[Solucionado] OpenVPN entre pfSenses no establece conexión

rocaembole

Buenas a todos

Estoy interesado en crear una conexión VPN entre 2 o más pfsenses. Estoy siguiendo el siguiente tutorial sacado de la documentación
http://pheriko.blogspot.com/2011/07/pfsense-20.html

Realicé todos los pasos, incluido el de generar la llave con el comando

openvpn --genkey --secret shared.key 
```(extraído de los comentarios)

Del lado del servidor no veo al cliente conectado (status->OpenVPN)

versión pfSense servidor: 2.2.2
versión pfSense cliente: 2.1

Del lado del cliente veo que el host está caído (status-> OpenVPN) y además agrego el error que sale en las logs

Jun 23 11:01:01 openvpn[27319]: [UNDEF] Inactivity timeout (--ping-restart), restarting
Jun 23 11:01:01 openvpn[27319]: SIGUSR1[soft,ping-restart] received, process restarting
Jun 23 11:01:03 openvpn[27319]: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Jun 23 11:01:03 openvpn[27319]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Jun 23 11:01:03 openvpn[27319]: UDPv4 link local (bound): [AF_INET]192.168.1.130
Jun 23 11:01:03 openvpn[27319]: UDPv4 link remote: [AF_INET]x.x.x.x:1194


adjunto dos capturas de pantalla. Si alguien me puede ayudar, bienvenido

Si necesitan más información, pídanla.

gracias

![ladocliente.png_thumb](/public/_imported_attachments_/1/ladocliente.png_thumb)
![ladocliente.png](/public/_imported_attachments_/1/ladocliente.png)
![Captura de pantalla de 2015-06-23 11:23:47.png_thumb](/public/_imported_attachments_/1/Captura de pantalla de 2015-06-23 11:23:47.png_thumb)
![Captura de pantalla de 2015-06-23 11:23:47.png](/public/_imported_attachments_/1/Captura de pantalla de 2015-06-23 11:23:47.png)

periko

No se requiere ejecutar ningun comando en consola, todo se hace atraves del GUI, tus pantallas no dicen nada de informacion.
Mejor si tienes acceso a la consola muestra la config tanto del server como del cliente.
Y habla de la red que deseas unir, version del pfsense desde la v2 ese manual funciona.
Y si abriste el puerto en tu wan?
Saludos.

rocaembole

@periko:

No se requiere ejecutar ningun comando en consola, todo se hace atraves del GUI, tus pantallas no dicen nada de informacion.
Mejor si tienes acceso a la consola muestra la config tanto del server como del cliente.
Y habla de la red que deseas unir, version del pfsense desde la v2 ese manual funciona.
Y si abriste el puerto en tu wan?
Saludos.

Gracias por la respuesta Periko

No sé en qué parte del gui saco el dato "Openvpn Static Key VI" :-[

Relación de los nombres según el tuto de la documentación:

ca.crt ===> todos deben ternerlo ==> Secreto (No) [b]{OpenVPN.CA }
ca.key ===> todos deben ternerlo ===> Secreto (Si) {OpenVPN.CA }
server.crt ===> Solo el server debe tenerlo ===> Secreto (No) {OpenVPN-Certificate}
server.key ===> Solo el server debe tenerlo ===> Secreto (Yes) {OpenVPN-Certificate}

cliente1.crt ==> Debe tenerlos tanto el cliente1 como el server ===> Secreto(No). {sia}
cliente1.key ===> Debe tenerlos tanto el cliente1 como el server ===> Secreto (Si) {sia}

adjunto reglas de firewall para WAN y OPT1 (ovpn)

Adjunto reglas de server

Adjunto reglas de cliente

![puertos de WAN.png](/public/imported_attachments/1/puertos de WAN.png)
![puertos de WAN.png_thumb](/public/imported_attachments/1/puertos de WAN.png_thumb)
![puertos opt1.png](/public/imported_attachments/1/puertos opt1.png)
![puertos opt1.png_thumb](/public/imported_attachments/1/puertos opt1.png_thumb)

server1.png_thumb

server2.png_thumb
clienteB.png_thumb

clienteA.png_thumb

periko

Veo ciertas cosas que no me laten:

Tienes 2 redes:

ed-a servidor 10.0.0.0/24
red-b cliente 192.168.1.0/24
tu tunel estas usando 10.0.99.0/24

Yo no mezclaria eso, el tunel y la red, si puedes cambia tu red a el rango 192.168.X.Y/Z, de lo contrario cambia el tunel a una red que no uses 172.16.X.Y/Z.

La shared key la esta copiando del server a el cliente correcto?

Tu estas poniendo el servicio a trabajar en la interfaz wan, nada que ver opt1, lan, tu firewall solo debe permitir que la wan escuche peticiones en el puerto 1194, lo demas sale sobrando.

No veo la config de tu cliente 'client specific overrides'? es donde le indicamos que red tiene cada cn asi amarras los certificados a los clientes, checa el manual bien.

Todos los certificados generalos con el GUI no en consola.

Ya que hagas cambios muestra el config si puedes desde la consola a veces el gui como openvpn es engorroso estar sacando imagenes.

Saludos.

rocaembole

Efectivamente estoy copiando la shared del server al cliente

cambié el tunel a 172.16.0.0/24

adjunto imágenes del client specific overrides

Overrides1.png_thumb

overrides2.png_thumb

periko

Recuerda terminar la linea con ';' abajo dice en los comentarios.

rocaembole

Gracias por todo Periko, creo que mejor hago un fresh install y rehago el tutorial paso a paso ya que este equipo está muy toqueteado =S

Ya no encuentro el error…

Estaba mal hecho el nateo en el firewall local (server) y una vez solucionado (apuntando el nateo a la ip de WAN) el log comenzó a tirar el siguiente error

Jun 23 15:43:43 openvpn[33707]: Authenticate/Decrypt packet error: packet HMAC authentication failed
Jun 23 15:43:43 openvpn[33707]: TLS Error: incoming packet authentication failed from [AF_INET]x.x.x.x:49366

rocaembole

solucionado agregando en advanced el comando

auth none;

tanto en server como en cliente

No sé si es lo mejor o no pero ahora funciona. La idea es crear una vpn entre los equipos servidores e implementar un Nagios para monitoreo de infraestructura

Gracias Periko por la mano inmensa que me diste.

Un abrazo