Re: vpn y debian linux.

To: "A MI NO, ENVIA A LA LISTA" <noelamac+A_MI_NO_ENVIA_A_LA_LISTA@gmail.com>
Cc: debian-user-spanish@lists.debian.org
Subject: Re: vpn y debian linux.
From: Ala de Dragón <aladedragon@gmail.com>
Date: Fri, 13 Nov 2015 11:44:04 +0100
Message-id: <[🔎] CA+924HQCD_xmj5_-p1vU_3uytJ2kMyGv=iR8imjOWLOPvq66Bg@mail.gmail.com>
In-reply-to: <pan.2015.09.08.14.11.48@gmail.com>
References: <CA+924HRtiA9gPxLUBgvAkV8Sjvkg7PjEEFMX1u=SXMQqay02+A@mail.gmail.com> <pan.2015.09.08.14.11.48@gmail.com>
El 8/9/15, Camaleón <noelamac@gmail.com> escribió:
(...)
>
> Bueno, esos documentos de TLDP son antediluvianos, cierto... hay que
> cogerlos con pinzas. Para manuales prácticos mejor buscar en la wiki de
> Debian a ver si hay algo:
>
> https://wiki.debian.org/OpenVPN
>
> Saludos,
>
> --
> Camaleón
>
>

Hola
:)

Algunos meses mas tarde he conseguido establecer el enlace entre la
vpn y los clientes.
Pero los paquetes no circulan bien, no se si es problema de rutas mal
confiuguradas, nat mal establecido.... o que se yo.

Mi escenario es sencillo:

servidor VPN tiene un direccion ip externa en el puerto wan. (dmz) aka
80.80.80.80

el cliente (en este caso "es un ventana" ;) esta dentro del rango de
direcciones privadas 192.168.2.1/24. El router domestico que se le
proporciona puerta de enlace tiene la direccion ip publica en el puert
wan 40.40.40.40.

Publico mis ficheros de configuracion por si me opueden ayudar.

# cat /etc/openvpn/server.conf

port 1194
proto udp
dev tun
ca /etc/openvpn/ssl/ca.crt
cert /etc/openvpn/ssl/vpn.crt
key /etc/openvpn/ssl/vpn.key  # This file should be kept secret
dh /etc/openvpn/ssl/dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
client-to-client
keepalive 10 120
tls-auth /etc/openvpn/ssl/ta.key 0 # This file is secret
comp-lzo
max-clients 10
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
log         /var/log/openvpn/openvpn.log
log-append  /var/log/openvpn/openvpn.log
verb 5
mute 20

 #cat /proc/sys/net/ipv4/ip_forward
1

iptables -L -v
http://paste.debian.net/332333/

# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         80.80.80.1    0.0.0.0         UG    0      0        0 eth0
10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun0
10.8.0.2        *               255.255.255.255 UH    0      0        0 tun0
80.80.80.1    *               255.255.255.255 UH    0      0        0 eth0

# ifconfig
eth0      Link encap:Ethernet  HWaddr fa:16:3e:dd:dc:59
          inet addr:80.80.80.80  Bcast:80.80.80.233  Mask:255.255.255.255
          inet6 addr: blahblahblahblah/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:22022 errors:0 dropped:0 overruns:0 frame:0
          TX packets:20483 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1237405 (1.1 MiB)  TX bytes:1201337 (1.1 MiB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

tun0      Link encap:UNSPEC  HWaddr
00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)


Veamos ahora al cliente(win):

client
dev tun
proto udp
remote 80.80.80.80 1194
resolv-retry infinite
nobind
persist-key
persist-tun
mute-replay-warnings
ca ca.crt
cert cliente1.crt
key cliente1.key
tls-auth ta.key 1
comp-lzo
verb 9
mute 20


Configuración IP de Windows


Adaptador de Ethernet Conexión de área local 2:

   Sufijo DNS específico para la conexión. . :
   Dirección IPv4. . . . . . . . . . . . . . : 10.8.0.6
   Máscara de subred . . . . . . . . . . . . : 255.255.255.252
   Puerta de enlace predeterminada . . . . . :

Adaptador de Ethernet Conexión de área local:

   Sufijo DNS específico para la conexión. . : blah
   Dirección IPv4. . . . . . . . . . . . . . : 192.168.2.10
   Máscara de subred . . . . . . . . . . . . : 255.255.255.0
   Puerta de enlace predeterminada . . . . . : 192.168.2.1

Adaptador de túnel isatap.blah:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS específico para la conexión. . : blah

Adaptador de túnel isatap.{E5E6D90B768C-97BD-48DA-BA40-E5E6D90B768C}:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS específico para la conexión. . :


C:\Users\Almacen>route print -4

Lista de interfaces
 13...00 00 00 00 00 ......TAP-Windows Adapter V9
 11...00 00 00 00 00 ......Realtek PCIe GBE Family Controller
  1...........................Software Loopback Interface 1
 12...00 00 00 00 00 00 00 e0 Adaptador ISATAP de Microsoft
 14...00 00 00 00 00 00 00 e0 Adaptador ISATAP de Microsoft #2

IPv4 Tabla de enrutamiento
Rutas activas:
Destino de red        Máscara de red   Puerta de enlace   Interfaz  Métrica
          0.0.0.0          0.0.0.0      192.168.2.1    192.168.2.102     10
         10.8.0.4  255.255.255.252      En vínculo          10.8.0.6    276
         10.8.0.6  255.255.255.255      En vínculo          10.8.0.6    276
         10.8.0.7  255.255.255.255      En vínculo          10.8.0.6    276
        127.0.0.0        255.0.0.0      En vínculo         127.0.0.1    306
        127.0.0.1  255.255.255.255      En vínculo         127.0.0.1    306
  127.255.255.255  255.255.255.255      En vínculo         127.0.0.1    306
      192.168.2.0    255.255.255.0      En vínculo     192.168.2.102    266
    192.168.2.102  255.255.255.255      En vínculo     192.168.2.102    266
    192.168.2.255  255.255.255.255      En vínculo     192.168.2.102    266
        224.0.0.0        240.0.0.0      En vínculo         127.0.0.1    306
        224.0.0.0        240.0.0.0      En vínculo     192.168.2.102    266
        224.0.0.0        240.0.0.0      En vínculo          10.8.0.6    276
  255.255.255.255  255.255.255.255      En vínculo         127.0.0.1    306
  255.255.255.255  255.255.255.255      En vínculo     192.168.2.102    266
  255.255.255.255  255.255.255.255      En vínculo          10.8.0.6    276



Veamos algunos logs....
 cat /etc/openvpn/openvpn-status.log

OpenVPN CLIENT LIST
Updated,Fri Nov 13 10:52:18 2015
Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since
ciente1,40.40.40.40:58981,32254,14203,Fri Nov 13 10:32:12 2015
ROUTING TABLE
Virtual Address,Common Name,Real Address,Last Ref
10.8.0.6,ciente1,40.40.40.40:58981,Fri Nov 13 10:32:12 2015
GLOBAL STATS
Max bcast/mcast queue length,0
END

conectarse se conecta.....

mas logs de openvpn:

http://paste.debian.net/332337/

La parte importante es:

:15 2015 us=38982 cliente1/40.40.40.40:58981 SENT CONTROL [cliente1]:
'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS
208.67.222.222,dhcp-option DNS 208.67.220.220,route 10.8.0.0
255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig
10.8.0.6 10.8.0.5' (status=1)
WWWWRRRRFri Nov 13 10:32:15 2015 us=120015 cliente1/40.40.40.40:58981
MULTI: bad source address from client [::], packet dropped
RFri Nov 13 10:32:15 2015 us=120121 cliente1/40.40.40.40:58981 MULTI:
bad source address from client [fe80::6169:4ac7:65ac:6283], packet
dropped
RFri Nov 13 10:32:15 2015 us=120379 cliente1/40.40.40.40:58981 MULTI:
bad source address from client [fe80::6169:4ac7:65ac:6283], packet
dropped
RFri Nov 13 10:32:15 2015 us=136784 cliente1/40.40.40.40:58981 MULTI:
bad source address from client [fe80::6169:4ac7:65ac:6283], packet
dropped
RFri Nov 13 10:32:15 2015 us=198673 cliente1/40.40.40.40:58981 MULTI:
bad source address from client [fe80::6169:4ac7:65ac:6283], packet
dropped

segun la web https://openvpn.net/index.php/open-source/faq/79-client/317-qmulti-bad-source-address-from-client--packet-droppedq-or-qget-inst-by-virt-failedq.html

These errors occur because OpenVPN doesn't have an internal route for
192.168.100.249

Si me pueden hechar una mano lo agradezco.
Un saludo.
:)







-- 
"El cielo es para los dragones
 lo que el agua es  para las ninfas"
Reply to:
Follow-Ups:
- Re: vpn y debian linux.
  - From: Camaleón <noelamac@gmail.com>
Prev by Date: Re: Fsview
Next by Date: Re: Montar unidades de memoria automáticamente en consola
Previous by thread: Re: Configurando touchpad de portátil Toshiba Satellite L50-B-23G en Debian 8
Next by thread: Re: vpn y debian linux.
Index(es):
- Date
- Thread