Re: vpn y debian linux.
El 8/9/15, Camaleón <noelamac@gmail.com> escribió:
(...)
>
> Bueno, esos documentos de TLDP son antediluvianos, cierto... hay que
> cogerlos con pinzas. Para manuales prácticos mejor buscar en la wiki de
> Debian a ver si hay algo:
>
> https://wiki.debian.org/OpenVPN
>
> Saludos,
>
> --
> Camaleón
>
>
Hola
:)
Algunos meses mas tarde he conseguido establecer el enlace entre la
vpn y los clientes.
Pero los paquetes no circulan bien, no se si es problema de rutas mal
confiuguradas, nat mal establecido.... o que se yo.
Mi escenario es sencillo:
servidor VPN tiene un direccion ip externa en el puerto wan. (dmz) aka
80.80.80.80
el cliente (en este caso "es un ventana" ;) esta dentro del rango de
direcciones privadas 192.168.2.1/24. El router domestico que se le
proporciona puerta de enlace tiene la direccion ip publica en el puert
wan 40.40.40.40.
Publico mis ficheros de configuracion por si me opueden ayudar.
# cat /etc/openvpn/server.conf
port 1194
proto udp
dev tun
ca /etc/openvpn/ssl/ca.crt
cert /etc/openvpn/ssl/vpn.crt
key /etc/openvpn/ssl/vpn.key # This file should be kept secret
dh /etc/openvpn/ssl/dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
client-to-client
keepalive 10 120
tls-auth /etc/openvpn/ssl/ta.key 0 # This file is secret
comp-lzo
max-clients 10
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
log /var/log/openvpn/openvpn.log
log-append /var/log/openvpn/openvpn.log
verb 5
mute 20
#cat /proc/sys/net/ipv4/ip_forward
1
iptables -L -v
http://paste.debian.net/332333/
# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default 80.80.80.1 0.0.0.0 UG 0 0 0 eth0
10.8.0.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0
10.8.0.2 * 255.255.255.255 UH 0 0 0 tun0
80.80.80.1 * 255.255.255.255 UH 0 0 0 eth0
# ifconfig
eth0 Link encap:Ethernet HWaddr fa:16:3e:dd:dc:59
inet addr:80.80.80.80 Bcast:80.80.80.233 Mask:255.255.255.255
inet6 addr: blahblahblahblah/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:22022 errors:0 dropped:0 overruns:0 frame:0
TX packets:20483 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1237405 (1.1 MiB) TX bytes:1201337 (1.1 MiB)
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
tun0 Link encap:UNSPEC HWaddr
00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.8.0.1 P-t-P:10.8.0.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
Veamos ahora al cliente(win):
client
dev tun
proto udp
remote 80.80.80.80 1194
resolv-retry infinite
nobind
persist-key
persist-tun
mute-replay-warnings
ca ca.crt
cert cliente1.crt
key cliente1.key
tls-auth ta.key 1
comp-lzo
verb 9
mute 20
Configuración IP de Windows
Adaptador de Ethernet Conexión de área local 2:
Sufijo DNS específico para la conexión. . :
Dirección IPv4. . . . . . . . . . . . . . : 10.8.0.6
Máscara de subred . . . . . . . . . . . . : 255.255.255.252
Puerta de enlace predeterminada . . . . . :
Adaptador de Ethernet Conexión de área local:
Sufijo DNS específico para la conexión. . : blah
Dirección IPv4. . . . . . . . . . . . . . : 192.168.2.10
Máscara de subred . . . . . . . . . . . . : 255.255.255.0
Puerta de enlace predeterminada . . . . . : 192.168.2.1
Adaptador de túnel isatap.blah:
Estado de los medios. . . . . . . . . . . : medios desconectados
Sufijo DNS específico para la conexión. . : blah
Adaptador de túnel isatap.{E5E6D90B768C-97BD-48DA-BA40-E5E6D90B768C}:
Estado de los medios. . . . . . . . . . . : medios desconectados
Sufijo DNS específico para la conexión. . :
C:\Users\Almacen>route print -4
Lista de interfaces
13...00 00 00 00 00 ......TAP-Windows Adapter V9
11...00 00 00 00 00 ......Realtek PCIe GBE Family Controller
1...........................Software Loopback Interface 1
12...00 00 00 00 00 00 00 e0 Adaptador ISATAP de Microsoft
14...00 00 00 00 00 00 00 e0 Adaptador ISATAP de Microsoft #2
IPv4 Tabla de enrutamiento
Rutas activas:
Destino de red Máscara de red Puerta de enlace Interfaz Métrica
0.0.0.0 0.0.0.0 192.168.2.1 192.168.2.102 10
10.8.0.4 255.255.255.252 En vínculo 10.8.0.6 276
10.8.0.6 255.255.255.255 En vínculo 10.8.0.6 276
10.8.0.7 255.255.255.255 En vínculo 10.8.0.6 276
127.0.0.0 255.0.0.0 En vínculo 127.0.0.1 306
127.0.0.1 255.255.255.255 En vínculo 127.0.0.1 306
127.255.255.255 255.255.255.255 En vínculo 127.0.0.1 306
192.168.2.0 255.255.255.0 En vínculo 192.168.2.102 266
192.168.2.102 255.255.255.255 En vínculo 192.168.2.102 266
192.168.2.255 255.255.255.255 En vínculo 192.168.2.102 266
224.0.0.0 240.0.0.0 En vínculo 127.0.0.1 306
224.0.0.0 240.0.0.0 En vínculo 192.168.2.102 266
224.0.0.0 240.0.0.0 En vínculo 10.8.0.6 276
255.255.255.255 255.255.255.255 En vínculo 127.0.0.1 306
255.255.255.255 255.255.255.255 En vínculo 192.168.2.102 266
255.255.255.255 255.255.255.255 En vínculo 10.8.0.6 276
Veamos algunos logs....
cat /etc/openvpn/openvpn-status.log
OpenVPN CLIENT LIST
Updated,Fri Nov 13 10:52:18 2015
Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since
ciente1,40.40.40.40:58981,32254,14203,Fri Nov 13 10:32:12 2015
ROUTING TABLE
Virtual Address,Common Name,Real Address,Last Ref
10.8.0.6,ciente1,40.40.40.40:58981,Fri Nov 13 10:32:12 2015
GLOBAL STATS
Max bcast/mcast queue length,0
END
conectarse se conecta.....
mas logs de openvpn:
http://paste.debian.net/332337/
La parte importante es:
:15 2015 us=38982 cliente1/40.40.40.40:58981 SENT CONTROL [cliente1]:
'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS
208.67.222.222,dhcp-option DNS 208.67.220.220,route 10.8.0.0
255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig
10.8.0.6 10.8.0.5' (status=1)
WWWWRRRRFri Nov 13 10:32:15 2015 us=120015 cliente1/40.40.40.40:58981
MULTI: bad source address from client [::], packet dropped
RFri Nov 13 10:32:15 2015 us=120121 cliente1/40.40.40.40:58981 MULTI:
bad source address from client [fe80::6169:4ac7:65ac:6283], packet
dropped
RFri Nov 13 10:32:15 2015 us=120379 cliente1/40.40.40.40:58981 MULTI:
bad source address from client [fe80::6169:4ac7:65ac:6283], packet
dropped
RFri Nov 13 10:32:15 2015 us=136784 cliente1/40.40.40.40:58981 MULTI:
bad source address from client [fe80::6169:4ac7:65ac:6283], packet
dropped
RFri Nov 13 10:32:15 2015 us=198673 cliente1/40.40.40.40:58981 MULTI:
bad source address from client [fe80::6169:4ac7:65ac:6283], packet
dropped
segun la web https://openvpn.net/index.php/open-source/faq/79-client/317-qmulti-bad-source-address-from-client--packet-droppedq-or-qget-inst-by-virt-failedq.html
These errors occur because OpenVPN doesn't have an internal route for
192.168.100.249
Si me pueden hechar una mano lo agradezco.
Un saludo.
:)
--
"El cielo es para los dragones
lo que el agua es para las ninfas"
Reply to: