Navegación

Inicio de sesión de usuario

Temas activos

más

Encuesta

Sabias que glibc usa código con restricciones? Uy por los puristas!

Sí

23%

46%

No me afecta

23%

Otra respuesta

Total de votos: 13

Ultimos Kernel

next-20100907: linux-next

más

En línea

En este momento hay 0 usuarios y 38 invitados en línea.

Nuevos

SchoolForge

Usted está aquí:

6- OpenVPN detrás de un proxy

Enviado por Epe el Mié, 2007-02-07 10:13.

Bueno, me topé con un cliente que por alguna razón propia de ellos (seguridad) no tienen acceso directo a internet (NAT) sino que todo sale a través de un proxy squid.

En este cliente yo estaba casi 8 horas al día durante dos semanas (por eso no posteé las semanas anteriores y perdí tantos puntos bodi.. por los bodis precisamente).

En todo caso, yo necesitaba poder hacer una vpn hacia fuera pues necesitaba ssh, imap y algunas cosillas para el trabajo de mi negocio... y me desesperaba no tener conexión. Esto significaba que tenía queleer correos por webmail (no es de mi agrado) y que no podía hacer ssh sino me conectaba por alegro pero alegro me machetea 4ctvs el minuto por una conexión.....

solución? Usar openvpn a través del proxy.

Para esto debemos tener en cuenta las siguientes consideraciones:
1- openvpn usará el protocolo tcp
2- openvpn hará un connect al puerto que le digamos

Sobre este punto 2 es el problema. Los proxies squid permiten solamente hacer connect a los puertos 563 y 443 (miren dentro de la ACL ésta:

acl SSL_ports port 443 563

Así que el primer día me salió todo mal, lo dejé intentando hacer connect al 1194 y el proxy no me dejaba. Así que como no podía convencerles de abrir el 1194, opté por usar lo que brindaban, el 563, yo tenía el 563 sin uso en ese servidor remoto así que le dí uso.

Configuración del servidor para aceptar conexiones desde un proxy:
Al servidor hay que indicarle que la conexión será en tcp:

proto tcp
port 563

y hay que comentarle estas lineas:

#user nobody
#group nobody

Por qué comentarlas? Porque el puerto que usaremos será el 563, es un puerto bajo, menor a 1024 y requiere de acceso de root por eso no se puede disminuir privilegios

Atención: Recuerda abrir el puerto 563/tcp en tu iptables!!!

Configuración del cliente para hacer conexiones a través de un proxy:

En el el archivo .conf del cliente agregar:

#reintentar hasta que se pueda, y conectarse al servidor proxy: 192.168.1.1 en el puerto 3128
http-proxy-retry
http-proxy 192.168.1.1 3128

En el cliente además hay que indicarle que el servidor de destino corre en el puerto 563 y en tcp.

proto tcp
port 563

y hay que comentarle estas lineas:

#user nobody
#group nobody

Aqui cruzas los dedos, reinicias el cliente y el servidor y debe funcionarte.

Los problemas tipicos son relacionados con los privilegios de root (dejar el user y el group) y con el puerto que el squid esté dispuesto a aceptar, sugiero el 563 pues tipicamente lo permiten.

Your rating:

Average: 5 (1 vote)

Inicie sesión o regístrese para enviar comentarios
11052 lecturas

En el servidor es: proto

Enviado por Epe el Vie, 2007-09-14 09:26.

En el servidor es:
proto tcp-server

En el cliente es:
proto tcp-client

poner: proto tcp como en el howto puede hacer que el openvpn se queje

Saludos
epe
--
EcuaLinux.com
Ecuador: +(593) 9 9246504, +(593) 2 3412402
USA: +1 305 359 4495, España: +34 91 7617884

—

Saludos
epe
NuestroServer.com
Síguenos en identi.ca

Inicie sesión o regístrese para enviar comentarios