VPN (openvpn) só conecta por dentro do PFS (Resolvido)

FeC

Boa tarde, senhores, estou com uma openvpn que internamente eu mandar ele conectar com o ip externo ok, funciona sem problemas, mas ao tentar conexão de outro local (externo) vem a mensagem

"TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) - TLS Error: TLS handshake failed"

já refiz ela inteira, removi os certificados, criei novamente, as regras no firewall, horário do servidor, mudei a porta 1194 para 1195, removi a autenticação SSL/TLS deixei só auth, e mesmo assim, internamente conecta 100%, exteno não.. alguém já pegou um caso assim ou tem uma ideia do que pode ser?

Obrigado

FeC

Galera, ninguém ai com esse problema?

rodrigoinfocasper.com.br

Olá,

Estou iniciando uso openvpn, eu nao seria a melhor pessoa em ajudar, mais vamos lá tentar.

Você diz:
internamente eu mandar ele conectar com o ip externo ok, funciona sem problemas, mas ao tentar conexão de outro local (externo) vem a mensagem

Da mais detalhes, internamente com ip externo > funciona - não entendi essa parte.

Rodrigo

FeC

Rodrigo, boa tarde meu caro, se realizar a conexão internamente ele conecta com o mesmo arquivo de configuração que estou usando externamente em outro local, exemplo: o arquivo esta configurado para ser usado remoto (remote 137.XXX.XXX.XXX 1194), ao acessar de dentro da rede tenho lá range 192.168.0.X, qualquer máquina conectado nele se conecta e pede usuário e senha da VPN ok, no caso externo, ele pede usuário e senha, mas fica um bom tempo até dar a mensagem que postei anteriormente, como se não achasse a rota de retorno ou algo do tipo.

Valeu

Abs

marcelloc

Já tentou monitorar via tcpdump se o trafego via wan chega ao servidor?

FeC

Marcelloc, boa tarde, corrigindo a informação que passei  então fiz o que falou e ele da a seguinte info " IP (origem da máquina tentando conectar).dsl.telesp.net.br.55357 > 10.1.0.100.openvpn: UDP, length 54
12:21:49.316179 IP 10.1.0.100.openvpn > 10.1.0.1.13568: UDP, length 37
12:21:59.382400 IP 10.1.0.100.openvpn > 10.1.0.1.13568: UDP, length 37
12:22:09.233437 IP 10.1.0.100.openvpn > 10.1.0.1.13568: UDP, length 37
12:22:19.333923 IP 10.1.0.100.openvpn > 10.1.0.1.13568: UDP, length 37

ai aparece a mensagem no micro que esta tentando conectar TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Thu May 10 12:22:15 2018 TLS Error: TLS handshake failed.

e ele recomeça a as mesmas mensagens no tcpdump…

Obrigado

FeC

Não sei se ele esta bloqueando em algum lugar ou não esta conseguindo retornar para o micro de origem…

alguma ideia ?

Obrigado

marcelloc

Criou a regra de acesso na WAN? A comunicação da com porta cliente 55357 não teve nenhum retorno do servidor openvpn de acordo com seu tcpdump.

FeC

Esta  criada sim, esta como IPv4+6 UDP * * WAN address 1194 (OpenVPN) * none

mesmo assim ele da erro.

marcelloc

Aquelas opções de bloquear redes rfc e bongos na wan tá desmarcado também, certo? seu ip wan é privado ou mascarou no post?

FeC

Marcelloc, isso as opções estão desmarcadas e meu ip wan marcarei no post.

pskinfra

Bom dia, caro FLEC.

Precisar de ajuda remoto, posso ajudar meu amigo.

Entre em contato!

Att.

FeC

Senhores estou recebendo a seguinte mensagem do tcpdump IP (tos 0x0, ttl 127, id 9975, offset 0, flags [none], proto GRE (47), length 1437, bad cksum 0 (->544a)!)
    10.1.0.100 > "meuipdeorigem".dsl.telesp.net.br: GREv1, Flags [key present, sequence# present], call 56041, seq 11905139, length 1417
        compressed PPP data

e no wireshark trás

messagetype: P_Control_hard_reset_client_v2[malformed Packet]

alguma ideia?

Obrigado

marcelrc

Como está sua configuração em VPN > OpenVPN > Servers > General Information > Interface ?

Aqui estava tendo um problema parecido e só resolveu quando coloquei em any

FeC

Fala Marcelrc, estava como wan, tentei mudar mesmo assim não foi, e pelo tcpdump só pego o envio para o servidor não o retorno.

12:27:03.955008 "endereço mac remoto" > "endereço mac do serv" , ethertype IPv4 (0x0800), length 96: (tos 0x0, ttl 123, id 8269, offset 0, flags [none], proto UDP (17), length 82)
    "IP remoto".52611 > "IP do servidor".1194: [udp sum ok] UDP, length 54

FeC

Senhores, obrigado pela ajuda, descobri que era o pfblocker, que estava barrando ele. demorou para cair a ficha.

Obrigado a todos!