Caros,
estou configurando a openvpn, e estou tendo o seguinte problema, as pontas (maquinas linux) sobem mas nao se
comunicam, quando eu mando pingar de uma ponta para outra nao ha comunicação, usei o tutorial que se encontra
no alto Rio Preto, quando eu carrego e vou ver o syslog recebo a seguinte mensagem (maquina cliente):
openvpn --config filial.conf --daemon ; tail -f /var/log/syslog
May 17 15:11:35 voltaire openvpn[10028]: TLS Error: TLS key negotiation failed to occur within 60 seconds
May 17 15:11:35 voltaire openvpn[10028]: TLS Error: TLS handshake failed
May 17 15:12:50 voltaire openvpn[10028]: TLS Error: TLS key negotiation failed to occur within 60 seconds
May 17 15:12:50 voltaire openvpn[10028]: TLS Error: TLS handshake failed
May 17 15:14:05 voltaire openvpn[10028]: TLS Error: TLS key negotiation failed to occur within 60 seconds
May 17 15:14:05 voltaire openvpn[10028]: TLS Error: TLS handshake failed
May 17 15:15:20 voltaire openvpn[10028]: TLS Error: TLS key negotiation failed to occur within 60 seconds
May 17 15:15:20 voltaire openvpn[10028]: TLS Error: TLS handshake failed
May 17 15:16:04 voltaire openvpn[10028]: select: Interrupted system call
May 17 15:16:38 voltaire openvpn[12333]: WARNING: file 'filial.key' is group or others accessible
script da maquina cliente:
# Usar como interface o driver TUN
dev tun
# 10.0.0.1 ip que será assumido na matriz
# 10.0.0.2 ip remoto, ou seja, esse será o ip da filial
ifconfig 192.168.66.2 192.168.66.1
# Entra no diretório onde se encontram os arquivos de configuração
cd /etc/openvpn
# Ip da parte remota.
remote 10.0.12.101
# Indica que esse túnel possui uma chave de criptografia
#secret servidor
# No modo SSL/TLS a matriz irá
# assumir a parte do servidor,
# e a filial será o cliente.
tls-client
# Parametros Diffie-Hellman (apenas no servidor)
dh dh.pem
# Certificado da CA
ca my-ca.crt
# Certificado publico da Matriz
cert filial.crt
# Certificado privado da Matriz
key filial.key
# OpenVPN usa a porta 5000/UDP por padrão.
# Cada túnel do OpenVPN deve usar
# uma porta diferente.
# O padrão é a porta 5000
port 5000
# Usuário que rodará o daemon do OpenVPN
user nobody
# Grupo que rodará o daemon do OpenVPN
group nobody
#Usa a biblioteca lzo
#comp-lzo
# Envia um ping via UDP para a parte
# remota a cada 15 segundos para manter
# a conexão de pé em firewall statefull
# Muito recomendado, mesmo se você não usa
# um firewall baseado em statefull.
ping 15
# Nível de log
verb 3
configuração servidor:
openvpn --config matriz.conf --daemon ; tail -f /var/log/syslog
May 17 15:27:01 ferrari openvpn[13652]: TLS ERROR: initial packet local/remote key_method mismatch, local
key_method=2, op=P_CONTROL_HARD_RESET_CLIENT_V1
May 17 15:27:10 ferrari openvpn[13654]: WARNING: --ping should normally be used with --ping-restart or --ping-exit
May 17 15:27:10 ferrari openvpn[13654]: WARNING: you are using user/group/chroot without
persist-key/persist-tun -- this may cause restarts to fail
May 17 15:27:10 ferrari openvpn[13654]: WARNING: file 'matriz.key' is group or others accessible
May 17 15:27:10 ferrari openvpn[13654]: TCP/UDP: Socket bind failed on local address [undef]:5000: Address
already in use
May 17 15:27:17 ferrari openvpn[13652]: TLS ERROR: initial packet local/remote key_method mismatch, local
key_method=2, op=P_CONTROL_HARD_RESET_CLIENT_V1
May 17 15:27:18 ferrari openvpn[13652]: event_wait : Interrupted system call (code=4)
May 17 15:27:19 ferrari openvpn[13666]: WARNING: --ping should normally be used with --ping-restart or --ping-exit
May 17 15:27:19 ferrari openvpn[13666]: WARNING: you are using user/group/chroot without
persist-key/persist-tun -- this may cause restarts to fail
May 17 15:27:19 ferrari openvpn[13666]: WARNING: file 'matriz.key' is group or others accessible
May 17 15:28:02 ferrari openvpn[13674]: TLS ERROR: initial packet local/remote key_method mismatch, local
key_method=2, op=P_CONTROL_HARD_RESET_CLIENT_V1
arquivo de configuração:
# Usar como interface o driver TUN
dev tun
# 10.0.0.1 ip que será assumido na matriz
# 10.0.0.2 ip remoto, ou seja, esse será o ip da filial
ifconfig 192.168.66.1 192.168.66.2
# Entra no diretório onde se encontram os arquivos de configuração
cd /etc/openvpn/certs
# Indica que esse túnel possui uma chave de criptografia
#secret servidor
# No modo SSL/TLS a matriz irá
# assumir a parte do servidor,
# e a filial será o cliente.
tls-server
# Parametros Diffie-Hellman (apenas no servidor)
dh dh.pem
# Certificado da CA
ca my-ca.crt
# Certificado publico da Matriz
cert matriz.crt
# Certificado privado da Matriz
key matriz.key
# OpenVPN usa a porta 5000/UDP por padrão.
# Cada túnel do OpenVPN deve usar
# uma porta diferente.
# O padrão é a porta 5000
port 5000
# Usuário que rodará o daemon do OpenVPN
user nobody
# Grupo que rodará o daemon do OpenVPN
group nobody
#Usa a biblioteca lzo
#comp-lzo
# Envia um ping via UDP para a parte
# remota a cada 15 segundos para manter
# a conexão de pé em firewall statefull
# Muito recomendado, mesmo se você não usa
# um firewall baseado em statefull.
ping 15
# Nível de log
verb 3
Eu usei um tutorial aqui do site que mostra como criar as chaves com genkey funcionou prefeitamente, consegui
comunicar com as pontas sem problemas, mas eu preciso que ela use chaver idividuais por maquina no caso de
outro artigo, ela usa uma chave pra todos os pontos.
Agradeço se algume puder me ajudar.
Att.
Leandro Moreira.