Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Requerimientos en firewall para conexión de OpenVPN client??

    Español
    4
    14
    2.7k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • B
      bgsistemas
      last edited by

      Hola,

      Tenemos un Server OpenVPN funcionando en Pfsense 2.3.4, todas las conexiones de nuestros clientes están funcionando, sin importar la red desde donde se conectan, excepto la de un cliente en particular el cual está ubicado en una red con altas medidas de seguridad en su red perimetral. Hemos solicitado la comunicación por el puerto UDP 1194 y  TCP 443, hemos validado que los puertos están abiertos, sin embargo, no es posible la conexión. Necesitamos solicitar algo más para establecer está comunicación. ¿que requerimientos debe tener su red para poder permitir la conexión del cliente por OpenVPN?

      1 Reply Last reply Reply Quote 0
      • J
        j.sejo1
        last edited by

        Me paso un caso particular, pero era el siguiente:

        Dentro de mi Red Protegida por Pfsense, existía un equipo (pc usuario) que tenia que conectar via VPN (cliente cisco) a otra red.  Y solvente con el siguiente link:

        https://doc.pfsense.org/index.php/Cisco_VPN_pass_through_not_working_when_behind_pfSense

        Cual es el firewall perimetral que protege a la única PC que no se conecta?

        Saludos.

        Pfsense - Bacula - NagiosZabbix - Zimbra - AlienVault
        Hardening Linux
        Telegram: @vtlbackupbacula
        http://www.smartitbc.com/en/contact.html

        1 Reply Last reply Reply Quote 0
        • B
          bgsistemas
          last edited by

          Gracias por tu respuesta, no tenemos información de los equipos que utilizan en esa red, ese es un problema para lograr esta conexión, básicamente nos entregan un formato que es una solicitud de permisos de red para que ellos evalúen e implementen en sus equipos.
          Lo que solicité fue que nos abrieran los puertos UDP 1194 y TCP 443 (nuestro pfsense tiene habilitador dos servidores OpenVPN uno en UDP 1194 y otro en TCP 443) y esta solicitud está creada con un NAT entre las IP´s publicas de esta empresa y la IP pública del pfsense.
          El pfsense registra los intentos de conexión, pero no establece el enlace, por el tipo de mensajes, es que tengo la duda de que nos hace falta solicitar algo mas para lograr esta comunicación, mi duda es , ¿Que requerimientos de red debe cumplir su firewall para poder establecer esta comunicación?

          Sep 8 21:09:51 openvpn 17729 "IP publica Firewall del cliente":61611 Connection reset, restarting [-1]
          Sep 8 21:09:50 openvpn 17729 TCP connection established with [AF_INET]"IP publica Firewall del cliente":61611
          Sep 8 21:09:46 openvpn 45313 MANAGEMENT: Client disconnected
          Sep 8 21:09:46 openvpn 45313 MANAGEMENT: CMD 'quit'
          Sep 8 21:09:46 openvpn 45313 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]"IP publica Firewall del cliente":63870
          Sep 8 21:09:46 openvpn 45313 MANAGEMENT: CMD 'status 2'
          Sep 8 21:09:46 openvpn 45313 MANAGEMENT: Client connected from /var/etc/openvpn/server2.sock
          Sep 8 21:09:45 openvpn 17729 "IP publica Firewall del cliente":61610 Connection reset, restarting [-1]
          Sep 8 21:09:44 openvpn 17729 TCP connection established with [AF_INET]"IP publica Firewall del cliente":61610
          Sep 8 21:09:39 openvpn 17729 "IP publica Firewall del cliente":61609 Connection reset, restarting [-1]
          Sep 8 21:09:38 openvpn 17729 TCP connection established with [AF_INET]"IP publica Firewall del cliente":61609
          Sep 8 21:09:33 openvpn 17729 "IP publica Firewall del cliente":61607 Connection reset, restarting [-1]
          Sep 8 21:09:32 openvpn 17729 TCP connection established with [AF_INET]"IP publica Firewall del cliente":61607
          Sep 8 21:09:30 openvpn 45313 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]"IP publica Firewall del cliente":63870
          Sep 8 21:09:22 openvpn 45313 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]"IP publica Firewall del cliente":63870
          Sep 8 21:09:18 openvpn 45313 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]"IP publica Firewall del cliente":63870
          Sep 8 21:09:15 openvpn 45313 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]"IP publica Firewall del cliente":63870
          Sep 8 21:08:44 openvpn 45313 MANAGEMENT: Client disconnected
          Sep 8 21:08:44 openvpn 45313 MANAGEMENT: CMD 'quit'
          Sep 8 21:08:44 openvpn 45313 MANAGEMENT: CMD 'status 2'
          Sep 8 21:08:43 openvpn 45313 MANAGEMENT: Client connected from /var/etc/openvpn/server2.sock
          Sep 8 21:08:38 openvpn 45313 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]"IP publica Firewall del cliente":63800
          Sep 8 21:08:29 openvpn 45313 "IP publica Firewall del cliente":50393 SIGUSR1[soft,tls-error] received, client-instance restarting
          Sep 8 21:08:29 openvpn 45313 "IP publica Firewall del cliente":50393 TLS Error: TLS handshake failed
          Sep 8 21:08:29 openvpn 45313 "IP publica Firewall del cliente":50393 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
          Sep 8 21:08:22 openvpn 45313 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]"IP publica Firewall del cliente":63800
          Sep 8 21:08:14 openvpn 45313 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]"IP publica Firewall del cliente":63800
          Sep 8 21:08:10 openvpn 45313 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]"IP publica Firewall del cliente":63800
          Sep 8 21:08:08 openvpn 45313 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]"IP publica Firewall del cliente":63800

          pid=0 DATA len=0

          pid=0 DATA len=0

          Sep 8 21:07:41 openvpn 45313 MANAGEMENT: Client disconnected
          Sep 8 21:07:41 openvpn 45313 MANAGEMENT: CMD 'quit'
          Sep 8 21:07:41 openvpn 45313 MANAGEMENT: CMD 'status 2'
          Sep 8 21:07:41 openvpn 45313 MANAGEMENT: Client connected from /var/etc/openvpn/server2.sock
          pid=0 DATA len=0

          pid=0 DATA len=0

          Sep 8 21:07:31 openvpn 45313 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]"IP publica Firewall del cliente":63734
          Sep 8 21:07:29 openvpn 45313 "IP publica Firewall del cliente":50393 UDPv4 WRITE [54] to [AF_INET]"IP publica Firewall del cliente":50393: P_CONTROL_HARD_RESET_SERVER_V2 kid=0 pid=[ #1 ] [ 0 ] pid=0 DATA len=0
          Sep 8 21:07:29 openvpn 45313 "IP publica Firewall del cliente":50393 TLS: Initial packet from [AF_INET]"IP publica Firewall del cliente":50393, sid=947ab209 09867562
          pid=0 DATA len=0

          Sep 8 21:07:29 openvpn 45313 "IP publica Firewall del cliente":50393 Expected Remote Options hash (VER=V4): '9e7066d2'
          Sep 8 21:07:29 openvpn 45313 "IP publica Firewall del cliente":50393 Local Options hash (VER=V4): '162b04de'
          Sep 8 21:07:29 openvpn 45313 "IP publica Firewall del cliente":50393 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 1,cipher AES-256-CBC,auth SHA1,keysize 256,tls-auth,key-method 2,tls-client'
          Sep 8 21:07:29 openvpn 45313 "IP publica Firewall del cliente":50393 Local Options String: 'V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 0,cipher AES-256-CBC,auth SHA1,keysize 256,tls-auth,key-method 2,tls-server'
          Sep 8 21:07:29 openvpn 45313 "IP publica Firewall del cliente":50393 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:143 ET:0 EL:3 AF:3/1 ]
          Sep 8 21:07:29 openvpn 45313 "IP publica Firewall del cliente":50393 Control Channel MTU parms [ L:1558 D:1184 EF:66 EB:0 ET:0 EL:3 ]
          Sep 8 21:07:29 openvpn 45313 "IP publica Firewall del cliente":50393 LZO compression initialized
          Sep 8 21:07:29 openvpn 45313 "IP publica Firewall del cliente":50393 Re-using SSL/TLS context
          Sep 8 21:07:29 openvpn 45313 MULTI: multi_create_instance called
          Sep 8 21:07:26 openvpn 45313 "IP publica Firewall del cliente":52363 SIGUSR1[soft,tls-error] received, client-instance restarting
          Sep 8 21:07:26 openvpn 45313 "IP publica Firewall del cliente":52363 TLS Error: TLS handshake failed
          Sep 8 21:07:26 openvpn 45313 "IP publica Firewall del cliente":52363 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
          Sep 8 21:07:15 openvpn 45313 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]"IP publica Firewall del cliente":63734
          Sep 8 21:07:07 openvpn 45313 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]"IP publica Firewall del cliente":63734
          Sep 8 21:07:03 openvpn 45313 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]"IP publica Firewall del cliente":63734
          Sep 8 21:07:01 openvpn 45313 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]"IP publica Firewall del cliente":63734
          pid=0 DATA len=0

          pid=0 DATA len=0

          Sep 8 21:06:39 openvpn 45313 MANAGEMENT: Client disconnected
          Sep 8 21:06:39 openvpn 45313 MANAGEMENT: CMD 'quit'
          Sep 8 21:06:39 openvpn 45313 MANAGEMENT: CMD 'status 2'
          Sep 8 21:06:38 openvpn 45313 MANAGEMENT: Client connected from /var/etc/openvpn/server2.sock
          pid=0 DATA len=0

          pid=0 DATA len=0

          Sep 8 21:06:26 openvpn 45313 "IP publica Firewall del cliente":52363 UDPv4 WRITE [54] to [AF_INET]"IP publica Firewall del cliente":52363: P_CONTROL_HARD_RESET_SERVER_V2 kid=0 pid=[ #1 ] [ 0 ] pid=0 DATA len=0
          Sep 8 21:06:26 openvpn 45313 "IP publica Firewall del cliente":52363 TLS: Initial packet from [AF_INET]"IP publica Firewall del cliente":52363, sid=3861d0d1 e2d70e3e
          pid=0 DATA len=0

          Sep 8 21:06:26 openvpn 45313 "IP publica Firewall del cliente":52363 Expected Remote Options hash (VER=V4): '9e7066d2'
          Sep 8 21:06:26 openvpn 45313 "IP publica Firewall del cliente":52363 Local Options hash (VER=V4): '162b04de'
          Sep 8 21:06:26 openvpn 45313 "IP publica Firewall del cliente":52363 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 1,cipher AES-256-CBC,auth SHA1,keysize 256,tls-auth,key-method 2,tls-client'
          Sep 8 21:06:26 openvpn 45313 "IP publica Firewall del cliente":52363 Local Options String: 'V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 0,cipher AES-256-CBC,auth SHA1,keysize 256,tls-auth,key-method 2,tls-server'
          Sep 8 21:06:26 openvpn 45313 "IP publica Firewall del cliente":52363 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:143 ET:0 EL:3 AF:3/1 ]
          Manage OpenVPN Log

          1 Reply Last reply Reply Quote 0
          • E
            elbocha01
            last edited by

            En el cliente, desista la todo lo que corresponda a la vpn, en caso linux instala como root y proba hacer que corra con SU, en win instala como administrador, y ejecuta como administrador. Proba con eso, me suena a que viene por ahí.
            los clientes no necesitan abrir puertos, son clientes no servidores, los clientes necesitan que le liberen el trafico, si se lo han bloqueado.
            la vpn si esta por defecto usa el puerto 1194, y aleatorios para transferencias, usa algún puerto pasivo del 50xxx o por ahí hasta el 63xxx.

            Troncales de Fibra Óptica? O.o en que me estoy metiendo?
            La Felicidad es como el aroma de un buen vino, solo dura en el presente que este esta en la copa!

            1 Reply Last reply Reply Quote 0
            • B
              bgsistemas
              last edited by

              Gracias por tu respuesta, haré las pruebas que mencionas,  me llama la atencion lo que comentas sobre el uso de "puertos aleatorios para transferencias" y tu recomendación de uso de "puertos pasivos". Como comentaba la red donde está el cliente tiene varias medidas de seguridad y existe mucho tráfico que es bloqueado,  es posible que estos errores se deban a que sólo solicitamos abrir el tráfico por el puerto IDO 1194? Si esto fuera correcto, que otro rango de puertos debo pedir que abran para mi cliente pueda conectarse? Son puertos uso o son cto?

              1 Reply Last reply Reply Quote 0
              • E
                elbocha01
                last edited by

                si, TLS Error: cannot locate HMAC in incoming packet from [AF_INET]"IP publica Firewall del cliente":63734 ese error indica lo siguiente.
                https://translate.google.com.ar/translate?hl=es-419&sl=en&u=https://www.digitalocean.com/community/questions/help-with-the-following-error-tls-error-cannot-locate-hmac-in-incoming-packet-from-af_inet&prev=search
                https://translate.googleusercontent.com/translate_c?depth=1&hl=es&prev=search&rurl=translate.google.com.ar&sl=en&sp=nmt4&u=https://serverfault.com/questions/194769/unable-to-logon-to-vpn&usg=ALkJrhiY4Ws4ooDQf6sFDKMhrNd4P7P9gQ
                un problema de la configuración en el server supuesta mente. descarto que sea eso ya que decis que otros clientes funcionan correctamente. o es configuración de cliente o los puertos aleatorios, están con trafico restringido, en el caso del error 63734. por lo menos eso se me viene en mente.

                Troncales de Fibra Óptica? O.o en que me estoy metiendo?
                La Felicidad es como el aroma de un buen vino, solo dura en el presente que este esta en la copa!

                1 Reply Last reply Reply Quote 0
                • B
                  bgsistemas
                  last edited by

                  desde mi punto de vista descarto al server, ya los clientes se pueden conectar usando el puerto UDP 1194 desde cualquier otra red, solo en esta red particular no es posible hacer la conexión ¿es posible hacer alguna configuracion especial al cliente para evitar estas restricciones? o ¿es necesario configurar algo en el server para sobrepasar este problema?

                  Como mencionas, esto puede ser debido al tráfico restringido en los "puertos aleatorios", ¿es posible saber que rango de puertos es necesario abrir para lograr esta comunicación? ¿son puertos UDP o TCP los que debo solicitar?

                  1 Reply Last reply Reply Quote 0
                  • E
                    elbocha01
                    last edited by

                    Dentro de un rato me siento a leer lo que tengo y te informo, no lo recuerdo.
                    De igual manera revisa el cliente, hay una linea que puede hacer generar ese error. Te mando una foto de una configuración mía.
                    revisa que lo mencionan en los link que te pase, los comentarios.

                    ![Captura de pantalla de 2017-09-12 16:37:43.jpg](/public/imported_attachments/1/Captura de pantalla de 2017-09-12 16:37:43.jpg)
                    ![Captura de pantalla de 2017-09-12 16:37:43.jpg_thumb](/public/imported_attachments/1/Captura de pantalla de 2017-09-12 16:37:43.jpg_thumb)

                    Troncales de Fibra Óptica? O.o en que me estoy metiendo?
                    La Felicidad es como el aroma de un buen vino, solo dura en el presente que este esta en la copa!

                    1 Reply Last reply Reply Quote 0
                    • BrujoNicB
                      BrujoNic
                      last edited by

                      Estoy totalmente de acuerdo que en un cliente, no es para nada necesario tener puertos abierto, ya que NO es el servidor. Los puertos que estas mencionando, son los que necesita OpenVNP para escuchar y un cliente no es el servidor.

                      Algo así me pasó con un cliente y era por el programa cliente que estaba usando que se debía ejecutar como administrador. ¿Que programa ciente está usando ese PC? Si es OpenVPN, asegurate que sea la última versión y que el archivo de configuración, esté bien generado. Es más probá el archivo de configuración antes de enviárselo para ver si funciona.

                      Nunca respondo enojado, soy directo por lo que no se debe malinterpretar.
                      Estoy dispuesto a ayudar cuando puedo.

                      1 Reply Last reply Reply Quote 0
                      • J
                        j.sejo1
                        last edited by

                        Sabemos que el lío esta del lado del cliente (detrás de X firewall) y no de tu pfsense.

                        Tu con abrir (en el pfsense) que reciba conexiones udp por el 1194 es mas que suficiente, adicional tienes la referencia de que otros clientes excepto uno solo se pueden.

                        Por ahora solo se me ocurre:

                        1. problemas con el retorno de la conexión (algun IPS o sistema de protección que corte la conexión).

                        2. No están ejecutando como admnistrador el OpenVpn-client.

                        3. Firewall de windows, antivirus u otro programa que bloquee la conexión.

                        Por cierto, el cliente es Windows, Linux o Mac?

                        Saludos.

                        Pfsense - Bacula - NagiosZabbix - Zimbra - AlienVault
                        Hardening Linux
                        Telegram: @vtlbackupbacula
                        http://www.smartitbc.com/en/contact.html

                        1 Reply Last reply Reply Quote 0
                        • B
                          bgsistemas
                          last edited by

                          El día de hoy realizamos varias pruebas

                          • El equipo del cliente es Windows, se probó reinstalando la aplicación
                          • Se ejecuto la aplicación como admnistrador
                          • Se verificó en el cliente que ninguna aplicación del cliente, firewall o antivirus, este bloqueando la conexión
                          • Se llevó otra PC Windows y se ejecutó el cliente que se usa en ese equipo normalmente en otras redes
                          • Se tienen dos servidores OpenVPN funcionando, uno en UDP 1194  y otro en TCP 443, se probó un cliente en cada servidor
                          • Como última prueba se utilizó el cliente instalado en un smartphone Android, donde de manera regular se hacen conexiones

                          En todos los casos anteriores no es posible establecer la conexión.

                          Por las pruebas anteriores y tomando como referencia los equipos,  PC adicional y Android, que normalmente se conectan por OpenVPN en otras redes sin ningún problema y solo estando dentro de esta red detras de este "X Firewall" no logran establecer esta conexión, es que podemos decir que el problema está asociado por sus "sistemas de protección" implementados en esa red.

                          Llegando a este punto es que sigo sin encontrar referencias que me indiquen que debo solicitar al departamento de seguridad para lograr estas conexiones, como mencionas me parece que el problema está asociado a los "puertos de control" en los retornos de conexión que son cerrados y por tanto generan errores del tipo "TLS Error", existe algún rango de puertos o protocolos de control que pudiera ser necesarios habilitar en el firewall de esta red??  o como preguntaba…...Que debo solicitar a los administradores de esta red para que permitan el tráfico y poder establecer esta conexión.

                          Pensando en alternativas que pueda yo manejar del lado del pfsense, podría evitar estos "cortes de conexión" utilizando un "Server Mode" distinto al que usamos actualmente (SSL/TLS + User Auth), podría ser una opción usar opciones como "User Auth" o "SSL/TLs"??

                          1 Reply Last reply Reply Quote 0
                          • BrujoNicB
                            BrujoNic
                            last edited by

                            Si investigas, te vas a dar cuenta que no se abren puertos del lado del cliente ya que NO es el servidor.

                            En la documentación de OpenVPN (Troubleshooting OpenVPN Connectivity Issues), podrías encontrar una solución y una cosa interesante que dice ahí, es que debes tener cuidado que la red donde está ese cliente, NO tenga ni trabaje en el mismo rango de IPs que distribuye el servido OpenVPN.

                            Si no es eso, lee todo lo demás a ver si encuentras donde está el error.  Hay dispositivos de hardware que se pueden bloquear aplicaciones y puede que también eso esté interfiriendo.

                            FAQ Community Software

                            Nunca respondo enojado, soy directo por lo que no se debe malinterpretar.
                            Estoy dispuesto a ayudar cuando puedo.

                            1 Reply Last reply Reply Quote 0
                            • E
                              elbocha01
                              last edited by

                              Bueno la prueba de fuego la podes realizar con una notebook, instala en cualquier lado el cliente que tiene que usar esa maquina. Probar que funcione, si funciona y podes ir a la oficina donde tiene que funcionar ese cliente y que la gente de sistema te permirta el trafico en la note, probar que tengas conexión. Tal ves de esa manera te conecte. Si es así, ya descartas un problema de la otra pc, firewal de win, antivirus o la creación del socket que usa el cliente openvpn.

                              Y si, yo por ej en el caso de una empresa lo tengo como remote access ssl/tls, cuando realice las configuraciones note un mejor rendimiento de parte de la vpn, no se si por que el equipo es chico o que pero funciona de 10.

                              Troncales de Fibra Óptica? O.o en que me estoy metiendo?
                              La Felicidad es como el aroma de un buen vino, solo dura en el presente que este esta en la copa!

                              1 Reply Last reply Reply Quote 0
                              • B
                                bgsistemas
                                last edited by

                                SOLUCIONADO!!!!!!!!!!!

                                Gracias a todos por sus comentarios, finalmente y después de programar pruebas con la gente de seguridad, encontraron el origen del problema, este estaba asociado a reglas de filtrado de contenido, con poner una excepción en este filtrado para "OpenVPN" la conexión se  pudo establecer.

                                Como comentaban del lado del cliente  no había mucho que hacer o revisar, la regla en el firewall donde está ubicado el cliente estaba bien aplicada permitiendo la salida por el puerto UDP 1194, por eso en el pFsense alcanzaba a registrar los intentos de conexión del cliente y por el bloqueo de filtrado es que se generaban los errores del TLS y finalmente no se terminaba de lograr la conexión.

                                1 Reply Last reply Reply Quote 0
                                • First post
                                  Last post