[Solucionado] OpenVPN entre pfSenses no establece conexión



  • Buenas a todos

    Estoy interesado en crear una conexión VPN entre 2 o más pfsenses. Estoy siguiendo el siguiente tutorial sacado de la documentación
    http://pheriko.blogspot.com/2011/07/pfsense-20.html

    Realicé todos los pasos, incluido el de generar la llave con el comando

    openvpn --genkey --secret shared.key 
    ```(extraído de los comentarios)
    
    Del lado del servidor no veo al cliente conectado (status->OpenVPN)
    
    versión pfSense servidor: 2.2.2
    versión pfSense cliente: 2.1
    
    Del lado del cliente veo que el host está caído (status-> OpenVPN) y además agrego el error que sale en las logs
    
    

    Jun 23 11:01:01 openvpn[27319]: [UNDEF] Inactivity timeout (--ping-restart), restarting
    Jun 23 11:01:01 openvpn[27319]: SIGUSR1[soft,ping-restart] received, process restarting
    Jun 23 11:01:03 openvpn[27319]: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
    Jun 23 11:01:03 openvpn[27319]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
    Jun 23 11:01:03 openvpn[27319]: UDPv4 link local (bound): [AF_INET]192.168.1.130
    Jun 23 11:01:03 openvpn[27319]: UDPv4 link remote: [AF_INET]x.x.x.x:1194

    
    adjunto dos capturas de pantalla. Si alguien me puede ayudar, bienvenido
    
    Si necesitan más información, pídanla.
    
    gracias
    
    ![ladocliente.png_thumb](/public/_imported_attachments_/1/ladocliente.png_thumb)
    ![ladocliente.png](/public/_imported_attachments_/1/ladocliente.png)
    ![Captura de pantalla de 2015-06-23 11:23:47.png_thumb](/public/_imported_attachments_/1/Captura de pantalla de 2015-06-23 11:23:47.png_thumb)
    ![Captura de pantalla de 2015-06-23 11:23:47.png](/public/_imported_attachments_/1/Captura de pantalla de 2015-06-23 11:23:47.png)


  • No se requiere ejecutar ningun comando en consola, todo se hace atraves del GUI, tus pantallas no dicen nada de informacion.
    Mejor si tienes acceso a la consola muestra la config tanto del server como del cliente.
    Y habla de la red que deseas unir, version del pfsense desde la v2 ese manual funciona.
    Y si abriste el puerto en tu wan?
    Saludos.



  • @periko:

    No se requiere ejecutar ningun comando en consola, todo se hace atraves del GUI, tus pantallas no dicen nada de informacion.
    Mejor si tienes acceso a la consola muestra la config tanto del server como del cliente.
    Y habla de la red que deseas unir, version del pfsense desde la v2 ese manual funciona.
    Y si abriste el puerto en tu wan?
    Saludos.

    Gracias por la respuesta Periko

    No sé en qué parte del gui saco el dato "Openvpn Static Key VI"  :-[

    Relación de los nombres según el tuto de la documentación:

    ca.crt ===> todos deben ternerlo ==> Secreto (No) [b]{OpenVPN.CA }
        ca.key ===> todos deben ternerlo ===> Secreto (Si) {OpenVPN.CA }
        server.crt ===> Solo el server debe tenerlo ===> Secreto (No) {OpenVPN-Certificate}
        server.key ===> Solo el server debe tenerlo ===> Secreto (Yes) {OpenVPN-Certificate}

    cliente1.crt ==> Debe tenerlos tanto el cliente1 como el server ===> Secreto(No). {sia}
        cliente1.key ===> Debe tenerlos tanto el cliente1 como el server ===> Secreto (Si) {sia}

    adjunto reglas de firewall para WAN y OPT1 (ovpn)

    Adjunto reglas de server

    Adjunto reglas de cliente

    ![puertos de WAN.png](/public/imported_attachments/1/puertos de WAN.png)
    ![puertos de WAN.png_thumb](/public/imported_attachments/1/puertos de WAN.png_thumb)
    ![puertos opt1.png](/public/imported_attachments/1/puertos opt1.png)
    ![puertos opt1.png_thumb](/public/imported_attachments/1/puertos opt1.png_thumb)









  • Veo ciertas cosas que no me laten:

    Tienes 2 redes:

    ed-a servidor 10.0.0.0/24
    red-b cliente 192.168.1.0/24
    tu tunel estas usando 10.0.99.0/24

    Yo no mezclaria eso, el tunel y la red, si puedes cambia tu red a el rango 192.168.X.Y/Z, de lo contrario cambia el tunel a una red que no uses 172.16.X.Y/Z.

    La shared key la esta copiando del server a el cliente correcto?

    Tu estas poniendo el servicio a trabajar en la interfaz wan, nada que ver opt1, lan, tu firewall solo debe permitir que la wan escuche peticiones en el puerto 1194, lo demas sale sobrando.

    No veo la config de tu cliente 'client specific overrides'? es donde le indicamos que red tiene cada cn asi amarras los certificados a los clientes, checa el manual bien.

    Todos los certificados generalos con el GUI no en consola.

    Ya que hagas cambios muestra el config si puedes desde la consola a veces el gui como openvpn es engorroso estar sacando imagenes.

    Saludos.



  • Efectivamente estoy copiando la shared del server al cliente

    cambié el tunel a 172.16.0.0/24

    adjunto imágenes del client specific overrides






  • Recuerda terminar la linea con ';' abajo dice en los comentarios.



  • Gracias por todo Periko, creo que mejor hago un fresh install y rehago el tutorial paso a paso ya que este equipo está muy toqueteado =S

    Ya no encuentro el error…

    Estaba mal hecho el nateo en el firewall local (server) y una vez solucionado (apuntando el nateo a la ip de WAN) el log comenzó a tirar el siguiente error

    Jun 23 15:43:43 openvpn[33707]: Authenticate/Decrypt packet error: packet HMAC authentication failed
    Jun 23 15:43:43 openvpn[33707]: TLS Error: incoming packet authentication failed from [AF_INET]x.x.x.x:49366



  • solucionado agregando en advanced el comando

    auth none;

    tanto en server como en cliente

    No sé si es lo mejor o no pero ahora funciona. La idea es crear una vpn entre los equipos servidores e implementar un Nagios para monitoreo de infraestructura

    Gracias Periko por la mano inmensa que me diste.

    Un abrazo


Log in to reply