4- OpenVPN y su relación con iptables

Imagen de Epe

Configurarlo es fácil, lo que me tomó y lo juro una madrugada fue el hecho de relacionarlo con iptables.

Si tienes un iptables medio jodón, se te arma un lío. Mira que perdí tiempo... la idea es que hay que habilitar el tráfico hacia las interfaces TUN/TAP pues sino no se conectan las máquinas.

El mejor síntoma es que hayas seguido todas mis indicaciones aqui y no te trabaje.. por supuesto te recomiendo siempre mirar dentro de los logs: /var/log/messages de ambos extremos pues puede que el problema que tengas sea otro (typos o errores al escribir).

Ahora, si estás seguro de que la openvpn está bien, te sugiero bajar el iptables (flush) en ambos extremos, para que verifiques si funciona el openvpn sin el firewall.

Si te funcionó con el iptables abajo, entonces debes agregar estas líneas en el servidor (quizá en el cliente también):
[code]
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A FORWARD -o tun+ -j ACCEPT
iptables -A OUTPUT -o tun+ -j ACCEPT
iptables -A INPUT -i tap+ -j ACCEPT
iptables -A FORWARD -i tap+ -j ACCEPT
iptables -A INPUT -p udp --dport 1194 -j ACCEPT
[/code]

Con ellas lo que logras es abrir el puerto 1194/UDP para que entre la conexión de los clientes. Y además acceptar conexiones tun/tap. Aunque realmente con las tun basta pues son las que usamos en estos ejemplos.

Un firewall que ya tengo preparado para esto es el rc.firewall modificado por mi, aqui lo tienes listo para ser usado: [url=http://]http://cursos.ernestoperez.com/rc.firewall[/url]

Busca la palabra [b]openvpn[/b] dentro de este script ahi están comentadas las líneas, sólo tienes que descomentarlas y reiniciarlo.

Comentarios

gracias, solo me falta pulirlo

Me lei el manual... ya me puedo conectar desde WINDOWS a la VPN.

Pero no consigo que vea el WINDOWS la red de LINUX, la virtual es 10.8.0.0, en la interface tun del servidor 10.8.0.1, el windows recibe la 10.8.0.6 255.255.255.252 (la mascara me estraña, porque en server pone 10.8.0.0 255.255.255.0 ) pero no le doy importancia. La ip de eth0 es 192.168.0.250 le hago PING y nada...... ssh y nada..... ( La red del cliente es 192.168.1.0/24 ) y desde el linux tampoco la veo.

Tengo que probar con dos maquinas..... lo que más me interesa es que se vean los clientes que estan conectados. Probare de conectar otro cliente haber si se puede hacer ping.

Te felicito per el manual... muy bueno. (Aunque tengo un debian me a servido muchisimo) :)

aun tenemos acceso

Imagen de edsxn

hola , estuve tratando de entrar a tu web pero no me ha sido posible por que me pide validarme ?

se puede aun entrar a los manuales en el moodle. http://cursos.ecualinux.com/login/index.php

se te agradeceria mucho.

Linux Rules

Mascara de red

Hola, Tengo una duda con respecto a la mascara de red,

el servidor esta configurado para una mascara 255.255.255.0 pero tanto en el servidor como en los clientes estan 255.255.255.255.

No tengo ping entre los clientes y tampoco tengo el firewall habilitado en ninguna de las dos maquinas.

Gracias de antemano por sus respuestas

Alguien podria decirme como

Alguien podria decirme como resolver ese problema?

este es el config de mi server:
port 1194
proto tcp
dev tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
server 10.8.0.0 255.255.255.0
push "route 10.8.0.0 255.255.255.0"

ifconfig-pool-persist /etc/openvpn/ipp.txt
status openvpn-status.log

keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun

verb 4