Manual OpenVPN para GNU/Linux y Windows.Cliente/Servidor

Publicado: Lunes 28 Noviembre 2011, 21:45

Si no sales desde la IP de tu casa es que no est� funcionando, me pasaba eso a m� antes de instalar el modulo tun.ko

Mira aqu�:

http://forum.xda-developers.co...amp;page=3

Estoy seguro que hay algo para tu rom en xda-developers, si no lo hay ah�, es que no existe XDD

Yo saqu� el .ZIP con todo lo necesario para mi Nexus S de ah� Gui�o

Suerteee!!!!

ZoNeR@ Registrado: Nov 18, 2011 Mensajes: 45

Si no est� ese m�dulo, no deber�a cascar algo antes? todo aparece conectado, todo perfecto (a no ser que se me pase algo) mirando en logs del m�vil y logs del router.

Si yo no tengo el m�dulo tun.ko, antes de crear el t�nel, PETO y aviso de que no existe, no sigo con todo correcto hacia delante Risa

Mirar�, pero lo que estuve ojeando, el m�dulo debe ser parejo al kernel que lleve, y eso es m�s dif�cil. En las versiones 6.0 (la anterior a mi 7) no vi que lo necesitase, no s� si porque no lo usaban o ya ven�a. Por qu� lo van a quitar en la 7 ? no tiene sentido Loco

Puedes abrir una terminal en tu m�vil y encontrarlo con la orden find?
Puede ser que est� integrado el soporte en el kernel y no tenga por qu� aparecer el tun.ko?

ZoNeR@ Registrado: Nov 18, 2011 Mensajes: 45

He aumentado el verbose del log, y he obtenido esto: http://pastebin.com/hNG0du8U
He visto que no encuentra los comandos route ni ifconfig, he instalado de nuevo y creados unos enlaces simb�licos para que no tenga problemas.

Ahora parece que no da errores, y pone 192.168.2.114 connected as 10.10.0.8 (vamos anzando) y la transmisi�n de datos ya aparece mucho m�s. Risa

Publicado: Martes 29 Noviembre 2011, 9:13

Sobre el primer post, no casca, simplemente no pasa por el t�nel.

Sobre lo segundo, tiene mejor pinta, aseg�rate de que sales con la IP del server.

Mira, esto es lo que yo hice al Nexus S:

http://www.redeszone.net/2011/...ngerbread/

Si quieres que te mire algo en el m�vil, dime lo que quieres saber (comandos archivos...) y te lo hago Sonrisa

ZoNeR@ Registrado: Nov 18, 2011 Mensajes: 45

Buenas Bron!!

Ya estoy en el trabajo probando y funciona!!
Efectivamente, ayer lo dej� ya todo bien con los enlaces y las rutas. Y es que no ve�a el fallo porque no acababa de tener ip pero no ve�a ni un fallo, todo sal�a correcto.

Gracias a aumentar el nivel del verbose en el cliente, pude ver qu� pasaba exactamente.

Hoy probando, salgo a internet con la ip de casa. La web de mi ip eso dice Muy Contento

Muchas gracias por el ofrecimiento Bron, seguiremos investigando otros temas del router este. A ver qu� toca ahora Risa

Publicado: Martes 29 Noviembre 2011, 21:27

Cliente torrent... servidor HTTP... Muy Contento

ZoNeR@ Registrado: Nov 18, 2011 Mensajes: 45

Tengo que pensar, ya que eso de momento no me interesa (tengo detr�s un Synology que se caga la perra) que me hace todo eso, y gracias a este router ahora puedo usarlo, con el anterior me congelaba todo, al usar los servicios desde afuera.

Hab�a pensado ponerle un usb de 1gb, y meterle un eggdrop o algo para el irc para que loguee siempre o deje mi nick colgado, de momento no se me ocurre nada m�s, porque el maldito kai creo que me olvido. Risa

Publicado: Jueves 19 Julio 2012, 16:14

refloto esto ya que en redeszone no estoy registrado XD

El serves es un pc con win7 64bits

yo tampoco salgo con la IP de casa ni desde el movil (ZTE Blade con cyanogen 7 2.3.7) ni desde el portatil con un pincho 3g

Configuracion de mi Server conf

C�digo:

local 192.168.1.129
port 1194
;proto tcp
proto udp
;dev tap
dev tun
;dev-node MyTap
ca ca.crt
cert servidor.crt
key servidor.key # This file should be kept secret
dh dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
;server-bridge
;push "route 192.168.10.0 255.255.255.0"
;push "route 192.168.20.0 255.255.255.0"
;client-config-dir ccd
;route 192.168.40.128 255.255.255.248
;client-config-dir ccd
;route 10.9.0.0 255.255.255.252
;learn-address ./script
;push "redirect-gateway def1 bypass-dhcp"
;push "dhcp-option DNS 208.67.222.222"
;push "dhcp-option DNS 208.67.220.220"
;client-to-client
;duplicate-cn
keepalive 10 120
tls-auth ta.key 0 # This file is secret
;cipher BF-CBC # Blowfish (default)
cipher AES-256-CBC # AES
;cipher DES-EDE3-CBC # Triple-DES
comp-lzo
;max-clients 100
;user nobody
;group nogroup
persist-key
persist-tun
status openvpn-status.log
;log openvpn.log
;log-append openvpn.log
verb 3
;mute 20

Publicado: Jueves 19 Julio 2012, 22:07

La inicializaci�n del servidor es correcta?

Tienes que poner lo de PUSH "Route para que te cree el TUN y salir con la dire de casa.

En redeszone no hace falta registrarse, creo que incluso puse un ejemplo de configuraci�n del servidor a un usuario.

Publicado: Jueves 19 Julio 2012, 22:08

Bron escribi�:

La inicializaci�n del servidor es correcta?

Tienes que poner lo de PUSH "Route para que te cree el TUN y salir con la dire de casa.

En redeszone no hace falta registrarse, creo que incluso puse un ejemplo de configuraci�n del servidor a un usuario.

en principio no veo ningun error:

C�digo:

Thu Jul 19 23:07:55 2012 OpenVPN 2.2.2 Win32-MSVC++ [SSL] [LZO2] [PKCS11] built on Dec 15 2011
Thu Jul 19 23:07:55 2012 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x. Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
Thu Jul 19 23:07:55 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Thu Jul 19 23:07:56 2012 Diffie-Hellman initialized with 2048 bit key
Thu Jul 19 23:07:56 2012 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Thu Jul 19 23:07:56 2012 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jul 19 23:07:56 2012 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jul 19 23:07:56 2012 TLS-Auth MTU parms [ L:1558 D:166 EF:66 EB:0 ET:0 EL:0 ]
Thu Jul 19 23:07:56 2012 Socket Buffers: R=[8192->8192] S=[8192->8192]
Thu Jul 19 23:07:56 2012 ROUTE default_gateway=192.168.1.1
Thu Jul 19 23:07:56 2012 TAP-WIN32 device [Conexi�n de �rea local 2] opened: \\.\Global\{A0B972E8-2799-4034-8FB0-ED7707FDE047}.tap
Thu Jul 19 23:07:56 2012 TAP-Win32 Driver Version 9.9
Thu Jul 19 23:07:56 2012 TAP-Win32 MTU=1500
Thu Jul 19 23:07:56 2012 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.1/255.255.255.252 on interface {A0B972E8-2799-4034-8FB0-ED7707FDE047} [DHCP-serv: 10.8.0.2, lease-time: 31536000]
Thu Jul 19 23:07:56 2012 Sleeping for 10 seconds...
Thu Jul 19 23:08:06 2012 Successful ARP Flush on interface [39] {A0B972E8-2799-4034-8FB0-ED7707FDE047}
Thu Jul 19 23:08:06 2012 C:\WINDOWS\system32\route.exe ADD 10.8.0.0 MASK 255.255.255.0 10.8.0.2
Thu Jul 19 23:08:06 2012 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Thu Jul 19 23:08:06 2012 Route addition via IPAPI succeeded [adaptive]
Thu Jul 19 23:08:06 2012 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
Thu Jul 19 23:08:06 2012 UDPv4 link local (bound): 192.168.1.129:1194
Thu Jul 19 23:08:06 2012 UDPv4 link remote: [undef]
Thu Jul 19 23:08:06 2012 MULTI: multi_init called, r=256 v=256
Thu Jul 19 23:08:06 2012 IFCONFIG POOL: base=10.8.0.4 size=62
Thu Jul 19 23:08:06 2012 IFCONFIG POOL LIST
Thu Jul 19 23:08:06 2012 clienteandroid,10.8.0.4
Thu Jul 19 23:08:06 2012 cliente1,10.8.0.8
Thu Jul 19 23:08:06 2012 Initialization Sequence Completed
Thu Jul 19 23:08:06 2012 IPv6 in tun mode is not supported in OpenVPN 2.2

ZoNeR@ Registrado: May 01, 2006 Mensajes: 18

Hola,
He seguido los pasos de este manual para configurar el openvpn de mi tomato, as� como segu� antes los de la web oficial (http://tomatousb.org/tut:openvpn), pero ambos con el mismo resultado, que es que al darle a "Start Now", se queda pensando, y luego recarga otra vez la p�gina como estaba antes "Start Now" y no "Stop Now", en status se puede ver que indica que no ha arrancado "Server is not running or status could not be read".
Si entro por ssh al router, puedo ver como en /etc/openvpn/server1 est�n los ficheros con las clavesm, por lo que al menos, al darle a save se han guardado (primero le doy a guardar los datos y despu�s intentar arrancar el openvpn).
Tengo Tomato v1.28, en un Linksys E3000.
He seguido todos los pasos del manual del foro, y algo debe estar mal, pero no s� qu�...
�Hay alguna manera al menos de ver un log del arranque de openvpn? (si es que se puede arrancar de consola).
Gracias

Publicado: Viernes 07 Septiembre 2012, 19:52

En el propio log de tomato aparece este log de la vpn.

ZoNeR@ Registrado: May 01, 2006 Mensajes: 18

Cierto, no he ca�do, y eso que en mi viejo WRT54G s� que lo ve�a... (estaba ofuscado)
Si le doy a "Start Now" no parece que haga nada, porque no a�ade ninguna l�nea en el log, en cambio, como tengo en el crontab programado un reboot a las 4am, al reiniciar los servicios s� que ha volcado este mensaje de error:

Cita:

Sep 8 04:01:23 RT-C0C1C017F8EB daemon.notice openvpn[644]: OpenVPN 2.1.1 mipsel-unknown-linux-gnu [SSL] [LZO2] [EPOLL] built on Nov 30 2010
Sep 8 04:01:23 RT-C0C1C017F8EB daemon.warn openvpn[644]: NOTE: when bridging your LAN adapter with the TAP adapter, note that the new bridge adapter will often take on its own IP address that is different from what the LAN adapter was previously set to
Sep 8 04:01:23 RT-C0C1C017F8EB daemon.warn openvpn[644]: NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x. Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
Sep 8 04:01:23 RT-C0C1C017F8EB daemon.warn openvpn[644]: NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sep 8 04:01:23 RT-C0C1C017F8EB daemon.err openvpn[644]: Cannot load DH parameters from dh.pem: error:0906D066:lib(9):func(109):reason(102)
Sep 8 04:01:23 RT-C0C1C017F8EB daemon.notice openvpn[644]: Exiting

El contenido del fichero dh2048.pem est� copiado correctamente, sin espacios a�adidos, ni nada similar, por lo que no s� porqu� no puede cargar esos par�metros del dh.pem

No entiendo qu� he cambiado, porque he vuelto a copiar otra vez los certificados, a guardar, y luego a arrancar, y esta vez s� que ha funcionado.

Los certificados est�n IGUAL que antes (empezando con su "etiqueta", sigue el certificado sin espacios - s�lo \n-, y acabando con su "cierre de etiqueta").

Ahora es esto lo que me muestra el log:

Cita:

Sep 8 09:42:17 RT-C0C1C017F8EB user.info kernel: tun: Universal TUN/TAP device driver, 1.6
Sep 8 09:42:17 RT-C0C1C017F8EB user.info kernel: tun: (C) 1999-2004 Max Krasnyansky <maxk@qualcomm.com>
Sep 8 09:42:17 RT-C0C1C017F8EB daemon.notice openvpn[3304]: OpenVPN 2.1.1 mipsel-unknown-linux-gnu [SSL] [LZO2] [EPOLL] built on Nov 30 2010
Sep 8 09:42:17 RT-C0C1C017F8EB daemon.warn openvpn[3304]: NOTE: when bridging your LAN adapter with the TAP adapter, note that the new bridge adapter will often take on its own IP address that is different from what the LAN adapter was previously set to
Sep 8 09:42:17 RT-C0C1C017F8EB daemon.warn openvpn[3304]: NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x. Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
Sep 8 09:42:17 RT-C0C1C017F8EB daemon.warn openvpn[3304]: NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sep 8 09:42:17 RT-C0C1C017F8EB user.info kernel: device tap21 entered promiscuous mode
Sep 8 09:42:17 RT-C0C1C017F8EB user.info kernel: br0: port 4(tap21) entering forwarding state
Sep 8 09:42:18 RT-C0C1C017F8EB daemon.notice openvpn[3304]: Diffie-Hellman initialized with 2048 bit key
Sep 8 09:42:18 RT-C0C1C017F8EB daemon.notice openvpn[3304]: Control Channel Authentication: using 'static.key' as a OpenVPN static key file
Sep 8 09:42:18 RT-C0C1C017F8EB daemon.notice openvpn[3304]: Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sep 8 09:42:18 RT-C0C1C017F8EB daemon.notice openvpn[3304]: Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sep 8 09:42:18 RT-C0C1C017F8EB daemon.notice openvpn[3304]: TLS-Auth MTU parms [ L:1590 D:166 EF:66 EB:0 ET:0 EL:0 ]
Sep 8 09:42:18 RT-C0C1C017F8EB daemon.notice openvpn[3304]: TUN/TAP device tap21 opened
Sep 8 09:42:18 RT-C0C1C017F8EB daemon.notice openvpn[3304]: TUN/TAP TX queue length set to 100
Sep 8 09:42:18 RT-C0C1C017F8EB daemon.notice openvpn[3304]: Data Channel MTU parms [ L:1590 D:1450 EF:58 EB:135 ET:32 EL:0 AF:3/1 ]
Sep 8 09:42:18 RT-C0C1C017F8EB daemon.notice openvpn[3313]: Socket Buffers: R=[112640->131072] S=[112640->131072]
Sep 8 09:42:18 RT-C0C1C017F8EB daemon.notice openvpn[3313]: UDPv4 link local (bound): [undef]:1194
Sep 8 09:42:18 RT-C0C1C017F8EB daemon.notice openvpn[3313]: UDPv4 link remote: [undef]
Sep 8 09:42:18 RT-C0C1C017F8EB daemon.notice openvpn[3313]: MULTI: multi_init called, r=256 v=256
Sep 8 09:42:18 RT-C0C1C017F8EB daemon.notice openvpn[3313]: Initialization Sequence Completed

A�n no lo he probado, pero deber�a de funcionar ya, en teor�a...

Gracias por recordarme que por la administraci�n web pod�a ver los logs... Preocupado

Publicado: S�bado 08 Septiembre 2012, 11:34

- Sep 8 09:42:18 RT-C0C1C017F8EB daemon.notice openvpn[3313]: Initialization Sequence Completed

Ya te funcionar�.

Te recomiendo poner la LAN del estilo 10.10.1.1 y en la VPN de clase por defecto Muy Contento

ZoNeR@ Registrado: May 01, 2006 Mensajes: 18

Bron escribi�:

- Sep 8 09:42:18 RT-C0C1C017F8EB daemon.notice openvpn[3313]: Initialization Sequence Completed

Ya te funcionar�.

Te recomiendo poner la LAN del estilo 10.10.1.1 y en la VPN de clase por defecto Muy Contento

Ya, pero el problema es que ya hay muchos equipos de esa red con esa ip, as� que el cambio de todos los enrutamientos y configuraciones ser�a costoso, pero es algo a tener en cuenta...