2- Configuración de RoadWarrior

Imagen de Epe

[b]Si usted ya configuró y probó algún tipo de conexión openVPN anteriormente, por ejemplo la conexión host a host, no olvide borrar los contenidos del directorio /etc/openvpn especialmente los archivos .key y .conf puesto que nos pueden molestar o confundir para la siguiente configuración.[/b]

[b]Consideraciones preliminares[/b]
En el servidor de openvpn no te olvides de activar el ip_forwarding.

Edita /etc/sysctl.conf y cambia ip_forwarding a 1 (está normalmente en 0).

Entonces ejecuta:

sysctl -p

De olvidar lo anterior la vpn no hará ping hacia la red interna!

Ahora lo lento:
En el servidor openvpn necesitamos crear una serie de claves y certificados iniciales, para poder autenticar y encriptar la información que transitará desde/hacia el servidor/clientes

Contamos con una serie de scripts en el directorio /usr/share/openvpn*/easy-rsa los cuales nos ayudarán mucho a ejecutar ésta tarea inicial.

Como primer paso, sugerimos copiar ese directorio (easy-rsa) hacia /etc/openvpn y cambiarnos a ese directorio, al final copiaremos un archivo que en centos-6 ha cambiado de nombre, quizá en versiones futuras este paso de copiar openssh-1.0.0.cnf con otro nombre no sea necesario:

cp -a /usr/share/easy-rsa /etc/openvpn
cd /etc/openvpn/easy-rsa/2.0
cp openssl-1.0.0.cnf openssl.cnf

[b]Creando el CA[/b]

Una vez dentro de éste directorio procedemos a ejecutar los siguientes pasos:
. vars
sh clean-all
sh build-ca

Con ellos lo que haremos es:

* Inicializar variables de ambiente para poder trabajar con los siguientes scripts de shell para generar las variables
* Inicializamos el directorio de las claves (borrando potenciales archivos viejos)
* build-ca: procedemos a generar el certificado CA

En éste último paso se nos pedirá una serie de información sobre nuestra red/empresa que debemos llenar lo más fielmente posible:

Generating a 1024 bit RSA private key
...........................................................................................
.................................++++++.....................++++++
writing new private key to 'ca.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [KG]:EC
State or Province Name (full name) [NA]:Pichincha
Locality Name (eg, city) [BISHKEK]:Quito
Organization Name (eg, company) [OpenVPN-TEST]:EcuaLinux
Organizational Unit Name (eg, section) []:IT
Common Name (eg, your name or your server's hostname) []:ecualinux
Email Address [me@myhost.mydomain]:info@ecualinux.com

[b]La variable que debemos explícitamente llenar (no dejar en blanco!) es: Common Name.[/b]

[b]Generación del certificado y de la clave de encriptación para el servidor[/b]
Siguiente a la generación del Certificado de autoridad, procedemos a crear el certificado del servidor y de su clave de encriptación:

sh build-key-server server
Generating a 1024 bit RSA private key
......................++++++
.........................++++++
writing new private key to 'server.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [KG]:EC
State or Province Name (full name) [NA]:Pichincha
Locality Name (eg, city) [BISHKEK]:Quito
Organization Name (eg, company) [OpenVPN-TEST]:EcuaLinux
Organizational Unit Name (eg, section) []:IT
Common Name (eg, your name or your server's hostname) []:server
Email Address [me@myhost.mydomain]:info@ecualinux.com
Please enter the following 'extra' attributes to be sent with your certificate request
A challenge password []:
An optional company name []:
Using configuration from /etc/openvpn/easy-rsa/2.0/openssl.cnf
Check that the request matches the signature Signature ok The Subject's Distinguished Name is as follows
countryName :PRINTABLE:'EC'
stateOrProvinceName :PRINTABLE:'Pichincha'
localityName :PRINTABLE:'Quito'
organizationName :PRINTABLE:'EcuaLinux'
organizationalUnitName:PRINTABLE:'IT'
commonName :PRINTABLE:'server'
emailAddress :IA5STRING:'info@ecualinux.com'
The stateOrProvinceName field needed to be the same in the CA certificate
(Pichincha) and the request (Pichincha)

En éste paso, también se nos pedirá nuevamente información sobre el certificado propio del servidor. En éste caso por favor, escoger en Common Name un nombre diferente al anteriormente escogido. En mi caso escogí: server

Este paso nos generará dos archivos en el directorio [i]/etc/openvpn/easy-rsa/2.0/keys/[/i] que se copiarán dentro del mismo servidor hacia /etc/openvpn, ellos son:

[i]* server.crt
* server.key[/i]

[b]Generando certificados y claves privadas para los clientes[/b]

Cada cliente debe tener su propio certificado y clave de seguridad, para cara cliente que tengamos deberemos repetir el siguiente paso. [b]Los archivos obtenidos debemos copiarlos hacia el directorio /etc/openvpn/ de los clientes![/b]

En el caso de que nuestros clientes sean en windows, debemos copiarlos hacia c:\program files\openvpn\

Para generar el certificado y claves privadas ejecutamos en nuestro servidor, dentro del directorio [i]/etc/openvpn/easy-rsa/2.0/[/i]

sh build-key client1

Generating a 1024 bit RSA private key

...............................................................................................++++++

......++++++

writing new private key to 'client1.key'

-----

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [KG]:EC

State or Province Name (full name) [NA]:Pichincha

Locality Name (eg, city) [BISHKEK]:Quito

Organization Name (eg, company) [OpenVPN-TEST]:EcuaLinux

Organizational Unit Name (eg, section) []:IT

Common Name (eg, your name or your server's hostname) []:client1

Email Address [me@myhost.mydomain]:info@ecualinux.com

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:

An optional company name []:

Using configuration from /etc/openvpn/easy-rsa/2.0/openssl.cnf

Check that the request matches the signature

Signature ok

The Subject's Distinguished Name is as follows

countryName :PRINTABLE:'EC'

stateOrProvinceName :PRINTABLE:'Pichincha'

localityName :PRINTABLE:'Quito'

organizationName :PRINTABLE:'EcuaLinux'

organizationalUnitName:PRINTABLE:'IT'

commonName :PRINTABLE:'client1'

emailAddress :IA5STRING:'info@ecualinux.com'

Certificate is to be certified until Nov 24 05:25:40 2016 GMT (3650 days)

Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y

Write out database with 1 new entries

Data Base Updated

En el ejemplo anterior generamos la clave y el certificado [b]para un cliente llamado client1.[/b]

[b]Debemos hacer notar que al ejecutar el programa sh build-key, le pasamos como parámetro el nombre del cliente (client1 en el ejemplo anterior) el cual debe ser diferente para cada cliente. En el common name ponemos el nombre del cliente (client1 en éste ejemplo) tal y como le pasamos de parámetro.[/b]

Se pueden generar tantas claves como sean necesarias:


sh build-key client2

sh build-key client3

Esto nos generará dos claves y certificados más, para client2 y client3, por favor, en common name debemos poner [b]client2[/b] ó [b]client3[/b] para cada caso.
Generando parámetros de Diffie-Hellman

[b]El parámetro de Diffie-Hellman debemos generarlo así:[/b]

sh build-dh

Generating DH parameters, 1024 bit long safe prime, generator 2

This is going to take a long time

......................+...............................+...........

[b]Archivos a copiar al servidor[/b]

Hacia el directorio /etc/openvpn del servidor copiamos los siguientes archivos:

* ca.crt
* ca.key
* server.key
* server.crt
* dh1024.pem

Estos archivos están presentes en: [i]/etc/openvpn/easy-rsa/2.0/keys/[/i]

[b]Archivos a copiar al cliente[/b]

Hacia el directorio /etc/openvpn de cada cliente copiamos los siguientes archivos:

* ca.crt
* client[b]X[/b].crt
* client[b]X[/b].key

Tenga en cuenta que [b]X[/b] es un número que se corresponde con el cliente (para el cliente 2 sería: client2.crt y client2.key por ejemplo).

[b]Estos 3 archivos deben copiarse de forma segura hacia el cliente, quizá mediante scp o algún medio magnético seguro. No deben enviarse por mail puesto que contienen la clave (.key) de encriptación del cliente!
[/b]

Estos archivos están presentes en: [i]/etc/openvpn/easy-rsa/2.0/keys/[/i] [b]del servidor[/b].

Para la configuración en modo roadwarrior las configuraciones del cliente y el servidor varían un poco:

[b]Configuración del servidor:[/b]

El archivo [i]/etc/openvpn/server.conf[/i] quedará así:

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
#Direcciones que se asignaran a los
#clientes, el server es .1
server 10.8.0.0 255.255.255.0

ifconfig-pool-persist ipp.txt

#Ruta para que los clientes alcancen la red local del server (56.0/24)
push "route 192.168.56.0 255.255.255.0"

keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 4

Como podemos ver, hay nuevos parámetros, los más importantes son:

* un [b]push[/b] de la ruta hacia la red local interna del servidor. Esa ruta estádica permitirá que el road warrior vea a las máquinas de la red interna
* [b]server[/b]: Indica el rango de direcciones que se asignará a los clientes que se conecten, deben ser direcciones no similares a las de la red local.

[b]Configuración del cliente:[/b]

En el caso del cliente, así quedaría el archivo de configuración:


client
dev tun
proto udp
remote 201.219.41.38 1194
resolv-retry infinite
nobind
#Las dos siguientes opciones no van en windows
user nobody
group nobody

persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 4

Las configuraciones más interesantes son:

* [b]Client[/b]: indica que algunas configuraciones las tomará del servidor.
* [b]nobind[/b]: que no actúe como servidor, que solamente vaya como cliente.
* [b]Recordar que cert y key deben ser únicas para cada cliente
[/b]

Si se fijan, el orden en que van los parámetros no importa mucho, he notado que el openvpn es muy noble en el cómo pones los parámetros, le da igual (mayormente).

Comentarios

No termina de conectar.

Buenas Tardes y gracias de antemano.

He seguido el manual al pie de la letra y no termina de conectar la vpn.

Servidor: Centes versión 5.8 con openvpn 2.2.2
Cliente: Windows 7 con openvpn v.1.0.3

Adjunto log de mi equipo.

Wed Jan 02 15:19:38 2013 us=703000 Current Parameter Settings:
Wed Jan 02 15:19:38 2013 us=703000 config = 'cliente1.ovpn'
Wed Jan 02 15:19:38 2013 us=703000 mode = 0
Wed Jan 02 15:19:38 2013 us=703000 show_ciphers = DISABLED
Wed Jan 02 15:19:38 2013 us=703000 show_digests = DISABLED
Wed Jan 02 15:19:38 2013 us=703000 show_engines = DISABLED
Wed Jan 02 15:19:38 2013 us=703000 genkey = DISABLED
Wed Jan 02 15:19:38 2013 us=703000 key_pass_file = '[UNDEF]'
Wed Jan 02 15:19:38 2013 us=703000 show_tls_ciphers = DISABLED
Wed Jan 02 15:19:38 2013 us=703000 Connection profiles [default]:
Wed Jan 02 15:19:38 2013 us=703000 proto = udp
Wed Jan 02 15:19:38 2013 us=703000 local = '[UNDEF]'
Wed Jan 02 15:19:38 2013 us=703000 local_port = 0
Wed Jan 02 15:19:38 2013 us=703000 remote = '217.126.167.48'
Wed Jan 02 15:19:38 2013 us=703000 remote_port = 1194
Wed Jan 02 15:19:38 2013 us=703000 remote_float = DISABLED
Wed Jan 02 15:19:38 2013 us=703000 bind_defined = DISABLED
Wed Jan 02 15:19:38 2013 us=703000 bind_local = DISABLED
Wed Jan 02 15:19:38 2013 us=703000 connect_retry_seconds = 5
Wed Jan 02 15:19:38 2013 us=703000 connect_timeout = 10
Wed Jan 02 15:19:38 2013 us=703000 connect_retry_max = 0
Wed Jan 02 15:19:38 2013 us=703000 socks_proxy_server = '[UNDEF]'
Wed Jan 02 15:19:38 2013 us=703000 socks_proxy_port = 0
Wed Jan 02 15:19:38 2013 us=703000 socks_proxy_retry = DISABLED
Wed Jan 02 15:19:38 2013 us=703000 Connection profiles END
Wed Jan 02 15:19:38 2013 us=703000 remote_random = DISABLED
Wed Jan 02 15:19:38 2013 us=703000 ipchange = '[UNDEF]'
Wed Jan 02 15:19:38 2013 us=703000 dev = 'tun'
Wed Jan 02 15:19:38 2013 us=703000 dev_type = '[UNDEF]'
Wed Jan 02 15:19:38 2013 us=703000 dev_node = '[UNDEF]'
Wed Jan 02 15:19:38 2013 us=703000 lladdr = '[UNDEF]'
Wed Jan 02 15:19:38 2013 us=703000 topology = 1
Wed Jan 02 15:19:38 2013 us=703000 tun_ipv6 = DISABLED
Wed Jan 02 15:19:38 2013 us=703000 ifconfig_local = '[UNDEF]'
Wed Jan 02 15:19:38 2013 us=703000 ifconfig_remote_netmask = '[UNDEF]'
Wed Jan 02 15:19:38 2013 us=703000 ifconfig_noexec = DISABLED
Wed Jan 02 15:19:38 2013 us=703000 ifconfig_nowarn = DISABLED
Wed Jan 02 15:19:38 2013 us=703000 shaper = 0
Wed Jan 02 15:19:38 2013 us=703000 tun_mtu = 1500
Wed Jan 02 15:19:38 2013 us=703000 tun_mtu_defined = ENABLED
Wed Jan 02 15:19:38 2013 us=703000 link_mtu = 1500
Wed Jan 02 15:19:38 2013 us=703000 link_mtu_defined = DISABLED
Wed Jan 02 15:19:38 2013 us=703000 tun_mtu_extra = 0
Wed Jan 02 15:19:38 2013 us=703000 tun_mtu_extra_defined = DISABLED
Wed Jan 02 15:19:38 2013 us=703000 fragment = 0
Wed Jan 02 15:19:38 2013 us=703000 mtu_discover_type = -1
Wed Jan 02 15:19:38 2013 us=703000 mtu_test = 0
Wed Jan 02 15:19:38 2013 us=703000 mlock = DISABLED
Wed Jan 02 15:19:38 2013 us=703000 keepalive_ping = 0
Wed Jan 02 15:19:38 2013 us=718000 keepalive_timeout = 0
Wed Jan 02 15:19:38 2013 us=718000 inactivity_timeout = 0
Wed Jan 02 15:19:38 2013 us=718000 ping_send_timeout = 0
Wed Jan 02 15:19:38 2013 us=718000 ping_rec_timeout = 0
Wed Jan 02 15:19:38 2013 us=718000 ping_rec_timeout_action = 0
Wed Jan 02 15:19:38 2013 us=718000 ping_timer_remote = DISABLED
Wed Jan 02 15:19:38 2013 us=718000 remap_sigusr1 = 0
Wed Jan 02 15:19:38 2013 us=718000 explicit_exit_notification = 0
Wed Jan 02 15:19:38 2013 us=718000 persist_tun = ENABLED
Wed Jan 02 15:19:38 2013 us=718000 persist_local_ip = DISABLED
Wed Jan 02 15:19:38 2013 us=718000 persist_remote_ip = DISABLED
Wed Jan 02 15:19:38 2013 us=718000 persist_key = ENABLED
Wed Jan 02 15:19:38 2013 us=718000 mssfix = 1450
Wed Jan 02 15:19:38 2013 us=718000 resolve_retry_seconds = 1000000000
Wed Jan 02 15:19:38 2013 us=718000 username = '[UNDEF]'
Wed Jan 02 15:19:38 2013 us=718000 groupname = '[UNDEF]'
Wed Jan 02 15:19:38 2013 us=718000 chroot_dir = '[UNDEF]'
Wed Jan 02 15:19:38 2013 us=718000 cd_dir = '[UNDEF]'
Wed Jan 02 15:19:38 2013 us=718000 writepid = '[UNDEF]'
Wed Jan 02 15:19:38 2013 us=843000 up_script = '[UNDEF]'
Wed Jan 02 15:19:38 2013 us=843000 down_script = '[UNDEF]'
Wed Jan 02 15:19:38 2013 us=843000 down_pre = DISABLED
Wed Jan 02 15:19:38 2013 us=843000 up_restart = DISABLED
Wed Jan 02 15:19:38 2013 us=843000 up_delay = DISABLED
Wed Jan 02 15:19:38 2013 us=843000 daemon = DISABLED
Wed Jan 02 15:19:38 2013 us=843000 inetd = 0
Wed Jan 02 15:19:38 2013 us=843000 log = DISABLED
Wed Jan 02 15:19:38 2013 us=843000 suppress_timestamps = DISABLED
Wed Jan 02 15:19:38 2013 us=843000 nice = 0
Wed Jan 02 15:19:38 2013 us=843000 verbosity = 4
Wed Jan 02 15:19:38 2013 us=843000 mute = 0
Wed Jan 02 15:19:38 2013 us=843000 gremlin = 0
Wed Jan 02 15:19:38 2013 us=843000 status_file = '[UNDEF]'
Wed Jan 02 15:19:38 2013 us=843000 status_file_version = 1
Wed Jan 02 15:19:38 2013 us=843000 status_file_update_freq = 60
Wed Jan 02 15:19:38 2013 us=843000 occ = ENABLED
Wed Jan 02 15:19:38 2013 us=843000 rcvbuf = 0
Wed Jan 02 15:19:38 2013 us=843000 sndbuf = 0
Wed Jan 02 15:19:38 2013 us=890000 sockflags = 0
Wed Jan 02 15:19:38 2013 us=890000 fast_io = DISABLED
Wed Jan 02 15:19:38 2013 us=890000 lzo = 7
Wed Jan 02 15:19:38 2013 us=890000 route_script = '[UNDEF]'
Wed Jan 02 15:19:38 2013 us=890000 route_default_gateway = '[UNDEF]'
Wed Jan 02 15:19:38 2013 us=890000 route_default_metric = 0
Wed Jan 02 15:19:38 2013 us=890000 route_noexec = DISABLED
Wed Jan 02 15:19:38 2013 us=890000 route_delay = 5
Wed Jan 02 15:19:38 2013 us=890000 route_delay_window = 30
Wed Jan 02 15:19:38 2013 us=890000 route_delay_defined = ENABLED
Wed Jan 02 15:19:38 2013 us=890000 route_nopull = DISABLED
Wed Jan 02 15:19:38 2013 us=890000 route_gateway_via_dhcp = DISABLED
Wed Jan 02 15:19:38 2013 us=906000 max_routes = 100
Wed Jan 02 15:19:38 2013 us=906000 allow_pull_fqdn = DISABLED
Wed Jan 02 15:19:38 2013 us=906000 management_addr = '[UNDEF]'
Wed Jan 02 15:19:38 2013 us=906000 management_port = 0
Wed Jan 02 15:19:38 2013 us=984000 management_user_pass = '[UNDEF]'
Wed Jan 02 15:19:38 2013 us=984000 management_log_history_cache = 250
Wed Jan 02 15:19:38 2013 us=984000 management_echo_buffer_size = 100
Wed Jan 02 15:19:38 2013 us=984000 management_write_peer_info_file = '[UNDEF]'
Wed Jan 02 15:19:38 2013 us=984000 management_client_user = '[UNDEF]'
Wed Jan 02 15:19:38 2013 us=984000 management_client_group = '[UNDEF]'
Wed Jan 02 15:19:38 2013 us=984000 management_flags = 0
Wed Jan 02 15:19:38 2013 us=984000 shared_secret_file = '[UNDEF]'
Wed Jan 02 15:19:38 2013 us=984000 key_direction = 0
Wed Jan 02 15:19:38 2013 us=984000 ciphername_defined = ENABLED
Wed Jan 02 15:19:38 2013 us=984000 ciphername = 'BF-CBC'
Wed Jan 02 15:19:38 2013 us=984000 authname_defined = ENABLED
Wed Jan 02 15:19:38 2013 us=984000 authname = 'SHA1'
Wed Jan 02 15:19:38 2013 us=984000 prng_hash = 'SHA1'
Wed Jan 02 15:19:38 2013 us=984000 prng_nonce_secret_len = 16
Wed Jan 02 15:19:38 2013 us=984000 keysize = 0
Wed Jan 02 15:19:39 2013 us=46000 engine = DISABLED
Wed Jan 02 15:19:39 2013 us=46000 replay = ENABLED
Wed Jan 02 15:19:39 2013 us=46000 mute_replay_warnings = DISABLED
Wed Jan 02 15:19:39 2013 us=46000 replay_window = 64
Wed Jan 02 15:19:39 2013 us=46000 replay_time = 15
Wed Jan 02 15:19:39 2013 us=46000 packet_id_file = '[UNDEF]'
Wed Jan 02 15:19:39 2013 us=46000 use_iv = ENABLED
Wed Jan 02 15:19:39 2013 us=46000 test_crypto = DISABLED
Wed Jan 02 15:19:39 2013 us=46000 tls_server = DISABLED
Wed Jan 02 15:19:39 2013 us=46000 tls_client = ENABLED
Wed Jan 02 15:19:39 2013 us=46000 key_method = 2
Wed Jan 02 15:19:39 2013 us=46000 ca_file = 'ca.crt'
Wed Jan 02 15:19:39 2013 us=46000 ca_path = '[UNDEF]'
Wed Jan 02 15:19:39 2013 us=46000 dh_file = '[UNDEF]'
Wed Jan 02 15:19:39 2013 us=46000 cert_file = 'cliente1.crt'
Wed Jan 02 15:19:39 2013 us=46000 priv_key_file = 'cliente1.key'
Wed Jan 02 15:19:39 2013 us=46000 pkcs12_file = '[UNDEF]'
Wed Jan 02 15:19:39 2013 us=109000 cryptoapi_cert = '[UNDEF]'
Wed Jan 02 15:19:39 2013 us=109000 cipher_list = '[UNDEF]'
Wed Jan 02 15:19:39 2013 us=109000 tls_verify = '[UNDEF]'
Wed Jan 02 15:19:39 2013 us=109000 tls_export_cert = '[UNDEF]'
Wed Jan 02 15:19:39 2013 us=109000 tls_remote = '[UNDEF]'
Wed Jan 02 15:19:39 2013 us=109000 crl_file = '[UNDEF]'
Wed Jan 02 15:19:39 2013 us=109000 ns_cert_type = 0
Wed Jan 02 15:19:39 2013 us=109000 remote_cert_ku[i] = 0
Wed Jan 02 15:19:39 2013 us=109000 remote_cert_ku[i] = 0
Wed Jan 02 15:19:39 2013 us=109000 remote_cert_ku[i] = 0
Wed Jan 02 15:19:39 2013 us=109000 remote_cert_ku[i] = 0
Wed Jan 02 15:19:39 2013 us=109000 remote_cert_ku[i] = 0
Wed Jan 02 15:19:39 2013 us=109000 remote_cert_ku[i] = 0
Wed Jan 02 15:19:39 2013 us=109000 remote_cert_ku[i] = 0
Wed Jan 02 15:19:39 2013 us=109000 remote_cert_ku[i] = 0
Wed Jan 02 15:19:39 2013 us=109000 remote_cert_ku[i] = 0
Wed Jan 02 15:19:39 2013 us=125000 remote_cert_ku[i] = 0
Wed Jan 02 15:19:39 2013 us=171000 remote_cert_ku[i] = 0
Wed Jan 02 15:19:39 2013 us=171000 remote_cert_ku[i] = 0
Wed Jan 02 15:19:39 2013 us=171000 remote_cert_ku[i] = 0
Wed Jan 02 15:19:39 2013 us=171000 remote_cert_ku[i] = 0
Wed Jan 02 15:19:39 2013 us=171000 remote_cert_ku[i] = 0
Wed Jan 02 15:19:39 2013 us=171000 remote_cert_ku[i] = 0
Wed Jan 02 15:19:39 2013 us=171000 remote_cert_eku = '[UNDEF]'
Wed Jan 02 15:19:39 2013 us=171000 tls_timeout = 2
Wed Jan 02 15:19:39 2013 us=171000 renegotiate_bytes = 0
Wed Jan 02 15:19:39 2013 us=171000 renegotiate_packets = 0
Wed Jan 02 15:19:39 2013 us=171000 renegotiate_seconds = 3600
Wed Jan 02 15:19:39 2013 us=171000 handshake_window = 60
Wed Jan 02 15:19:39 2013 us=171000 transition_window = 3600
Wed Jan 02 15:19:39 2013 us=171000 single_session = DISABLED
Wed Jan 02 15:19:39 2013 us=171000 push_peer_info = DISABLED
Wed Jan 02 15:19:39 2013 us=171000 tls_exit = DISABLED
Wed Jan 02 15:19:39 2013 us=218000 tls_auth_file = '[UNDEF]'
Wed Jan 02 15:19:39 2013 us=218000 pkcs11_protected_authentication = DISABLED
Wed Jan 02 15:19:39 2013 us=218000 pkcs11_protected_authentication = DISABLED
Wed Jan 02 15:19:39 2013 us=218000 pkcs11_protected_authentication = DISABLED
Wed Jan 02 15:19:39 2013 us=218000 pkcs11_protected_authentication = DISABLED
Wed Jan 02 15:19:39 2013 us=218000 pkcs11_protected_authentication = DISABLED
Wed Jan 02 15:19:39 2013 us=218000 pkcs11_protected_authentication = DISABLED
Wed Jan 02 15:19:39 2013 us=218000 pkcs11_protected_authentication = DISABLED
Wed Jan 02 15:19:39 2013 us=218000 pkcs11_protected_authentication = DISABLED
Wed Jan 02 15:19:39 2013 us=234000 pkcs11_protected_authentication = DISABLED
Wed Jan 02 15:19:39 2013 us=234000 pkcs11_protected_authentication = DISABLED
Wed Jan 02 15:19:39 2013 us=234000 pkcs11_protected_authentication = DISABLED
Wed Jan 02 15:19:39 2013 us=234000 pkcs11_protected_authentication = DISABLED
Wed Jan 02 15:19:39 2013 us=281000 pkcs11_protected_authentication = DISABLED
Wed Jan 02 15:19:39 2013 us=281000 pkcs11_protected_authentication = DISABLED
Wed Jan 02 15:19:39 2013 us=281000 pkcs11_protected_authentication = DISABLED
Wed Jan 02 15:19:39 2013 us=281000 pkcs11_protected_authentication = DISABLED
Wed Jan 02 15:19:39 2013 us=281000 pkcs11_private_mode = 00000000
Wed Jan 02 15:19:39 2013 us=281000 pkcs11_private_mode = 00000000
Wed Jan 02 15:19:39 2013 us=281000 pkcs11_private_mode = 00000000
Wed Jan 02 15:19:39 2013 us=281000 pkcs11_private_mode = 00000000
Wed Jan 02 15:19:39 2013 us=281000 pkcs11_private_mode = 00000000
Wed Jan 02 15:19:39 2013 us=281000 pkcs11_private_mode = 00000000
Wed Jan 02 15:19:39 2013 us=281000 pkcs11_private_mode = 00000000
Wed Jan 02 15:19:39 2013 us=281000 pkcs11_private_mode = 00000000
Wed Jan 02 15:19:39 2013 us=281000 pkcs11_private_mode = 00000000
Wed Jan 02 15:19:39 2013 us=281000 pkcs11_private_mode = 00000000
Wed Jan 02 15:19:39 2013 us=343000 pkcs11_private_mode = 00000000
Wed Jan 02 15:19:39 2013 us=343000 pkcs11_private_mode = 00000000
Wed Jan 02 15:19:39 2013 us=343000 pkcs11_private_mode = 00000000
Wed Jan 02 15:19:39 2013 us=343000 pkcs11_private_mode = 00000000
Wed Jan 02 15:19:39 2013 us=343000 pkcs11_private_mode = 00000000
Wed Jan 02 15:19:39 2013 us=343000 pkcs11_private_mode = 00000000
Wed Jan 02 15:19:39 2013 us=343000 pkcs11_cert_private = DISABLED
Wed Jan 02 15:19:39 2013 us=343000 pkcs11_cert_private = DISABLED
Wed Jan 02 15:19:39 2013 us=343000 pkcs11_cert_private = DISABLED
Wed Jan 02 15:19:39 2013 us=343000 pkcs11_cert_private = DISABLED
Wed Jan 02 15:19:39 2013 us=343000 pkcs11_cert_private = DISABLED
Wed Jan 02 15:19:39 2013 us=343000 pkcs11_cert_private = DISABLED
Wed Jan 02 15:19:39 2013 us=343000 pkcs11_cert_private = DISABLED
Wed Jan 02 15:19:39 2013 us=343000 pkcs11_cert_private = DISABLED
Wed Jan 02 15:19:39 2013 us=390000 pkcs11_cert_private = DISABLED
Wed Jan 02 15:19:39 2013 us=390000 pkcs11_cert_private = DISABLED
Wed Jan 02 15:19:39 2013 us=390000 pkcs11_cert_private = DISABLED
Wed Jan 02 15:19:39 2013 us=390000 pkcs11_cert_private = DISABLED
Wed Jan 02 15:19:39 2013 us=390000 pkcs11_cert_private = DISABLED
Wed Jan 02 15:19:39 2013 us=390000 pkcs11_cert_private = DISABLED
Wed Jan 02 15:19:39 2013 us=390000 pkcs11_cert_private = DISABLED
Wed Jan 02 15:19:39 2013 us=390000 pkcs11_cert_private = DISABLED
Wed Jan 02 15:19:39 2013 us=390000 pkcs11_pin_cache_period = -1
Wed Jan 02 15:19:39 2013 us=390000 pkcs11_id = '[UNDEF]'
Wed Jan 02 15:19:39 2013 us=390000 pkcs11_id_management = DISABLED
Wed Jan 02 15:19:39 2013 us=390000 server_network = 0.0.0.0
Wed Jan 02 15:19:39 2013 us=390000 server_netmask = 0.0.0.0
Wed Jan 02 15:19:39 2013 us=390000 server_bridge_ip = 0.0.0.0
Wed Jan 02 15:19:39 2013 us=390000 server_bridge_netmask = 0.0.0.0
Wed Jan 02 15:19:39 2013 us=453000 server_bridge_pool_start = 0.0.0.0
Wed Jan 02 15:19:39 2013 us=453000 server_bridge_pool_end = 0.0.0.0
Wed Jan 02 15:19:39 2013 us=453000 ifconfig_pool_defined = DISABLED
Wed Jan 02 15:19:39 2013 us=453000 ifconfig_pool_start = 0.0.0.0
Wed Jan 02 15:19:39 2013 us=453000 ifconfig_pool_end = 0.0.0.0
Wed Jan 02 15:19:39 2013 us=453000 ifconfig_pool_netmask = 0.0.0.0
Wed Jan 02 15:19:39 2013 us=453000 ifconfig_pool_persist_filename = '[UNDEF]'
Wed Jan 02 15:19:39 2013 us=453000 ifconfig_pool_persist_refresh_freq = 600
Wed Jan 02 15:19:39 2013 us=453000 n_bcast_buf = 256
Wed Jan 02 15:19:39 2013 us=453000 tcp_queue_limit = 64
Wed Jan 02 15:19:39 2013 us=453000 real_hash_size = 256
Wed Jan 02 15:19:39 2013 us=453000 virtual_hash_size = 256
Wed Jan 02 15:19:39 2013 us=453000 client_connect_script = '[UNDEF]'
Wed Jan 02 15:19:39 2013 us=453000 learn_address_script = '[UNDEF]'
Wed Jan 02 15:19:39 2013 us=500000 client_disconnect_script = '[UNDEF]'
Wed Jan 02 15:19:39 2013 us=500000 client_config_dir = '[UNDEF]'
Wed Jan 02 15:19:39 2013 us=500000 ccd_exclusive = DISABLED
Wed Jan 02 15:19:39 2013 us=500000 tmp_dir = 'C:\Users\Fran\AppData\Local\Temp\'
Wed Jan 02 15:19:39 2013 us=500000 push_ifconfig_defined = DISABLED
Wed Jan 02 15:19:39 2013 us=500000 push_ifconfig_local = 0.0.0.0
Wed Jan 02 15:19:39 2013 us=500000 push_ifconfig_remote_netmask = 0.0.0.0
Wed Jan 02 15:19:39 2013 us=500000 enable_c2c = DISABLED
Wed Jan 02 15:19:39 2013 us=500000 duplicate_cn = DISABLED
Wed Jan 02 15:19:39 2013 us=500000 cf_max = 0
Wed Jan 02 15:19:39 2013 us=500000 cf_per = 0
Wed Jan 02 15:19:39 2013 us=500000 max_clients = 1024
Wed Jan 02 15:19:39 2013 us=500000 max_routes_per_client = 256
Wed Jan 02 15:19:39 2013 us=500000 auth_user_pass_verify_script = '[UNDEF]'
Wed Jan 02 15:19:39 2013 us=500000 auth_user_pass_verify_script_via_file = DISABLED
Wed Jan 02 15:19:39 2013 us=546000 ssl_flags = 0
Wed Jan 02 15:19:39 2013 us=546000 client = ENABLED
Wed Jan 02 15:19:39 2013 us=546000 pull = ENABLED
Wed Jan 02 15:19:39 2013 us=546000 auth_user_pass_file = '[UNDEF]'
Wed Jan 02 15:19:39 2013 us=546000 show_net_up = DISABLED
Wed Jan 02 15:19:39 2013 us=546000 route_method = 0
Wed Jan 02 15:19:39 2013 us=546000 ip_win32_defined = DISABLED
Wed Jan 02 15:19:39 2013 us=546000 ip_win32_type = 3
Wed Jan 02 15:19:39 2013 us=546000 dhcp_masq_offset = 0
Wed Jan 02 15:19:39 2013 us=546000 dhcp_lease_time = 31536000
Wed Jan 02 15:19:39 2013 us=546000 tap_sleep = 0
Wed Jan 02 15:19:39 2013 us=546000 dhcp_options = DISABLED
Wed Jan 02 15:19:39 2013 us=546000 dhcp_renew = DISABLED
Wed Jan 02 15:19:39 2013 us=546000 dhcp_pre_release = DISABLED
Wed Jan 02 15:19:39 2013 us=546000 dhcp_release = DISABLED
Wed Jan 02 15:19:39 2013 us=546000 domain = '[UNDEF]'
Wed Jan 02 15:19:39 2013 us=593000 netbios_scope = '[UNDEF]'
Wed Jan 02 15:19:39 2013 us=593000 netbios_node_type = 0
Wed Jan 02 15:19:39 2013 us=593000 disable_nbt = DISABLED
Wed Jan 02 15:19:39 2013 us=593000 OpenVPN 2.2.2 Win32-MSVC++ [SSL] [LZO2] [PKCS11] built on Dec 15 2011
Wed Jan 02 15:19:39 2013 us=593000 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Wed Jan 02 15:19:39 2013 us=593000 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed Jan 02 15:19:40 2013 us=750000 LZO compression initialized
Wed Jan 02 15:19:40 2013 us=750000 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Wed Jan 02 15:19:40 2013 us=765000 Socket Buffers: R=[8192->8192] S=[8192->8192]
Wed Jan 02 15:19:40 2013 us=765000 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Jan 02 15:19:40 2013 us=765000 Local Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Wed Jan 02 15:19:40 2013 us=765000 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Wed Jan 02 15:19:40 2013 us=765000 Local Options hash (VER=V4): '41690919'
Wed Jan 02 15:19:40 2013 us=765000 Expected Remote Options hash (VER=V4): '530fdded'
Wed Jan 02 15:19:40 2013 us=765000 UDPv4 link local: [undef]
Wed Jan 02 15:19:40 2013 us=781000 UDPv4 link remote: 217.126.167.48:1194
Wed Jan 02 15:20:40 2013 us=921000 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Jan 02 15:20:40 2013 us=921000 TLS Error: TLS handshake failed
Wed Jan 02 15:20:40 2013 us=921000 TCP/UDP: Closing socket
Wed Jan 02 15:20:40 2013 us=921000 SIGUSR1[soft,tls-error] received, process restarting
Wed Jan 02 15:20:40 2013 us=921000 Restart pause, 2 second(s)
Wed Jan 02 15:20:42 2013 us=921000 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Wed Jan 02 15:20:42 2013 us=921000 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed Jan 02 15:20:42 2013 us=921000 Re-using SSL/TLS context
Wed Jan 02 15:20:42 2013 us=921000 LZO compression initialized
Wed Jan 02 15:20:42 2013 us=921000 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Wed Jan 02 15:20:42 2013 us=921000 Socket Buffers: R=[8192->8192] S=[8192->8192]
Wed Jan 02 15:20:42 2013 us=921000 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Jan 02 15:20:42 2013 us=921000 Local Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Wed Jan 02 15:20:42 2013 us=921000 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Wed Jan 02 15:20:42 2013 us=921000 Local Options hash (VER=V4): '41690919'
Wed Jan 02 15:20:42 2013 us=921000 Expected Remote Options hash (VER=V4): '530fdded'
Wed Jan 02 15:20:42 2013 us=921000 UDPv4 link local: [undef]
Wed Jan 02 15:20:42 2013 us=921000 UDPv4 link remote: XXX.XXX.XXX.XXX:1194

Revisa los mensajes del LOG,

Imagen de deathUser

Revisa los mensajes del LOG, en especial los WARNINGS y los ERROR:


WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info
TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Jan 02 15:20:40 2013 us=921000 TLS Error: TLS handshake failed

asegúrate de que tienes abiertos los puertos y protocolos necesarios en los firewalls o incluso desactiva los firewalls durante las pruebas para descartar que sea eso ...

bye
;)

Me tope con algun cambio al

Imagen de damage

Me tope con algun cambio al instalar openvpn en modo roadwarrior en un centos 6.2, seguí, paso a paso el COMO de EPE, sin embargo al realizar la conexión desde el cliente, este me daba el mensaje siguiente:

TCP/UDP: Incoming packet rejected from 192.168.x.x:1194, expected peer address: xxx.xxx.xx.xxx:1194 (allow this incoming source address/port by removing --remote or adding --float)

Dando vueltas al asunto, googleando por ahí, me tope que en la configuración de server.conf hay que adicionar la variable:
local ip.publica.del.server

Una vez añadido los datos y reiniciado el servicio, fué suficiente para que el cliente se pueda conectar.

Saludos.

hum, no me ha sucedido esto..

Imagen de Epe

hum, no me ha sucedido esto.. será que tienes alguna configuración medio especial como que estás detrás de un nat o haciendo algún tipo de trabajo en las rutas en el server? porque te confieso que esto de "local" no le conocía incluso.

Y me funciona con centos-6 bien.

Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre

Páginas