[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: OpenVPN HOWTO (no me funciona).

El Martes, 20 de Diciembre de 2005 19:10, Pablo Braulio escribió:
|| El Martes, 20 de Diciembre de 2005 17:26, Alfonso Pinto Sampedro escribió:
|| > Mandanos el archivo de configuración de opnevpn, a ver si falta alguna
|| > directiva.
||
|| Ya me arranca bien. Parece que había un error en la línea de /dev/net/tun.
||
|| Ahora arrancan bien las dos puntas del tunel, pero no me responden los
|| pings.
||
|| Este es el archivo de configuracíon del servidor del despacho:
||
|| dominio-casa.org
|| float
|| port 1194
|| dev-node /dev/net/tun
|| persist-tun
|| ifconfig 10.0.1.1 10.0.1.2
|| comp-lzo
|| ping 15
|| ping restart 120
|| verb 3
|| secret /etc/openvpn/clave.key
|| persist-key
|| route 192.168.2.0 255.255.255.0
|| user nobody
|| group nogroup
|| chroot /var/empty

Sólo por curiosidad: la red local del despacho es la 192.168.1.X y la de tu 
casa la 192.168.2.X ¿verdad? si no lo tienes al revés.


|| Y el de casa:
||
|| remote aldiagestion.com
|| float
|| port 1194
|| dev-node /dev/net/tun
|| persist-tun
|| ifconfig 10.0.1.2 10.0.1.1
|| comp-lzo
|| ping 15
|| ping-restart 120
|| verb 3
|| secret /etc/openvpn/clave.key
|| persist-key
|| route 192.168.1.0 255.255.255.0
|| user nobody
|| group nogroup
|| chroot /var/empty
||
|| Se me ocurre, que a lo mejor es porque el firewall no permite que entre en
|| la red local. No se, podría ser.


¿De qué firewall hablas? ¿del de casa?

¿tienes router en casa? ¿es una debian la que hace de router y firewall?


En cuanto a la regla:

iptables -A INPUT -i tun -p UDP --dport 1194 -m state --state 
NEW,ESTABLISHED,RELATED -j ACCEPT

No tiene sentido:

Lo que viene por el interfaz tun (que además NO será tun, será tun0 aunque el 
nodo sea /dev/net/tun) en realidad no viene por el puerto 1194.

La cosa es:
tú envías un paquete con destino la red local remota, el sistema lo enruta por 
un interfaz virtual (tun) que funcionará como funcione (es un paquete 
encriptado UDP por el puerto 1194), pero cuando el extremo lo recoge lo 
primero que hace es extraer el paquete original y luego llega a Iptables. Es 
decir, tras quitar el paquete UDP con destino puerto 1194 lo que queda es un 
paquete de lo que sea (un ping, un TCP...) que irá a un puerto X pero que a 
efectos prácticos viaja por el interfaz tun0, y en absoluto por el eth0.

Así pues la única regla que debes poner en tu router-firewall-debian es que 
deje entrar lo que venga por tun0, que deje salir por tun0 y que permita el 
FORWARDING por tun0 (tanto para que la red local envíe paquetes como para que 
la red remota y el router remoto envíen paquetes a nuestra red local a través 
de la VPN.
Justamente esto:
# Permitimos conectar desde cualquier equipo de las redes a nuestro router por 
la VPN:
 -A INPUT -i tun+ -j ACCEPT
# Permitimos conectar por la VPN desde el router al resto de routers y equipos 
de cada red:
 -A OUTPUT -o tun+ -j ACCEPT
# Permitimos que equipos de las otras redes accedan a nuestra red:
 -A FORWARD -i tun+ -j ACCEPT
# Permitimos que los equipos de nuestra red accedan a la VPN:
 -A FORWARD -o tun+ -j ACCEPT



Si tienes cualquier duda no dudes en preguntar.



-- 
y hasta aquí puedo leer...
Reply to: