[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: OpenVPN HOWTO (no me funciona).



On Tuesday 20 December 2005 21:39, Iñaki wrote:
> El Lunes, 19 de Diciembre de 2005 13:21, Alfonso Pinto Sampedro escribió:
> || On Saturday 17 December 2005 20:07, Pablo Braulio wrote:
> || > El Sábado, 17 de Diciembre de 2005 14:29, Ricardo Frydman Eureka!
>
> escribió:
> || > > Gracias al compañero Iñaki y a pedido del inmenso publico, se
> || > > encuentra disponible el OpenVPN Howto en
> || > > http://eureka-linux.com.ar/docs/openvpn.html
> || > >
> || > > Felicitaciones (y gracias!) a Iñaki y a disfrutarlo!
> || >
> || > Bueno pues siguiendo las indicaciones del howto, no consigo hacerlo
> || > funcionar.
> || >
> || > Intento conectar la red de mi casa con la del despacho, instalando
> || > openvpn en dos equipos con debian y kernel 2.6.12 y 2.6.14. Tengo
> || > puesto como modulo la opción del kernel TUN/TAP (en ambos):
> || >
> || > # ls /dev/net
> || > tun
> || >
> || > Siguiendo las indicaciones del how-to, al hacer /etc/init.d/openvpn
> || > start funcionar, pero en mi caso no es así.
> || >
> || > # /etc/init.d/openvpn start
> || > Starting virtual private network daemon: tunel(FAILED).
> || >
> || > Esto me ocurre en los dos equipos que hacen de extremos del tunel.
> || >
> || > En el despacho el equipo que tiene openvpn es el que hace de firewall.
> || > No hay router, está conectado a un modem cable de ono. Tiene puesta la
> || > regla en iptables:
> || > iptables -A INPUT -i tun -p UDP --dport 1194 -m state --state
> || > NEW,ESTABLISHED,RELATED -j ACCEPT
> ||
> || Esto no es correcto, tienes que aceptar lo que venga del puerto 1194 en
> || la interface real (por ejemplo eth0). Todo lo que venga de ese puerto se
> || pasa a la interface virtual tunX, asi que dependiendo de tu firewall
> || puede ser que tengas que añadir reglas para esa interface.
>
> No, esto no es cierto, aunque el tráfico de TUN vaya evidentemente sobre la
> única interfaz real de red que existe (eth0) para Iptables son dos
> interfaces totalmente independientes. No necesitas aceptar el tráfico al
> puerto 1194 en eth0, de hecho yo no lo admito y me funciona. Tan sólo debes
> permitir el INPUT, OUTPUT y FORWARD (tal vez -i y -o) por tun0.

Tal y como yo comentaba, son dos interfaces independientes, de ahí que dijese 
que las reglas que tenía no funcionaban. Si usas un escenario de vpn de  
servidor-cliente y tienes el servidor detras de un firewall con politicas por 
defecto DROP (o el servidor está en el propio firewall) como no abras el 
puerto en el que escucha el demonio de openvpn te aseguro que no funciona, 
bastante me he pegado con esto.

>
> Otra cosa es que hablemos de un firewall por hardware, que sólo tiene un
> interfaz y en el que evidentemente sí que hay que abrir y redirigir el
> puerto 1194 al ordenador que está haciendo la VPN mediante OpenVPN.
>
> || Lo de ESTABLISHED Y RELATED no te va a funcionar, recuerda que el
> || protocolo UDP no está orientado a conexión. Tendras que definir reglas
> || para lo que entra y para lo que sale.
>
> No es cierto, ESTABLISHED Y RELATED no es sólo para TCP, sirve para UDP,
> ICMP e incluso para protocolos "desconocidos".
>
> Recomiendo encarecidamente la lectura de este manual de Iptables en
> castellano, que es el mejor que he visto nunca y con el que se aprende
> mucho. Lo pasé a PDF para imprimir (mi tiempo me llevó), si alguien lo
> quiere en PDF que me lo pida.

Te aseguro que a mi ESTABLISHED Y RELATED me han dado problemas con UDP en un 
firewall con politicas por defecto DROP y que no me funcionaba. De todas 
formas es lógico: Established se refiere a conexión establecida y Related a 
conexión relacionada. Si en UDP no hay conexión ¿como van a funcionar?
>
> || > El otro equipo es mi portátil que está detrás de un router. No se si
> || > debería abrir el puerto en el router o redireccionarlo a mi portatil,
> || > pues lo único que quiero es crear un tunel de mi portatil a la red del
> || > despacho. No a toda la red de mi casa.
> || >
> || > Según creo debería tener creada una interfaz (tun), que se mostrase al
> || > hacer ifconfig, pero esta no es creada. No se como hacerlo.
> ||
> || Puede ser problema de que udev no te crea el dispositivo /dev/tunX. A mi
> || me ocurría eso y haciendo un dpkg-recofigure openvpn te pregunta si
> || quieres que lo cree, le dices que si, pruebas y nos cuentas.
> ||
> || Un saludo.
> ||
> || > ¿Sabéis que puede estar fallando?.
> || > Saludos.
> || > Pablo
> || > ------------
> || > Jabber: bruli(at)myjabber(to)net

Attachment: pgpyNMyzZrLNF.pgp
Description: PGP signature


Reply to: