv4 link local (bound): [undef]:6999
Mon Apr 09 11:14:08 2012 UDPv4 link remote: 189.5.232.61:6999
e nao pingou ainda o que sera que posso estar fazendo de errado se vc tiver msn skype e quizer me add
A conexão não foi fechada na vpn, no final do log fica sempre: “Sequence completed” quando a conexão e fechada
Mon Apr 09 11:15:10 2012 Preserving previous TUN/TAP instance: Conexão local 6
Mon Apr 09 11:15:10 2012 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Apr 09 11:15:10 2012 Local Options hash (VER=V4): ‘eda1feb8′
Mon Apr 09 11:15:10 2012 Expected Remote Options hash (VER=V4): ’8cf9b57d’
Mon Apr 09 11:15:10 2012 UDPv4 link local (bound): [undef]:6999
Mon Apr 09 11:15:10 2012 UDPv4 link remote: 189.5.232.61:6999
Mon Apr 09 11:16:11 2012 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Mon Apr 09 11:16:11 2012 TLS Error: TLS handshake failed
Mon Apr 09 11:16:11 2012 TCP/UDP: Closing socket
Mon Apr 09 11:16:11 2012 SIGUSR1[soft,tls-error] received, process restarting
Mon Apr 09 11:16:11 2012 Restart pause, 2 second(s)
Mon Apr 09 11:16:13 2012 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Mon Apr 09 11:16:13 2012 Re-using SSL/TLS context
Mon Apr 09 11:16:13 2012 LZO compression initialized
Mon Apr 09 11:16:13 2012 Control Channel MTU parms [ L:1542 D:166 EF:66 EB:0 ET:0 EL:0 ]
Mon Apr 09 11:16:13 2012 Preserving previous TUN/TAP instance: Conexão local 6
Mon Apr 09 11:16:13 2012 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Apr 09 11:16:13 2012 Local Options hash (VER=V4): ‘eda1feb8′
Mon Apr 09 11:16:13 2012 Expected Remote Options hash (VER=V4): ’8cf9b57d’
Mon Apr 09 11:16:13 2012 UDPv4 link local (bound): [undef]:6999
Mon Apr 09 11:16:13 2012 UDPv4 link remote: 189.5.232.61:6999
Mestre, tudo na paz?
Cara eu fiz tudo certinho com algumas mudanças devido minhas faixas de IP…. só que quando mando iniciar o OPENVPN ele aparentmente starta…. Só que não sobe a interface tun….
No dmesg me dá a seguinte mensagem:
Loading kernel module for a network device with CAP_SYS_MODULE (deprecated). Use CAP_NET_ADMIN and alias netdev-tun instead
Me dá a moral pra resolver esse problema….
Parabéns pelo artigo!!!!
Você já tentou fazer: “modprobe tun” manualmente antes de executar o openvpn?
Já tentei mestre…. Por enquanto ainda estou configurando somente o server… meu arquivo matriz.conf
dev tun
port 6999
proto udp
ca keys/ca.crt
cert keys/matriz.crt
key keys/matriz.key
dh keys/dh1024.pem
server 192.168.255.0 255.255.255.0
push “route 192.168.2.0 255.255.255.0″
keepalive 10 120
max-clients 5
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
verb 3
Aparentemente tudo certo, mas quando eu starto o openvpn ele não sobe a interface tun… Tem alguma sugestão pra me dar?
Valeu pela rápida resposta…
Parece ser problema com o módulo tun do kernel.
Tenta colocar outra versão ou reinstalar seu kernel atual.
Sua distribuição está atualizada?
Estou com kernel 3.2 e Ubuntu 11.04 Server….. Estou pesuqisando aqui pra solucionar esse problema….. Já dei purge no pacote e comecei tudo do zero e mesmo assim anda deu certo…. AFF
quando entra no windows inicio o open gui no log no linux esta assim
OpenVPN CLIENT LIST
Updated,Tue Apr 10 12:39:00 2012
Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since
ROUTING TABLE
Virtual Address,Common Name,Real Address,Last Ref
GLOBAL STATS
Max bcast/mcast queue length,0
END
Vagner Fonseca
vc teria mais alguma ideia o que poderia estar acontecendo em minha rede
João,
É difícil dizer assim sem conhecer o ambiente, mas você fez as alterações nos arquivos matriz e filial que te mandei, as de colocar o tls e a chave tls, pois pelo log está dando o erro de não achar as chaves.
Bom dia Vagner,
Antes de mais nada, parabéns pelo post. O arqtigo está muito claro, bem explicado e me foi muito útil.
Entretanto, estou enfrentando um problema e gostaria, se possível, da sua ajuda.
Fiz o procedimento conforme vc explicou no vídeo.
O servidor da minha matriz possui o endereço 192.168.0.100
A minha máquina (vendedor) possui o endereço 192.168.4.12
Estou acessando o servidor via dyndns.
O arquivo matriz.conf está da seguinte forma:
dev tun
port 6999
proto udp
ca keys/ca.crt
cert keys/matriz.crt
key keys/matriz.key
dh keys/dh1024.pem
server 192.168.255.0 255.255.255.0
push “route 192.168.0.0 255.255.255.0″
keepalive 10 120
max-clients 15
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
verb 3
O arquivo allan.ovpn (vendedor) está da seguinte forma:
dev tun
port 6999
proto udp
remote meuservidor.dyndns.org
ifconfig 192.168.255.2 192.168.255.1
ca ca.crt
cert allan.crt
key allan.key
tls-client
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
verb 3
Eu conecto a VPN sem problemas, porém não consigo acessá-la.
Quando dou ping do cliente para o servidor (ping 192.168.255.1) recebo a mensagem “Rede de destino inacessivel”
Onde estaria o problema?
Grato,
Allan Medeiros
Allan,
Essa resposta eu usei para o João Benevides, mas deve servir pra você, pois parece que falta o TLS.
Além de executar o openvpn como administrador, senão ele não consegue criar as rotas, crie essas linhas dentro do arquivo da matriz:
# Indica que ele usa TLS como o servidor
tls-server
# Chave para autenticação TLS
tls-auth keys/ta.key 0
# Algoritmo de cifra
cipher BF-CBC
###############
Essa chave ta.key foi criada pelo comando
dentro do diretório do openvpn.
e na filial coloque a seguinte linha:
tls-auth keys/ta.key 1
Esse ta.key da filial é o arquivo gerado na MATRIZ, não crie outro ou vai dar erro, tem que ser o mesmo arquivo da matriz.
Abraços.
Boa tarde Vagner,
Antes de mais nada, obrigado pela ajuda.
Fiz as modificações propostas mas o erro permanece.
Segue o log do openvpn no cliente:
********************
Mon Apr 23 12:43:12 2012 NOTE: –user option is not implemented on Windows
Mon Apr 23 12:43:12 2012 NOTE: –group option is not implemented on Windows
Mon Apr 23 12:43:12 2012 OpenVPN 2.2.2 Win32-MSVC++ [SSL] [LZO2] [PKCS11] built on Dec 15 2011
Mon Apr 23 12:43:12 2012 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Mon Apr 23 12:43:12 2012 NOTE: OpenVPN 2.1 requires ‘–script-security 2′ or higher to call user-defined scripts or executables
Mon Apr 23 12:43:12 2012 Control Channel Authentication: using ‘ta.key’ as a OpenVPN static key file
Mon Apr 23 12:43:12 2012 Outgoing Control Channel Authentication: Using 160 bit message hash ‘SHA1′ for HMAC authentication
Mon Apr 23 12:43:12 2012 Incoming Control Channel Authentication: Using 160 bit message hash ‘SHA1′ for HMAC authentication
Mon Apr 23 12:43:12 2012 LZO compression initialized
Mon Apr 23 12:43:12 2012 Control Channel MTU parms [ L:1542 D:166 EF:66 EB:0 ET:0 EL:0 ]
Mon Apr 23 12:43:12 2012 Socket Buffers: R=[8192->8192] S=[8192->8192]
Mon Apr 23 12:43:13 2012 TAP-WIN32 device [Conexão local 2] opened: \\.\Global\{698DBC54-AFEC-44D7-9DE8-DE97A56D0F17}.tap
Mon Apr 23 12:43:13 2012 TAP-Win32 Driver Version 9.9
Mon Apr 23 12:43:13 2012 TAP-Win32 MTU=1500
Mon Apr 23 12:43:13 2012 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.255.2/255.255.255.252 on interface {698DBC54-AFEC-44D7-9DE8-DE97A56D0F17} [DHCP-serv: 192.168.255.1, lease-time: 31536000]
Mon Apr 23 12:43:13 2012 Successful ARP Flush on interface [21] {698DBC54-AFEC-44D7-9DE8-DE97A56D0F17}
Mon Apr 23 12:43:13 2012 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Apr 23 12:43:13 2012 Local Options hash (VER=V4): ‘eda1feb8′
Mon Apr 23 12:43:13 2012 Expected Remote Options hash (VER=V4): ’8cf9b57d’
Mon Apr 23 12:43:13 2012 UDPv4 link local (bound): [undef]:6999
Mon Apr 23 12:43:13 2012 UDPv4 link remote: ip.do.serv.idor:6999
Mon Apr 23 12:43:13 2012 TLS: Initial packet from ip.do.serv.idor:6999, sid=58d6c804 2e0451de
Mon Apr 23 12:43:18 2012 VERIFY OK: depth=1, /C=BR/ST=PB/L=Joao_Pessoa/O=/OU=TI/CN=/name=/emailAddress=
Mon Apr 23 12:43:18 2012 VERIFY OK: depth=0, /C=BR/ST=PB/L=Joao_Pessoa/O=/OU=TI/CN=/name=/emailAddress=
Mon Apr 23 12:43:25 2012 WARNING: ‘ifconfig’ is present in local config but missing in remote config, local=’ifconfig 192.168.255.2 192.168.255.1′
Mon Apr 23 12:43:25 2012 Data Channel Encrypt: Cipher ‘BF-CBC’ initialized with 128 bit key
Mon Apr 23 12:43:25 2012 Data Channel Encrypt: Using 160 bit message hash ‘SHA1′ for HMAC authentication
Mon Apr 23 12:43:25 2012 Data Channel Decrypt: Cipher ‘BF-CBC’ initialized with 128 bit key
Mon Apr 23 12:43:25 2012 Data Channel Decrypt: Using 160 bit message hash ‘SHA1′ for HMAC authentication
Mon Apr 23 12:43:25 2012 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Mon Apr 23 12:43:25 2012 [Matriz] Peer Connection Initiated with ip.do.serv.idor:6999
Mon Apr 23 12:43:31 2012 TEST ROUTES: 0/0 succeeded len=-1 ret=1 a=0 u/d=up
Mon Apr 23 12:43:31 2012 Initialization Sequence Completed
********************
Grande Abraço,
Allan Medeiros
Pelo que li, esta faltando o parametro ifconfig no arquivo da matriz…
Você tem esse parametro lá?
ou se está usando o modo server, tente remover o ifconfig do vendedor.
Ao remover o ifconfig do vendedor ocorre o seguinte erro:
Mon Apr 23 16:31:00 2012 NOTE: –user option is not implemented on Windows
Mon Apr 23 16:31:00 2012 NOTE: –group option is not implemented on Windows
Options error: On Windows, –ifconfig is required when –dev tun is used
Use –help for more information.
Allan,
Pelo que parece você tem que ter na matriz a opção ifconfig.
Olá Vagner, e pessoal do coperaTI, achei seu video muito claro e objetivo.
é muito difícil achar um material tão bom assim na internet.
vi que estava cheio de comentários aqui no post, mas nenhum esclareceu minhas dúvidas, então também vou deixar o meu comentário aqui.
1° a contextualização do problema.
Tenho uma VPS, com o OPENVPN instalado, ubuntu 11.04
e no ifconfig tenho estas configurações:
root@akylez:/etc/openvpn# ifconfig
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:15.15.15.1 P-t-P:15.15.15.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:38 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:3192 (3.1 KB)
venet0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
UP BROADCAST POINTOPOINT RUNNING NOARP PROMISC MTU:1500 Metric:1
RX packets:1113989 errors:0 dropped:0 overruns:0 frame:0
TX packets:3621014 errors:0 dropped:74 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:103943594 (103.9 MB) TX bytes:372782839 (372.7 MB)
venet0:0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:13.21.187.187 P-t-P:13.21.187.187 Bcast:0.0.0.0 Mask:255.255.255.255
UP BROADCAST POINTOPOINT RUNNING NOARP PROMISC MTU:1500 Metric:1
desta configuração, sei que o tun0 foi o dispositivo de tunelamento, criado pelo openvpn.
minhas configurações de vpn estão assim:
# Dispositivo usado pela VPN
dev tun
# Porta usada para conexão
port 1979
# Protocolo de conexão
proto udp
# Certificado da CA
ca keys/ca.crt
# Certificado do Servidor de VPN (Matriz)
cert keys/servidor.crt
# Chave usada pela matriz
key keys/servidor.key
# Chave Diffie-Hellman
dh keys/dh2048.pem
# Rede usada pela VPN (Matriz 20.20.20.1 e os clientes a partir de 20.20.20.2)
server 15.15.15.0 255.255.255.0
# Rota usada pelos clientes para acessar a rede da matriz
push “route 10.0.0.0 255.255.255.0″
# Envia um ping a cada 10 segundos e cancela a conexão se não houver resposta em 120 segundos
keepalive 10 120
# Máximo de clientes conectados simultaneamente
max-clients 15
# Compressão usando lzma
comp-lzo
# Usuário e grupo que o openvpn usará para ser executado
user nobody
group nogroup
# Manter a chave e os túneis persistentes
persist-key
persist-tun
# Nível de Log.
verb 3
# Informações de status da conexão
status /var/log/openvpn/arquivo-status.log
# Arquivo de log
log-append /var/log/openvpn/arquivo.log
~
meu arquivo de configuração do windows está assim:
# Dispositivo usado pela VPN
dev tun
# Porta usada para conexão
port 1979
# Protocolo de conexão
proto udp
# Endereço de IP (REAL) da matriz para os clientes fecharem a conexão
remote 13.21.187.187
# Endereço usado pelo cliente e o endereço que deve ser procurado no servidor
ifconfig 15.15.15.2 15.15.15.1
# Certificado da CA
ca ca.crt
# Certificado do cliente
cert Notebooklg.crt
# Chave do cliente
key Notebooklg.key
# No Windows não preciso especificar que ele é cliente de TLS
tls-client
# Envia um ping a cada 10 segundos e cancela a conexão se não houver resposta em 120 segundos
keepalive 10 120
# Compressão usando lzma
comp-lzo
# Usuário e grupo que o openvpn usará para ser executado
user nobody
group nogroup
# Manter a chave e os túneis persistentes
persist-key
persist-tun
# Nível de Log.
verb 3
Agora que vocês já sabem como estão minhas configurações, segue os arquivos de logs:
no log do Ubuntu, temos:
SIOCSIFFLAGS: Permission denied
Thu May 24 17:10:40 2012 Linux ip addr del failed: external program exited with error status: 255
Thu May 24 17:10:40 2012 SIGTERM[hard,] received, process exiting
Thu May 24 17:10:41 2012 OpenVPN 2.1.3 x86_64-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [MH] [PF_INET6] [eurephia] built on Mar 11 2011
Thu May 24 17:10:41 2012 NOTE: the current –script-security setting may allow this configuration to call user-defined scripts
Thu May 24 17:10:41 2012 Diffie-Hellman initialized with 2048 bit key
Thu May 24 17:10:41 2012 /usr/bin/openssl-vulnkey -q -b 2048 -m
Thu May 24 17:10:42 2012 TLS-Auth MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu May 24 17:10:42 2012 Socket Buffers: R=[133120->131072] S=[133120->131072]
Thu May 24 17:10:42 2012 ROUTE default_gateway=13.21.187.187
Thu May 24 17:10:42 2012 TUN/TAP device tun0 opened
Thu May 24 17:10:42 2012 TUN/TAP TX queue length set to 100
Thu May 24 17:10:42 2012 /sbin/ifconfig tun0 15.15.15.1 pointopoint 15.15.15.2 mtu 1500
Thu May 24 17:10:42 2012 /sbin/route add -net 15.15.15.0 netmask 255.255.255.0 gw 15.15.15.2
Thu May 24 17:10:42 2012 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Thu May 24 17:10:42 2012 GID set to nogroup
Thu May 24 17:10:42 2012 UID set to nobody
Thu May 24 17:10:42 2012 UDPv4 link local (bound): [undef]
Thu May 24 17:10:42 2012 UDPv4 link remote: [undef]
Thu May 24 17:10:42 2012 MULTI: multi_init called, r=256 v=256
Thu May 24 17:10:42 2012 IFCONFIG POOL: base=15.15.15.4 size=62
Thu May 24 17:10:42 2012 Initialization Sequence Completed
Thu May 24 17:10:46 2012 MULTI: multi_create_instance called
Thu May 24 17:10:46 2012 189.34.66.120:1979 Re-using SSL/TLS context
Thu May 24 17:10:46 2012 189.34.66.120:1979 LZO compression initialized
Thu May 24 17:10:46 2012 189.34.66.120:1979 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu May 24 17:10:46 2012 189.34.66.120:1979 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Thu May 24 17:10:46 2012 189.34.66.120:1979 Local Options hash (VER=V4): ’530fdded’
Thu May 24 17:10:46 2012 189.34.66.120:1979 Expected Remote Options hash (VER=V4): ’41690919′
Thu May 24 17:10:46 2012 189.34.66.120:1979 TLS: Initial packet from [AF_INET]189.34.66.120:1979, sid=5b90bb56 5ad5d4ea
Thu May 24 17:10:51 2012 189.34.66.120:1979 VERIFY OK: depth=1, /C=BR/ST=PR/L=Curitiba/O=Servidor/CN=Servidor_CA/name=Servidor_CA/emailAddress=lg@gmail.com
Thu May 24 17:10:51 2012 189.34.66.120:1979 VERIFY OK: depth=0, /C=BR/ST=PR/L=Curitiba/O=Akylez/CN=Notebooklg/name=Notebooklg/emailAddress=lg@gmail.com
Thu May 24 17:10:52 2012 189.34.66.120:1979 WARNING: ‘ifconfig’ is present in remote config but missing in local config, remote=’ifconfig 15.15.15.1 15.15.15.2′
Thu May 24 17:10:52 2012 189.34.66.120:1979 Data Channel Encrypt: Cipher ‘BF-CBC’ initialized with 128 bit key
Thu May 24 17:10:52 2012 189.34.66.120:1979 Data Channel Encrypt: Using 160 bit message hash ‘SHA1′ for HMAC authentication
Thu May 24 17:10:52 2012 189.34.66.120:1979 Data Channel Decrypt: Cipher ‘BF-CBC’ initialized with 128 bit key
Thu May 24 17:10:52 2012 189.34.66.120:1979 Data Channel Decrypt: Using 160 bit message hash ‘SHA1′ for HMAC authentication
Thu May 24 17:10:53 2012 189.34.66.120:1979 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Thu May 24 17:10:53 2012 189.34.66.120:1979 [Notebooklg] Peer Connection Initiated with [AF_INET]189.34.66.120:1979
Thu May 24 17:10:53 2012 Notebooklg/189.34.66.120:1979 MULTI: Learn: 15.15.15.6 -> Notebooklg/189.34.66.120:1979
Thu May 24 17:10:53 2012 Notebooklg/189.34.66.120:1979 MULTI: primary virtual IP for Notebooklg/189.34.66.120:1979: 15.15.15.6
Thu May 24 17:10:53 2012 Notebooklg/189.34.66.120:1979 Need IPv6 code in mroute_extract_addr_from_packet
Thu May 24 17:10:54 2012 Notebooklg/189.34.66.120:1979 Need IPv6 code in mroute_extract_addr_from_packet
Thu May 24 17:10:54 2012 Notebooklg/189.34.66.120:1979 Need IPv6 code in mroute_extract_addr_from_packet
Thu May 24 17:10:57 2012 Notebooklg/189.34.66.120:1979 Need IPv6 code in mroute_extract_addr_from_packet
Thu May 24 17:10:59 2012 Notebooklg/189.34.66.120:1979 Need IPv6 code in mroute_extract_addr_from_packet
Thu May 24 17:11:00 2012 Notebooklg/189.34.66.120:1979 Need IPv6 code in mroute_extract_addr_from_packet
Thu May 24 17:11:01 2012 Notebooklg/189.34.66.120:1979 Need IPv6 code in mroute_extract_addr_from_packet
Thu May 24 17:11:02 2012 Notebooklg/189.34.66.120:1979 Need IPv6 code in mroute_extract_addr_from_packet
Thu May 24 17:11:04 2012 Notebooklg/189.34.66.120:1979 Need IPv6 code in mroute_extract_addr_from_packet
Thu May 24 17:11:07 2012 Notebooklg/189.34.66.120:1979 Need IPv6 code in mroute_extract_addr_from_packet
Thu May 24 17:11:10 2012 Notebooklg/189.34.66.120:1979 Need IPv6 code in mroute_extract_addr_from_packet
do lado do windows temos:
Thu May 24 10:09:55 2012 NOTE: –user option is not implemented on Windows
Thu May 24 10:09:55 2012 NOTE: –group option is not implemented on Windows
Thu May 24 10:09:55 2012 OpenVPN 2.2.2 Win32-MSVC++ [SSL] [LZO2] [PKCS11] built on Dec 15 2011
Thu May 24 10:09:55 2012 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Thu May 24 10:09:55 2012 NOTE: OpenVPN 2.1 requires ‘–script-security 2′ or higher to call user-defined scripts or executables
Thu May 24 10:09:56 2012 LZO compression initialized
Thu May 24 10:09:56 2012 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu May 24 10:09:56 2012 Socket Buffers: R=[8192->8192] S=[8192->8192]
Thu May 24 10:09:56 2012 TAP-WIN32 device [Conexão local] opened: \\.\Global\{81088454-FD0E-4DE0-9850-F8D43BBC263D}.tap
Thu May 24 10:09:56 2012 TAP-Win32 Driver Version 9.9
Thu May 24 10:09:56 2012 TAP-Win32 MTU=1500
Thu May 24 10:09:56 2012 Notified TAP-Win32 driver to set a DHCP IP/netmask of 15.15.15.2/255.255.255.252 on interface {81088454-FD0E-4DE0-9850-F8D43BBC263D} [DHCP-serv: 15.15.15.1, lease-time: 31536000]
Thu May 24 10:09:56 2012 NOTE: FlushIpNetTable failed on interface [18] {81088454-FD0E-4DE0-9850-F8D43BBC263D} (status=5) : Acesso negado.
Thu May 24 10:09:56 2012 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Thu May 24 10:09:56 2012 Local Options hash (VER=V4): ’47cd1982′
Thu May 24 10:09:56 2012 Expected Remote Options hash (VER=V4): ’9fa2f175′
Thu May 24 10:09:56 2012 UDPv4 link local (bound): [undef]:1979
Thu May 24 10:09:56 2012 UDPv4 link remote: 13.21.187.187:1979
Thu May 24 10:10:39 2012 TCP/UDP: Closing socket
Thu May 24 10:10:39 2012 Closing TUN/TAP interface
Thu May 24 10:10:39 2012 SIGTERM[hard,] received, process exiting
Thu May 24 10:10:40 2012 NOTE: –user option is not implemented on Windows
Thu May 24 10:10:40 2012 NOTE: –group option is not implemented on Windows
Thu May 24 10:10:40 2012 OpenVPN 2.2.2 Win32-MSVC++ [SSL] [LZO2] [PKCS11] built on Dec 15 2011
Thu May 24 10:10:40 2012 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Thu May 24 10:10:40 2012 NOTE: OpenVPN 2.1 requires ‘–script-security 2′ or higher to call user-defined scripts or executables
Thu May 24 10:10:41 2012 LZO compression initialized
Thu May 24 10:10:41 2012 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu May 24 10:10:41 2012 Socket Buffers: R=[8192->8192] S=[8192->8192]
Thu May 24 10:10:41 2012 TAP-WIN32 device [Conexão local] opened: \\.\Global\{81088454-FD0E-4DE0-9850-F8D43BBC263D}.tap
Thu May 24 10:10:41 2012 TAP-Win32 Driver Version 9.9
Thu May 24 10:10:41 2012 TAP-Win32 MTU=1500
Thu May 24 10:10:41 2012 Notified TAP-Win32 driver to set a DHCP IP/netmask of 15.15.15.2/255.255.255.252 on interface {81088454-FD0E-4DE0-9850-F8D43BBC263D} [DHCP-serv: 15.15.15.1, lease-time: 31536000]
Thu May 24 10:10:41 2012 NOTE: FlushIpNetTable failed on interface [18] {81088454-FD0E-4DE0-9850-F8D43BBC263D} (status=5) : Acesso negado.
Thu May 24 10:10:41 2012 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Thu May 24 10:10:41 2012 Local Options hash (VER=V4): ’47cd1982′
Thu May 24 10:10:41 2012 Expected Remote Options hash (VER=V4): ’9fa2f175′
Thu May 24 10:10:41 2012 UDPv4 link local (bound): [undef]:1979
Thu May 24 10:10:41 2012 UDPv4 link remote: 13.21.187.187:1979
Thu May 24 10:10:41 2012 TLS: Initial packet from 13.21.187.187:1979, sid=12bbbb56 6b373eac
Thu May 24 10:10:43 2012 VERIFY OK: depth=1, /C=BR/ST=PR/L=Curitiba/O=Servidor/CN=Servidor_CA/name=_CA/emailAddress=lg@gmail.com
Thu May 24 10:10:43 2012 VERIFY OK: depth=0, /C=BR/ST=PR/L=Curitiba/O=Servidor/CN=Servidor/name=Servidor/emailAddress=lg@gmail.com
Thu May 24 10:10:47 2012 WARNING: ‘ifconfig’ is present in local config but missing in remote config, local=’ifconfig 15.15.15.2 15.15.15.1′
Thu May 24 10:10:47 2012 Data Channel Encrypt: Cipher ‘BF-CBC’ initialized with 128 bit key
Thu May 24 10:10:47 2012 Data Channel Encrypt: Using 160 bit message hash ‘SHA1′ for HMAC authentication
Thu May 24 10:10:47 2012 Data Channel Decrypt: Cipher ‘BF-CBC’ initialized with 128 bit key
Thu May 24 10:10:47 2012 Data Channel Decrypt: Using 160 bit message hash ‘SHA1′ for HMAC authentication
Thu May 24 10:10:47 2012 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Thu May 24 10:10:47 2012 [Servidor] Peer Connection Initiated with 13.21.187.187:1979
Thu May 24 10:10:53 2012 TEST ROUTES: 0/0 succeeded len=-1 ret=1 a=0 u/d=up
Thu May 24 10:10:53 2012 Initialization Sequence Completed
minha rede física está assim:
1) um notebook que está ligado a um roteador (rede interna atribuida pelo DHPC do Roteador, 192.162.2.2)
2) o roteador está ligado a um modem da net com ip dinâmico (ip atribuido pelo net virtua para o modem é: 189.34.66.120)
3) um VPS, com ip 13.21.187.187,
O que eu gostaria de fazer:
Utilizar o VPS, como Gateway de toda informação que chega a minha rede domêstica, via VPN.
para isso, gostaria de configurar uma VPN com a seguinte vigência:
VPS (Gateway principal), ip 15.15.15.1 e demais máquinas: 15.15.15.x
utilizando a porta 1979 do VPS.
(pretendo fazer uma bridge depois), mas primeiro preciso que o VPN esteja funcionando 100%.
Você poderia ajudar este humilde fã de seu Blog?
Obrigado por toda informação disponibilizada e até breve!
Luiz,
Ainda não compreendi o que você quer, se a VPN funcionar como o VPS pode acessar as outras vpns por ele.
Caro mestre,
segui passo-a-passo o video, a conexão vpn (cliente x servidor), linux x windows funcionou perfeitamente, estendi até p/ um outro servidor windows.
Porém gostaria de saber como inverter, transformando o linux em cliente e no windows em servidor.
Abraços!!!
André,
Fazer essa mudança no esquema é um trabalho muito grande e complicado, vamos lá:
1 Passo:
mude os arquivos do linux para o windows e do windows para o linux e corrija os IP.
2 Passo:
reincie os serviços.
Pronto.
Boa noite Vagner
ve se voce pode me ajudar vi seu video e executei o processo em um servidor com a dristro fedora ate ai tudo bem o problema é o seguinte no sever ela dou o start ok no cliente windows 7 tambem da ok olhe o log windows:
Thu Jun 07 19:18:28 2012 [matriz] Peer Connection Initiated with 201.xxx.xxx.xxx:1194
Thu Jun 07 19:18:30 2012 SENT CONTROL [matriz]: ‘PUSH_REQUEST’ (status=1)
Thu Jun 07 19:18:30 2012 PUSH: Received control message: ‘PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 208.67.222.222,dhcp-option DNS 208.67.220.220,route 192.168.10.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 192.168.10.6 192.168.10.5′
Thu Jun 07 19:18:30 2012 OPTIONS IMPORT: timers and/or timeouts modified
Thu Jun 07 19:18:30 2012 OPTIONS IMPORT: –ifconfig/up options modified
Thu Jun 07 19:18:30 2012 OPTIONS IMPORT: route options modified
Thu Jun 07 19:18:30 2012 OPTIONS IMPORT: –ip-win32 and/or –dhcp-option options modified
Thu Jun 07 19:18:30 2012 ROUTE default_gateway=192.168.1.1
Thu Jun 07 19:18:30 2012 TAP-WIN32 device [Conexão local 4] opened: \\.\Global\{EA4D022C-BAA8-4739-AD2B-A6DF63390359}.tap
Thu Jun 07 19:18:30 2012 TAP-Win32 Driver Version 9.9
Thu Jun 07 19:18:30 2012 TAP-Win32 MTU=1500
Thu Jun 07 19:18:30 2012 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.10.6/255.255.255.252 on interface {EA4D022C-BAA8-4739-AD2B-A6DF63390359} [DHCP-serv: 192.168.10.5, lease-time: 31536000]
Thu Jun 07 19:18:30 2012 Successful ARP Flush on interface [30] {EA4D022C-BAA8-4739-AD2B-A6DF63390359}
Thu Jun 07 19:18:36 2012 TEST ROUTES: 2/2 succeeded len=1 ret=1 a=0 u/d=up
Thu Jun 07 19:18:36 2012 C:\WINDOWS\system32\route.exe ADD 201.83.94.253 MASK 255.255.255.255 192.168.1.1
OK!
Thu Jun 07 19:18:36 2012 C:\WINDOWS\system32\route.exe ADD 0.0.0.0 MASK 128.0.0.0 192.168.10.5
OK!
Thu Jun 07 19:18:36 2012 C:\WINDOWS\system32\route.exe ADD 128.0.0.0 MASK 128.0.0.0 192.168.10.5
OK!
Thu Jun 07 19:18:36 2012 C:\WINDOWS\system32\route.exe ADD 192.168.10.0 MASK 255.255.255.0 192.168.10.5
OK!
Thu Jun 07 19:18:36 2012 Initialization Sequence Completed
ok ate ai tudo bem mas no ruindows7 na parte de rede aparece rede nao identifica em propriedades so parece o ip do micro e do server dhcp e dns em gateway nao tem nada mas se eu dou um ping em 192.168.10.1 ele pinga semperca
e resultado de tudo isto nao compartilha nada.
se puder me ajudar eu agradeço estou ficando doido … Obrigado
Ronaldo,
No Windows7 é preciso iniciar o OpenVPN como Administrador pois se não for feito desta forma ele não inicializa a rota.
Boa tarde eu tenho uma duvida, se eu eu tenho dois servidores linux um na matriz e outro na filiau eu sou iniciante em linux e queri que as duas redes se comunicassem sem ter que instalar nada no windows so mecher nos dois linux te como ?
Bruno,
Basta fazer o roteamento nos Linux para que ele seja gateway de vpn das duas redes.
Caro Vagner,
a seguinte mensagem é retorna ao tentar subir o openvpn não gera nenhum log a maquina está virtualizada em um xen-server interfere alguma coisa?
root@ubuntuxencel:/etc/openvpn# /etc/init.d/openvpn start
* Starting virtual private network daemon(s)… [fail] * Autostarting VPN ’matriz’
root@ubuntuxencel:/etc/openvpn# /etc/init.d/openvpn restart
* Stopping virtual private network daemon(s)… * No VPN is running.
* Starting virtual private network daemon(s)… [fail] * Autostarting VPN ’matriz’
root@ubuntuxencel:/etc/openvpn# cat /var/log/openvpn.log
root@ubuntuxencel:/etc/openvpn# cat /var/log/openvpn.stats
root@ubuntuxencel:/etc/openvpn# cat /etc/openvpn/matriz.conf
dev tun
port 9992
proto udp
ca keys/ca.crt
cert keys/matriz.key
dh keys/dh1024.pem
server 192.168.50.0 255.255.255.0
push ”route 192.168.1.0 255.255.255.0″
keep alive 10 120
float
max-clients 10
comp-lzo
user nobody
group nobody
persist-key
persist-tun
log-append /var/log/openvpn.log
verb 6
status /var/log/openvpn.stats
root@ubuntuxencel:/etc/openvpn# ls -lah keys/
total 76K
drwx—— 2 root root 4.0K 2012-07-19 11:41 .
drwxr-xr-x 3 root root 4.0K 2012-07-19 11:33 ..
-rw-r–r– 1 root root 4.0K 2012-07-19 11:37 01.pem
-rw-r–r– 1 root root 3.9K 2012-07-19 11:39 02.pem
-rw-r–r– 1 root root 1.4K 2012-07-19 11:35 ca.crt
-rw——- 1 root root 891 2012-07-19 11:35 ca.key
-rw-r–r– 1 root root 245 2012-07-19 11:41 dh1024.pem
-rw-r–r– 1 root root 256 2012-07-19 11:39 index.txt
-rw-r–r– 1 root root 21 2012-07-19 11:39 index.txt.attr
-rw-r–r– 1 root root 21 2012-07-19 11:37 index.txt.attr.old
-rw-r–r– 1 root root 126 2012-07-19 11:37 index.txt.old
-rw-r–r– 1 root root 4.0K 2012-07-19 11:37 matriz.crt
-rw-r–r– 1 root root 716 2012-07-19 11:37 matriz.csr
-rw——- 1 root root 887 2012-07-19 11:37 matriz.key
-rw-r–r– 1 root root 3 2012-07-19 11:39 serial
-rw-r–r– 1 root root 3 2012-07-19 11:37 serial.old
-rw-r–r– 1 root root 3.9K 2012-07-19 11:39 trabalho.crt
-rw-r–r– 1 root root 720 2012-07-19 11:39 trabalho.csr
-rw——- 1 root root 891 2012-07-19 11:39 trabalho.key
root@ubuntuxencel:/etc/openvpn#
Olá Vagner, antes de tudo, muito obrigado por criar este vídeo. Eu fiz conforme sua orientação fazendo minhas modificações necessárias. Porém, agora quando mando conectar o OpenVPN, aparece a seguinte mensagem:
Tue Jul 31 12:11:24 2012 TCP/UDP: Incoming packet rejected from 10.0.0.239:9999[2], expected peer address: 177.0.102.51:9999 (allow this incoming source address/port by removing –remote or adding –float)
Você pode dar uma ajuda?
Helton,
Você liberou essa porta no seu firewall? Ou fez o redirecionamento para ela?
Vagner, de lá para cá eu refiz as configurações da openvpn. Usando a porta 1194 mesmo. Eu já liberei essa porta no ipfirewall que uso aqui. Lembrando que montei a openvpn no FreeBSD 9.
Consigo fazer a conexão. Segue o log:
Thu Aug 02 10:58:32 2012 OpenVPN 2.2.2 Win32-MSVC++ [SSL] [LZO2] [PKCS11] built on Dec 15 2011
Thu Aug 02 10:58:32 2012 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Thu Aug 02 10:58:32 2012 NOTE: OpenVPN 2.1 requires ‘–script-security 2′ or higher to call user-defined scripts or executables
Thu Aug 02 10:58:32 2012 Control Channel Authentication: using ‘chave.key’ as a OpenVPN static key file
Thu Aug 02 10:58:32 2012 LZO compression initialized
Thu Aug 02 10:58:32 2012 UDPv4 link local (bound): [undef]:1194
Thu Aug 02 10:58:32 2012 UDPv4 link remote: xxx.xxx.xxx.xxx:1194
Thu Aug 02 10:58:33 2012 [matriz] Peer Connection Initiated with xxx.xxx.xxx.xxx:1194
Thu Aug 02 10:58:36 2012 TAP-WIN32 device [Conexão local 2] opened: \\.\Global\{58DF0724-B653-40D6-ABE8-F868A523FFC2}.tap
Thu Aug 02 10:58:36 2012 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.255.6/255.255.255.252 on interface {58DF0724-B653-40D6-ABE8-F868A523FFC2} [DHCP-serv: 192.168.255.5, lease-time: 31536000]
Thu Aug 02 10:58:36 2012 Successful ARP Flush on interface [65540] {58DF0724-B653-40D6-ABE8-F868A523FFC2}
Thu Aug 02 10:58:42 2012 Initialization Sequence Completed.
Com a conexão da vpn estabelecida no computador cliente, eu não consigo efetuar o ping e/ou acessar os compartilhamentos da rede. Segue as configurações do servidor e do cliente:
No servidor:
proto udp
port 1194
dev tun
server 192.168.255.0 255.255.255.0
local xxx.xxx.xxx.xxx
push “route 10.0.0.0 255.255.0.0″
push “ping 10″
push “ping-restart 60″
comp-lzo
keepalive 10 120
float
max-clients 250
persist-key
persist-tun
log-append /var/log/openvpn.log
verb 6
tls-server
dh /etc/openvpn/Keys/dh1024.pem
ca /etc/openvpn/Keys/ca.crt
cert /etc/openvpn/Keys/matriz.crt
key /etc/openvpn/Keys/matriz.key
tls-auth /etc/openvpn/Keys/chave.key
status /var/log/openvpn.stats
No cliente:
client
dev tun
proto udp
remote xxx.xxx.xxx.xxx
port 1194
pull
comp-lzo
keepalive 10 120
float
tls-client
persist-tun
persist-key
dh dh1024.pem
ca ca.crt
cert teste.crt
key teste.key
tls-auth chave.key
route-method exe
route-delay 2
Bom, é isso. Pode me dar uma orientação??
No windows se você não iniciar como administrador ele não carrega as rotas.
Pode ser isso que causa o problema.
Olá Vagner, excelente tutorial.
Este é meu cenário:
Servidor Linux:
IP valido – Velox dinamico.
IP de rede – 192.168.1.69
IP tun – 192.168.255.1
Cliente Windows:
IP de rede: 192.168.0.120
IP openvpn: 192.168.255.2
Segue minhas configurações:
matriz.conf (linux):
dev tun
port 6999
proto udp
ca keys/ca.crt
cert keys/matriz.crt
key keys/matriz.key
dh /etc/openvpn/2.0/keys/dh1024.pem
server 192.168.255.0 255.255.255.0
push “route 192.168.1.0 255.255.255.0″
keepalive 10 120
max-clients 15
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
verb 3
geraldo.conf – (windows):
dev tun
port 6999
proto udp
remote meuip.dyndns.org
ifconfig 192.168.255.2 192.168.255.1
ca ca.crt
cert geraldo.crt
key geraldo.key
tls-client
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
verb 3
A porta 6999 esta liberada no firewall do servidor linux.
No cliente windows a conexão é estabelecida com sucesso.
O fato é que no windows, eu deveria conseguir pingar o ip 192.168.255.1 que é o IP do tun do servidor linux e não estou conseguindo. O mesmo ocorre quando tento pingar o ip 192.168.1.69 que é o ip da minha rede no servidor linux.
Lembro que o cliente windows tem conexão com a internet usando um roteamento por um outro servidor linux, alguma porta deverá ser liberada também neste servidor?
Obrigado.
Geraldo.
Geraldo,
Faltou o ifconfig no servidor Linux ou você apenas não colocou no comentário?
Ele fecha a conexão?
Se ele fecha não é necessário liberar nenhuma porta.
Verifique se os arquivos estão sendo lidos corretamente.
Vagner, no seu vídeo a configuração da matriz.conf (servidor linux) não existe a linha do ifconfig…
Vagner, olha o que está acontecendo com uma parte do log no windows:
Thu Aug 09 18:31:32 2012 TCP/UDP: Incoming packet rejected from 192.168.0.69:6999[2], expected peer address: 201.4.66.98:6999 (allow this incoming source address/port by removing –remote or adding –float)
Thu Aug 09 18:31:47 2012 TCP/UDP: Incoming packet rejected from 192.168.0.69:6999[2], expected peer address: 201.4.66.98:6999 (allow this incoming source address/port by removing –remote or adding –float)
Thu Aug 09 18:32:02 2012 TCP/UDP: Incoming packet rejected from 192.168.0.69:6999[2], expected peer address: 201.4.66.98:6999 (allow this incoming source address/port by removing –remote or adding –float)
Thu Aug 09 18:32:18 2012 TCP/UDP: Incoming packet rejected from 192.168.0.69:6999[2], expected peer address: 201.4.66.98:6999 (allow this incoming source address/port by removing –remote or adding –float)
Thu Aug 09 18:32:33 2012 TCP/UDP: Incoming packet rejected from 192.168.0.69:6999[2], expected peer address: 201.4.66.98:6999 (allow this incoming source address/port by removing –remote or adding –float)
Olá Vagner,
Estou com um problema: quando faço o ./build-ca
ele me retorna a seguinte mensagem:
pkitool: KEY_CONFIG (set by the .vars script) is pointing to the wrong
version of openssl.cnf: /etc/openssl.cnf
The correct version should have a comment that says: easy-rsa version 2.x
Estou rodando ubuntu server 12.04
Vou verificar se no 12.04 o openssl está na versão correta para o script de criar as chaves.
ok,
no aguardo Vagner.
Parece que te falta o arquivo openssl.cnf, faça o seguinte:
Copie o arquivo do sistema para o diretório dos scripts do openvpn:
cp /etc/ssl/openssl.cnf /usr/share/doc/openvpn/examples/easy-rsa/2.0/openssl.cnf
Depois refaça os passos de execução dos scripts.
Vagner,
Fiz conforme vc falou porém ainda não funcionou, ele retorna a mesma mensagem de antes. ;/
No meu também deu esse erro. Eu resolvi da seguinte forma:
#cp openssl-0.9.6.cnf openssl.cnf
Olá tenho uma duvida será que alguém pode me ajudar ?
meu cenário é o seguinte
meu servidor vpn tem duas placas de rede a eth0 com ip fixo da telefonica e a eth1 com ip 192.168.1.1 compartilhando arquivos na rede, meu Windows em casa tem ip 10.0.2.15 eu segui o tutorial a risca, exatamente como esta, meu windows conecta normal na vpn do servidor na empresa mas não consigo acessar nem a pasta compartilhada nem o apache pelo navegador. obs: com o ip real direto no navegador consigo ver a pagina de its works do apache, o que devo fazer para fazer funcionar ?
está em redes iguais ou diferentes?
fala vagner bom dia…
cara ta de parabens ja venho acompanhando seus trabalhos a um bom tempo ..
se nao for pedir muito faz uma video aula de openvpn com rotas , acesso externo para rede interna etc etc..
Poderia me responder que erros é esse abaixo? Não consigo pingar no IP da VPN 10.0.0.1 e nem na rede local matriz 192.168.10.0/24.
RFri Dec 14 16:10:52 2012 us=175670 host1/187.79.211.43:8759 MULTI: bad source address from client [10.0.0.2], packet dropped
10.0.0.2 foi o IP que o cliente VPN pegou. A rede local da filial 10.0.2.0/24
Obrigado
OLA BOM IDA WAGNER TENHA UMA DUVIDA E ASSIM O:
TENHO MEU SERVIDOR LINUX UBUNTU 10.4 E OS CLIENTES COMO WINDOWS XP E SEVEN..NOS CLIENTES EU INSTALEI A VPN 5.0 POIS ONDE TRABALHO E UM QUARTEL AI ALGUNS SITE SÃO ACESSO VIA VPN..ATE UM TEMPO ESTAVA ACESSANDO NORMAL A VPN DO NADA ELA NÃO CONECTAR MAIS SERA QUE PODE SER ALGO NO SERVIDOR MEU ESTEJA BLOQUEANDO A PORTA…EU USO A PORTA 3128
Anderson,
Que VPN 5.0 você instalou?
Se não conecta o problema não é da porta 3128…
a minha vpn e a cisco systems..o problema que quando uso um modem externo ela funciona normalmento quando uso minha rede do quartel ela não conectar
Olá vagner tudo bem, eu gostaria de parabenizá-lo pela excelente vídeo aula, ficou show mesmo, segui o turorial e funcionou quase que 100%, aconteceu que eu conectava normal no meu server externamente, porém não conseguia navegar na rede interna, pesquisei e consegui encontrar uma solução, e deixarei aqui caso alguém tenha o mesmo problema:
o arquivo de configuração da matriz está correto, a mudança que eu fiz foi no arquivo de configuração do cliente:
troquei a linha “ifconfig 192.168.255.2 192.168.255.1″ na configuração do cliente por:
client
pull
pull -> tradução “puxar”, ou seja, puxar ip da rede da vpn, assim ele pega o ip fornecido pela vpn automaticamente.
assim consegui navegar na minha rede interna, espero que seja útil, abraço a todos.
Olá Vagner !
Até a parte de restart a vpn deu certo estou com duvida no tun0
no comando ifconfig ele não apareceu!
o que pode ser?
Júnior,
O tun0 só aparece se o openvpn estiver em execução pois ele é que cria a interface de tunelamento na hora que precisa levantar a vpn.
Ótimo post, mas estou com um problema no meu cenário, o servidor do openvpn é um windows server 2008R2 configurado como o post acima, consegue fechar o túnel, mas quando dou um ping do cliente para o server ele recebe e manda a resposta para o gateway padrão e não devolve para interface TAP da vpn.
Deyvid,
O que você relata parece problema de roteamento, veja nessa artigo se encontra a solução: http://www.cooperati.com.br/wordpress/2011/09/29/roteamento-estatico-no-linux/
Boa tarde Vagner.
Meus parabéns pelo passo a passo!
Segui seu tutorial e deu tudo certo de matriz para vendedor.
Mas minha dúvida é a seguinte, como faço o passo a passo para criar uma vpn para um novo vendedor?
Pois pensei vou voltar na parte do video que você faz para um vendedor ai tentei fazer o comando para vendedor 2 exemplo: ./build-key vendedor2 mas não deu certo. Poderia me ajudar?
Muito obrigado!
edpelegrini (já que não colocou nome vai o nickname do email
),
Você executou esse comando no diretório onde estão os scripts do openvpn?
Qual erro apareceu na tela?
Abraço,
Boa tarde Vagner.
Agora aparentemente está tudo ok
Muito obrigado pela atenção!
Qualquer dúvida entrarei em contato rss.
Abraço
Ed,
Tudo beleza então, se precisar pode postar a dúvida aqui.
Abraço.
Bom dia Vagner.
Bom sobre a criação de VPNs para clientes deu certo.
Coloquei o novo servidor no ar.
E o problema é o seguinte!
A VPN nos clientes ela conecta, mas não navega no servidor nem pinga, o que pode ser??
Segue abaixo o ifconfig do meu servidor debian
eth0 inet end.: 192.168.0.2 Bcast: 192.168.0.255 Masc: 255.255.255.0
eth1 inet end.: 192.168.1.2 Bcast: 192.168.1.255 Masc: 255.255.255.0
eth0 inet end.: IP INTERNET EMBRATEL Bcast: xxxx.xxx.xxx Masc: 255.255.255.240
tun0 inet end.: 10.10.0.1 P-a-P: 10.10.0.2 Masc: 255.255.255.255
Fico no aguardo.
Muito obrigado… qualquer coisa estou on no skype minha conta no skype é “edpelegrini”
Abraço
Bom dia Vagner.
Fiz as configurações e deu certo de cliente acessar o servidor.
Mas quando crio um novo cliente por exemplo vendedor4
ocorre o seguinte erro
Tue Apr 30 08:36:43 2013 NOTE: –user option is not implemented on Windows
Tue Apr 30 08:36:43 2013 NOTE: –group option is not implemented on Windows
Tue Apr 30 08:36:43 2013 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Tue Apr 30 08:36:43 2013 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Tue Apr 30 08:36:43 2013 LZO compression initialized
Tue Apr 30 08:36:43 2013 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue Apr 30 08:36:43 2013 There is a problem in your selection of –ifconfig endpoints [local=10.10.0.7, remote=10.10.0.1]. The local and remote VPN endpoints must exist within the same 255.255.255.252 subnet. This is a limitation of –dev tun when used with the TAP-WIN32 driver. Try ‘openvpn –show-valid-subnets’ option for more info.
Tue Apr 30 08:36:43 2013 Exiting
Poderia me ajudar.
Valeu!!
Ed,
Cada túnel tem um par de IP específicos, ou seja você tem que fazer o seguinte:
1 túnel IP final 1 e 2 (pula 3 e 4)
2 túnel IP final 5 e 6 (pula 7 e 8)
2 túnel IP final 9 e 10 (pula 11 e 12)
2 túnel IP final 13 e 14 (pula 15 e 16)
2 túnel IP final 17 e 18 (pula 19 e 20)
E assim sucessivamente.
Caraca.
Funcionouuuuu.
Muito obrigado mesmo.
Se eu tiver alguma dúvida te falo.
Mas aparentemente está tudo mil maravilha.
Muito obrigado.
Grande abraço
Bom dia, amigo fiz o metodo que vc postou do ROTEAMENTO so que quando dou entrer, minha rede toda cai
Fernando,
Provavelmente os ips da vpn e da rede estão em conflito, ou os IP da rede local com a da filial estão em conflito. Verifique os IP.
Olá Vagner.
Segui o tutorial e consegui efectuar a ligação, mas o problema é que no meu cliente windows
não tenho acesso à rede nem consigo efectuar ping ao servidor VPN (192.168.255.1).
os dados do meu cliente vpn são:
ip:192.168.255.2
mask : 255.255.255.252
gatway: (aparece em branco).
será que me faltará criar alguma rota.
s0me0ne
Cara com meu servidor antigo, a VPN conecta e não mostra nenhum gateway qdo digito ipconfig…
Então não se preocupe de não aparecer o gateway.
Meu problema é igual o seu o meu VPN windows conecta. mas não consegue pingar nem acessar a rede..
você descobriu algo???