Open vpn no conecta



  • buenas noches con pfsense quieron hacer un vpn y poder conectarme via internet desde casa
    he seguido el tutorial de este link http://www.3ops.com/implementacion-de-vpn-cliente-servidor-con-openvpn-y-pfsense/
    tengo 2 interfaces wan y una lan
    una de las wan estatica y la otra dinamica
    me he registrado en no-ip para la dinamica
    he abierto los puertos en el router

    pero no puedo hacer que el cliente openvpn se conecte desde afuera
    si conecto el vpn dentro de la lan funciona sin problemas.

    que puede estar sucediendo ?
    alguna mano por ahi?

    para descartar tambien he verificado las fechas y hora, el certificado no esta expirado.

    espero sus prontas respuestas.

    este es mi config cliente.

    
    dev tun
    persist-tun
    persist-key
    cipher AES-256-CBC
    auth SHA1
    tls-client
    client
    resolv-retry infinite
    remote IP_PUBLICA 1194 udp
    lport 0
    verify-x509-name "OpenVPN-Certificate" name
    auth-user-pass
    pkcs12 TICA2-udp-1194-vpnrecado.p12
    tls-auth TICA2-udp-1194-vpnrecado-tls.key 1
    ns-cert-type server
    comp-lzo adaptive
    
    


  • Ninguna Idea ?, por cierto he leido los post y en uno decia que se tenia que abrir el puerto UDP en la wan, tambien he hecho eso en ambas wan, pero no consigo resultados.



  • si la ip que recibe el pfsense en la wan no es publica, entonces hay que hacer port forwarding o DMZ segun te aplique



  • ya he fordwardeado el puerto y tampoco funciona :(



  • Llegan los paquetes al pfsense ?



  • me sale el siguiente error:
    UDPv4 link remote: [AF_INET]IP PUBLICA:1194
    Wed Jun 24 14:47:28 2015 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
    Wed Jun 24 14:47:28 2015 TLS Error: TLS handshake failed
    Wed Jun 24 14:47:28 2015 SIGUSR1[soft,tls-error] received, process restarting
    Wed Jun 24 14:47:30 2015 UDPv4 link local (bound): [undef]



  • Me parece que no estan llegando los paquetes al pfsense. Checa tambien tus fechas y horas



  • Algo que veo mucho es que no entienden lo que estan haciendo, solo abren reglas a ver si pega.

    No necesitas abrir el puerto a las N wans que tienes.

    Cuando configuras el openvpn ahi mismo le dices que interfaz va a asignar para responder peticiones.

    No existe la suerte aqui, saludos.



  • Me parece periko que nadie esta hablando de suerte aqui.

    En relacion a que si tienen o no que abrir los puertos en las WANs hay que ser especifico en que casos hay que hacerlo y en cuales no. Hay ambientes en donde se requieren abrir los puertos en las WANs por que hay soluciones con Failover en los servicios.

    Es correcto tambien que la gente a veces no sabe que hacen y piensan qe solo por que la interface web es bonita y clara deberia de funcionar con solo seguir un link.

    saludos



  • Buenos dias, tengo el pfsense puesto en multiwan, pero openvpn esta configurado solo para usarse con la primera wan, tengo abierto los puertos en la lan, tambien en la wan y en la tab del openvpn, tambien he abierto los puertos en el router.

    ayer por la noche borre la configuracion y la volvi a crear y pude tener conexion desde el exterior, hoy en la mañana ha dejado de funcionar de nuevo con el mismo error

    TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
    TLS Error: TLS handshake failed
    SIGUSR1[soft,tls-error] received, process restarting



  • Aló

    Te recomiendo seguir el tutorial de Periko y aplicar ajustes extras a tus necesidades.

    Aquí el link: http://pheriko.blogspot.com.ar/2011/07/pfsense-20.html

    Saludos



  • todo lo tengo correcto en el vpn, he nateado los puertos también, me parece extraño

    nmap a la ip del firewall

    Host is up (0.00023s latency).
    Not shown: 995 filtered ports
    PORT    STATE SERVICE
    22/tcp  open  ssh
    53/tcp  open  domain
    80/tcp  open  http
    443/tcp  open  https
    3128/tcp open  squid-http



  • si hago un test al puerto 80 desde el propio pfsense me sale

    Connection to 10.0.0.1 80 port [tcp/http] succeeded!

    si hago un test al 1194 me sale
    Connection failed (Refused/Timeout)

    las reglas y nat estan bien definidas, es como si el firewall no estuviera abriendo los puertos que les he agregado.



  • Puedes postear las pantallas de las configuraciones de las reglas y el sevicio de Openvpn ?



  • envío adjunto las imágenes












  • Sí debes autorizar la entrada de OpenVPN en WAN pero no tienes que hacer NAT Port Forward.

    OpenVPN es un servicio que levantas en tu WAN, no en tu LAN. Por tanto no tienes que reenviar el tráfico a tu LAN.



  • Seguramente te falta la regla sobre WAN para permitir OpenVPN. Protocol UDP, source any, destination WAN address, destinarion port 1194.

    Y como dijo bellera, no hay que hacer NAT en el pfSense

    Si el pfSense toma una IP privada que le asigna el modem de tu proveedor, entonces si hay que redireccionar el puerto 1194 desde el modem/tournée de tu proveedor hacia la IP de la WAN del pfSense



  • Buenos dias eso he hecho, pero lo curioso es que cada vez que borro la config de openvpn y creo otra vez funciona, ha estado funcionando 3 dias y ahora otra vez ha dejado de funcionar  con el mismo problema

    Thu Jul 02 08:39:15 2015 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
    Thu Jul 02 08:39:15 2015 TLS Error: TLS handshake failed
    Thu Jul 02 08:39:15 2015 SIGUSR1[soft,tls-error] received, process restarting
    Thu Jul 02 08:39:17 2015 UDPv4 link local (bound): [undef]
    Thu Jul 02 08:39:17 2015 UDPv4 link remote: [AF_INET]IP:1194

    no he hecho ninguna modificación

    Tengo proxy transparente





  • Hola,

    Puedes hacer un print de la pantalla que tienes el la configuracion del Server del openVPN?

    Saludos



  • Hola Te envió la captura de la configuración, me sigue saliendo error, el link ya lo he leido, el firewall de windows lo tengo desactivado, la conexión esta bien.








  • Ip fija o dinamica en la WAN ?