[FUG-BR] Res: OpenVPN - Não conecta (sem rota)

Segunda Setembro 17 11:20:21 BRT 2007

Qual mensagem aparece quando vc usa o comando openvpn --config sever.conf?????

----- Mensagem original ----
De: Jose Augusto <augusto.ferronato em gmail.com>
Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) <freebsd em fug.com.br>
Enviadas: Segunda-feira, 17 de Setembro de 2007 10:40:09
Assunto: [FUG-BR] OpenVPN - Não conecta (sem rota)

Galera, blz?
To com um puta problema na vpn aqui, instalei o openvpn para fechar uma
conexão entre matriz e filial, no entanto, eles não conseguem estabelecer
conexão :(

a matriz está assim

interface interna 10.10.50.233
netmask 255.255.0.0

interface externa 189.x.x.x
netmask 255.255.255.248

na filial assim

interface interna 10.10.120.5
netmask 255.255.255.0

interface externa 189.x.x.x
netmask 255.255.255.248

Os dois conseguem se pingar direto pelo IP público, blz?

No servidor da matriz o arquivo de configuração esta assim:

# TUN para conexão
dev tun

proto tcp-server
# ip da VPN na matriz 192.168.0.1, ip da filial 192.168.0.2

ifconfig 192.168.0.1 192.168.0.2

# Acessa os arquivos de configuração
cd /etc/openvpn

# Criptografia ativada!
secret chave
#daemon
# Porta para conexao
port 1194

# Usuario que starta o servico
user nobody

# Usar biblioteca Lzo
comp-lzo

#Subir as rotas
route "10.10.0.0 255.255.0.0"

#Manter conexao
ping-timer-rem
persist-tun
# Manter a conexao com a filial; 10 = segundos
ping 10

# log
verb 3

Na filial o arquivo esta assim

# TUN para conexão
dev tun
dev tun
# IP da VPN na matriz 192.168.0.1 e ip da filial 192.168.0.2
ifconfig 192.168.0.2 192.168.0.1

proto tcp-client
# IP da Matriz
remote 189.x.x.18 1194

# Acessa os arquivos de configuraÃ§
cd /etc/openvpn

# Criptografia ativada!
secret chave
#daemon
#subir rotas
#up ./rotas
# Porta para conexão
port 1194

# Usuario que roda o serviço
user nobody

# Usar biblioteca Lzo
comp-lzo

# Manter a conexao com a matriz
ping 10

# log
verb 3
~

Já existem regras no firewall para liberação destas portas :)

No entanto eu rodo no servidor e fica assim:

Mon Sep 17 05:37:09 2007 WARNING: --ping should normally be used with
--ping-restart or --ping-exit
Mon Sep 17 05:37:09 2007 WARNING: you are using user/group/chroot without
persist-key/persist-tun -- this may cause restarts to fail
Mon Sep 17 05:37:09 2007 Static Encrypt: Cipher 'BF-CBC' initialized with
128 bit key
Mon Sep 17 05:37:09 2007 Static Encrypt: Using 160 bit message hash 'SHA1'
for HMAC authentication
Mon Sep 17 05:37:09 2007 Static Decrypt: Cipher 'BF-CBC' initialized with
128 bit key
Mon Sep 17 05:37:09 2007 Static Decrypt: Using 160 bit message hash 'SHA1'
for HMAC authentication
Mon Sep 17 05:37:09 2007 LZO compression initialized
Mon Sep 17 05:37:10 2007 TUN/TAP device tun0 opened
Mon Sep 17 05:37:10 2007 /sbin/ifconfig tun0 192.168.0.1 pointopoint
192.168.0.2 mtu 1500
Mon Sep 17 05:37:10 2007 /sbin/route add -net 10.10.0.0 netmask
255.255.255.255 gw 192.168.0.2
Mon Sep 17 05:37:10 2007 Data Channel MTU parms [ L:1547 D:1450 EF:47 EB:135
ET:0 EL:0 AF:3/1 ]
Mon Sep 17 05:37:10 2007 Local Options hash (VER=V4): '8b6243fd'
Mon Sep 17 05:37:10 2007 Expected Remote Options hash (VER=V4): 'ec14e843'
Mon Sep 17 05:37:10 2007 UID set to nobody
Mon Sep 17 05:37:10 2007 Listening for incoming TCP connection on
[undef]:1194

-- 

Ok, ai eu rodo no cliente (filial) e isso aparece:

Mon Sep 17 10:41:32 2007 WARNING: --ping should normally be used with
--ping-restart or --ping-exit
Mon Sep 17 10:41:32 2007 WARNING: you are using user/group/chroot without
persist-tun -- this may cause restarts to fail
Mon Sep 17 10:41:32 2007 WARNING: you are using user/group/chroot without
persist-key -- this may cause restarts to fail
Mon Sep 17 10:41:32 2007 Static Encrypt: Cipher 'BF-CBC' initialized with
128 bit key
Mon Sep 17 10:41:32 2007 Static Encrypt: Using 160 bit message hash 'SHA1'
for HMAC authentication
Mon Sep 17 10:41:32 2007 Static Decrypt: Cipher 'BF-CBC' initialized with
128 bit key
Mon Sep 17 10:41:32 2007 Static Decrypt: Using 160 bit message hash 'SHA1'
for HMAC authentication
Mon Sep 17 10:41:32 2007 LZO compression initialized
Mon Sep 17 10:41:32 2007 TUN/TAP device tun1 opened
Mon Sep 17 10:41:32 2007 TUN/TAP TX queue length set to 100
Mon Sep 17 10:41:32 2007 /sbin/ip link set dev tun1 up mtu 1500
Mon Sep 17 10:41:32 2007 /sbin/ip addr add dev tun1 local 192.168.0.2 peer
192.168.0.1
Mon Sep 17 10:41:32 2007 Data Channel MTU parms [ L:1547 D:1450 EF:47 EB:135
ET:0 EL:0 AF:3/1 ]
Mon Sep 17 10:41:32 2007 Local Options hash (VER=V4): 'ec14e843'
Mon Sep 17 10:41:32 2007 Expected Remote Options hash (VER=V4): '8b6243fd'
Mon Sep 17 10:41:32 2007 UID set to nobody
Mon Sep 17 10:41:32 2007 Attempting to establish TCP connection with
189.44.63.18:1194 [nonblock]
Mon Sep 17 10:41:42 2007 TCP: connect to 189.44.63.18:1194 failed, will try
again in 5 seconds: Connection timed out

Não consigo fechar o túnel, e no entanto quando eu fecho, não consigo fazer
as rotas :(

Alguém pode me dar um ajuda?

Obrigado!

Augusto
------------------------------
"Segurança da Informação se faz com tecnologia, processos e pessoas, e a
formação destas exige mais que uma seqüência de treinamentos. Porque você
treina macacos. Pessoas,você educa."

"Se a gente se lança sem vigor, sete de dez ações tomadas não dão certo. É
extremamente difícil tomar decisões num estado de agitação. Por outro lado,
se sem se preocupar com as conseqüências menores, abordamos os problemas com
o espíito afiado como uma lâmina, sempre encontramos a solução em menos
tempo do que é necessáio para respirar sete vezes."  Nabeshima Naoshige
(1538-1618)
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

      Flickr agora em português. Você clica, todo mundo vê.
http://www.flickr.com.br/