7- Fallas típicas en conexiones openvpn

Imagen de Epe

No estoy diciendo que son precisamente las que tengas, pero aqui van algunas burradas típicas que cometemos cuando usamos openvpn, principalmente en red a red.

1- En red-red el nombre del archivo dentro de ccd tiene que ser igual al nombre del common name generado para el .conf del cliente (por ejemplo ccd/client1 y en el common name al generar client1.crt debería haber puesto client1)

Esta es la mejor, me tuvo la mañana de hoy Sábado sentado. Hasta la próstata me duele de tanto tiempo sentado: por el amor de Alá... el common name hazlo coincidir con el parámetro que uses cuando pones "sh build-key client1".

Este cliente en cuestión ejecutó "sh build-key client1" (sin las comillas) y en el common name había puesto server2...

Esto hace que la ruta para el red a red no funcionara porque se buscaba en ccd/ el archivo llamado server2, pues dentro de ccd se pone un archivo con el nombre del common name.

2- no tengas varios firewalls encendidos!!, esto es tipico, apaga cualquier otro firewall y solamente deja el tuyo, esto es tipico (de nuevo).

Si estás usando rc.firewall, entonces mejor apaga el firewall iptables, pues se entromete. Lo mismo para cualquier otro firewall

service iptables stop
chkconfig iptables off
chkconfig ip6tables off
service ip6tables stop

Me gusta el arnos-iptables-firewall, aqui puedes encontrar el rpm http://centos5.centos.ec

3- La ruta por defecto de ambas redes trata de que sea el servidor de openvpn, verificalo con route print. Si el servidor openvpn no es el mismo servidor que sirve de gateway para tu red, debes crear una ruta estática en el servidor de gateway para enviar los paquetes con destino a la red remota hacia el servidor openvpn.

4- ¿Están encendidos ambos servidores de openvpn?

5- En los servidores aparece una ruta estática? route -n, verificar que haya una ruta hacia la red LAN contraria que vaya por la interfaz tun0, por ejemplo así:

192.168.2.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0

6- Apaga el NetworkManager.. que haces usando ambiente gráfico en un servidor? Apaga el servicio messagebus, apaga el avahi-daemon!! Vete a modo texto.. apaga cualquier otro servicio que no utilices por si acaso.

service NetworkManager stop
chkconfig NetworkManager off
service avahi-daemon stop
chkconfig avahi-daemon off
service messagebus stop
chkconfig messagebus off

7- ¿Está bien puesta la hora de la máquina? Esta fue otra que me hizo perder, tiempo. Los certificados se generan desde una fecha/hora hasta otra fecha/hora (aunque no definas esto manualmente)... la fecha/hora de inicio es la hora del servidor.. si la tienes mal en uno de ambos servidores, entonces el cert no tomará hasta que la hroa no se cumpla.. si el drift entre ambos es muy grande, entonces te tomará años. Actualiza la hora con ntpdate antes de crear los certs