Problema openvpn Servidor Elastix-Cliente Ubuntu

Discussion in 'Elastix 2.x' started by gile, Mar 19, 2010.

  1. gile

    Joined:
    Feb 10, 2010
    Messages:
    56
    Likes Received:
    0
    Saludos a todos!

    Les escribo porque actualmente estoy probando una conexion OPENVPN con un servidor Elastix con un cliente Ubuntu, en la cual al tratar de conectar desde el cliente ubuntu me aparece el mensaje de error"fallo la conexion se ha expirado el tiempo de conexion". en el cliente Ubuntu la manera en la que instale openvpn fue por medio del comando apt-get install, y la configuracion del cliente la realice por medio de la importacion del archivo .ovpn al asistente de configuracion para conexiones vpn que posee Ubuntu.

    Como detalle importante puedo decir que la version de ubuntu con la cual me encuentro trabajando es la 9.10..

    Me gustaria saber si alguno de ustedes companneros ya ha probado esta conexion con OPENVPN entre CENTos y ubuntu 9.10, y si han tenido exito.

    Debo decir que ya probe el manual que monto el compannero SECURITY para clientes windows y fue todo un exito.. (altamente recomendado de mi parte):) .



    Saludos Cordiales.
     
  2. EicheS

    Joined:
    Nov 13, 2009
    Messages:
    305
    Likes Received:
    0
    Saludos gile.

    al parecer el problema es que no esta llegando el peer por lo que te puedo recomendar que verifiques estos LINK 1 y LINK 2 a ver si te falto algun paso
     
  3. gile

    Joined:
    Feb 10, 2010
    Messages:
    56
    Likes Received:
    0
    EicheS que tal amigo antes que todo muchas gracias por contestar!

    Sin embargo quiero aprovechar que estas por aca para preguntarte algo( ya que con ubuntu estoy algo nuevo y el apt-get no me inspira mucha confianza aun). Al momento de instalar el OPENVPN en el cliente mediante apt-get install me deberia aparecer de una vez en /etc/openvpn/ el archivo openvpn.conf? o lo deberia crear yo?...

    Gracias y disculpa si la pregunta puede resultar algo tonta! :S
     
  4. jcastellanos

    Joined:
    Feb 10, 2009
    Messages:
    2,404
    Likes Received:
    0
    bueno, hasta donde se lo crea la paqueteris, no se hace a mano, pero si no lo tiene puedes ponerlo ahi
     
  5. EicheS

    Joined:
    Nov 13, 2009
    Messages:
    305
    Likes Received:
    0
    el apt-get install es como si estuvieras ejecutando un .exe en windows claro esta este es via comando ubuntu desktop tambien tiene Synaptic que es una interfaz gráfica para apt.

    ok el archivo al que haces referencias debes crearlo te anexo este LINK que dice como realizarlo.

    Espero haberte ayudado.
     
  6. gile

    Joined:
    Feb 10, 2010
    Messages:
    56
    Likes Received:
    0
    Buenas y saludos Companneros, disculpen la ausencia pero habia tenido que resolver unos pendientes, les cuento lo que he realizado hasta ahora...

    Siguiendo los consejos del amigo EicheS he podido configurar algo en el cliente..

    El archivo de configuracionn del cliente lo tuve que crear yo en la carpeta /etc/openvpn, esto en orden de poder levantar la vpn en el cliente.

    Al momento de levantar la vpn desde el cliente me aparece esta secuencia:


    estas ultimas lineas de la secuencia

    Tue Mar 23 15:57:16 2010 TUN/TAP device tun0 opened
    Tue Mar 23 15:57:16 2010 /sbin/ifconfig tun0 10.20.30.6 pointopoint 10.20.30.5 mtu 1500
    Tue Mar 23 15:57:16 2010 GID set to adm
    Tue Mar 23 15:57:16 2010 UID set to nobody
    Tue Mar 23 15:57:16 2010 Initialization Sequence Complet.


    Segun ese mensaje se habria levantado la VPN sin problemas. Pero al momento de realizar ping entre mi servidor y mi maquina no tenia respuesta. Examinando un poco mas me di cuenta de los siguientes detalles correspondientes a las interfaces tun0 del servidor como del cliente:



    ifconfig para cliente

    tun0 Link encap:UNSPEC direcciónHW 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
    Direc. inet:10.20.30.10 P-t-P:10.20.30.9 Másc:255.255.255.255
    ACTIVO PUNTO A PUNTO FUNCIONANDO NOARP MULTICAST MTU:1500 Métrica:1
    Paquetes RX:0 errores:0 perdidos:0 overruns:0 frame:0
    Paquetes TX:572 errores:0 perdidos:0 overruns:0 carrier:0
    colisiones:0 long.colaTX:100
    Bytes RX:0 (0.0 B) TX bytes:374846 (374.8 KB)


    ifconfig para el servidor
    tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
    inet addr:10.20.30.1 P-t-P:10.20.30.2 Mask:255.255.255.255
    UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
    RX packets:0 errors:0 dropped:0 overruns:0 frame:0
    TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:100
    RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)


    Es decir, las direcciones P-t-p no estan ajustadas de tal manera que cada elemento se pueda ver dentro de la vpn.

    Es correcto eso? o de verdad voy pero mal mal...

    Si este es el problema que sugerencia me podrian dar en orden de tratar de corregirlo :)

    Agradeciendo de antemano su colaboracion

    Saludos Cordiales
     
  7. ramoncio

    Joined:
    May 12, 2010
    Messages:
    1,663
    Likes Received:
    0
    Hola gile, bienvenido al foro!

    Estúdiate este fabuloso tutorial:

    http://www.ecualug.org/2007/02/06/comos ... on_openvpn


    También había un screencast del forero Security por aqui, pero no lo encuentro... lo hacía con el módulo para OpenVPN de webmin, por si prefieres un interfaz web que tocar confs a mano.
     
  8. gile

    Joined:
    Feb 10, 2010
    Messages:
    56
    Likes Received:
    0
    Gracias ramoncio, te aseguro que tan rapido pueda lo pruebo y les dejo saber que tal!.

    En cuanto a lo de Security con OPENVPN estuvo genial su solucion con windows(la probe y como lo dije antes la recomiendo 100% :) ). En verdad estaba tratando de hacer lo mismo, es decir, exportando el archivo del webmin para ubuntu pero tuve este problema.

    Saludos Cordiales
     
  9. gile

    Joined:
    Feb 10, 2010
    Messages:
    56
    Likes Received:
    0
    Que tal amigos!

    De verdad que no pude esperar a probar la info que proporciono el companero Ramoncio y por aca les dejo la como actualmente se ve mi ifconfig:


    En el Servidor:
    tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
    inet addr:10.8.0.1 P-t-P:10.8.0.2 Mask:255.255.255.255
    UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
    RX packets:21 errors:0 dropped:0 overruns:0 frame:0
    TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:100
    RX bytes:2183 (2.1 KiB) TX bytes:672 (672.0 b)



    EN el Cliente:
    tun0 Link encap:UNSPEC direcciónHW 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
    Direc. inet:10.8.0.2 P-t-P:10.8.0.1 Másc:255.255.255.255
    ACTIVO PUNTO A PUNTO FUNCIONANDO NOARP MULTICAST MTU:1500 Métrica:1
    Paquetes RX:8 errores:0 perdidos:0 overruns:0 frame:0
    Paquetes TX:21 errores:0 perdidos:0 overruns:0 carrier:0
    colisiones:0 long.colaTX:100
    Bytes RX:672 (672.0 B) TX bytes:2183 (2.1 KB)

    Esta info me da la impresion de que por lo menos las dos maquinas estan levantando la vpn. Sin embargo al tratar de hacer ping desde la maquina cliente a la direccion de red local del servidor no tengo ninguna respuesta. Debo destacar que el servidor CENTos esta detras de un router, con una direccion Ip publica la cual es reenviada a el habilitando los puertos necesarios.

    De verdad les agradesco la ayuda a todos, y si estoy cayendo en algun error conceptual en lo que digo, no duden en hacermelo saber!

    Saludos Cordiales.
     
  10. zeoneo

    Joined:
    Sep 24, 2009
    Messages:
    549
    Likes Received:
    0
    aveces parece tonto, pero siempre lo digo por si las moscas.... uno nunca sabe...

    Abriste los puertos???

    Para pruebas podrias probar dejando las maquinas en DMZ de tu router... solo para probar, y si es eso, tomas nota de los puesrtos que se usan y luego los abres en tu router.

    Nos vemos
     
  11. gile

    Joined:
    Feb 10, 2010
    Messages:
    56
    Likes Received:
    0
    Buenas companneros y saludos a todos!.

    Les comento que hasta ahora no he tenido exito al momento de hacer ping a las direcciones LAN de cada segmento.

    Les hago un resumen de lo que hecho a modo de que puedan ver mejor y saber si me estoy saltando algo.

    1-Ambas maquinas a modo de prueba las configure para que quedaran en los respectivos DMZ de cada router.
    2-En la maquina cliente y en la maquina server me aseguro que las iptables no me esten bloqueando ningun tipo de trafico de entrada ni de salida(LO HAGO A MODO DE PRUEBA).

    Cuando establezco la conexion levantando la vpn en ambos lados estos son los resultados por pantalla que me muestran:


    En el Server:
    Thu Mar 25 13:38:47 2010 us=711877 Data Channel MTU parms [ L:1545 D:1450 EF:45 EB:135 ET:0 EL:0 AF:3/1 ]
    Thu Mar 25 13:38:47 2010 us=711990 Local Options String: 'V4,dev-type tun,link-mtu 1545,tun-mtu 1500,proto UDPv4,ifconfig 10.8.0.2 10.8.0.1,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,secret'
    Thu Mar 25 13:38:47 2010 us=712051 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1545,tun-mtu 1500,proto UDPv4,ifconfig 10.8.0.1 10.8.0.2,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,secret'
    Thu Mar 25 13:38:47 2010 us=712133 Local Options hash (VER=V4): '4b91e501'
    Thu Mar 25 13:38:47 2010 us=712191 Expected Remote Options hash (VER=V4): '48593abd'
    Thu Mar 25 13:38:47 2010 us=712614 GID set to nobody
    Thu Mar 25 13:38:47 2010 us=712698 UID set to nobody
    Thu Mar 25 13:38:47 2010 us=712758 Socket Buffers: R=[110592->131072] S=[110592->131072]
    Thu Mar 25 13:38:47 2010 us=712812 UDPv4 link local (bound): [undef]:1194
    Thu Mar 25 13:38:47 2010 us=712859 UDPv4 link remote: [undef]
    Thu Mar 25 13:38:51 2010 us=723004 Peer Connection Initiated (ip del router del cliente)
    Thu Mar 25 13:38:52 2010 us=935289 Initialization Sequence Completed


    En el Cliente:
    Thu Mar 25 15:08:51 2010 us=667357 Local Options hash (VER=V4): '48593abd'
    Thu Mar 25 15:08:51 2010 us=667388 Expected Remote Options hash (VER=V4): '4b91e501'
    Thu Mar 25 15:08:51 2010 us=667432 Socket Buffers: R=[114688->131072] S=[114688->131072]
    Thu Mar 25 15:08:51 2010 us=667460 UDPv4 link local (bound): [undef]:1194
    Thu Mar 25 15:08:51 2010 us=667484 UDPv4 link remote (ip del server):64
    Thu Mar 25 15:08:57 2010 us=337562 Peer Connection Initiated (ip del server):1194
    Thu Mar 25 15:08:58 2010 us=422400 Initialization Sequence Completed

    Otra cosa que hice fue verificar que el tunel del server se encontrara activo por medio de la funcion 'tcpdump -i eth0 udp port 1194', y en efecto obtuve esta respuesta:

    13:59:30.617117 IP 11.22.33.123.openvpn > S01060018c0624e5c.vc.shawcable.net.openvpn: UDP, length 60
    13:59:31.837681 IP S01060018c0624e5c.vc.shawcable.net.openvpn > 11.22.33.123.openvpn: UDP, length 60

    En donde shawcable.net es la compania proveedora de internet del cliente.


    Debo comentarles que he notado dos detalles que me generan algo de duda con respecto lo que pudiera estar mal, si embargo me gustaria saber su opinion. Estos detalles son:

    1-Thu Mar 25 15:08:51 2010 us=667357 Local Options hash (VER=V4): '48593abd'
    Thu Mar 25 15:08:51 2010 us=667388 Expected Remote Options hash (VER=V4): '4b91e501'

    Estos codigos no deberian ser iguales? '48593abd' y '4b91e501'

    2-En el link remote del server ma aparece como undef, a diferencia del cliente que me muestra la ip del servidor


    De verdad les pido disculpas por lo largo del mensaje jajajajajaa, pero me parecia importante dar la mayor informacion posible de lo que he hecho en orden de que tengan una mayor idea de mi problema



    Saludos Cordiales
     
  12. gile

    Joined:
    Feb 10, 2010
    Messages:
    56
    Likes Received:
    0
    Una ultima pregunta, que ahora creo es posible que tenga un error conceptual el cual me gustaria q me aclararan.

    Suponiedo que la vpn esta correctamente levantada y partiendo que el el cliente se encuentra en el segmento de red 192.168.15.x, deberia este poder hacer ping a cualquier host del segmento de la red 11.22.33.X el cual le pertenece al servidor? o solo se pueden hacer ping entre ellos a traves de las 10.8.0.0.

    De nuevo pido excusas si mis preguntas pueden resultar tontas a alguien, pero me parece claro tener ciertos conceptos claros antes de seguir una formula para lograr algo :) !!.

    Saludos Cordiales
     
  13. EicheS

    Joined:
    Nov 13, 2009
    Messages:
    305
    Likes Received:
    0
    Saludos gile.

    si el segemento lan de tu cliente es 192.168.15.x y cuando se establece la vpn deberias tener otro segmento y cual tu definiste, adicional a esto deberias tenes enrrutados el segmento otorgado para que tenga acceso a todo.

    podrias intentar verificar la table de enrrutamiento de tu cliente cuando la vpn este activa y verificar si el segemento ip al que quieres llegar esta disponible.

    el comado para hacerlo es route -n desde el terminal
     
  14. gile

    Joined:
    Feb 10, 2010
    Messages:
    56
    Likes Received:
    0
    Hola a todos!

    Ya el problema finalmente se resolvio y pude hacer ping a las respectivas LANs. Tal como lo dijo el compannero Eiches el problema era que segun la tabla de enrutamiento no estaba llegando a la red destino.

    La solucion fue agregar estas redes en los archivos de configuracion respectivos de tal formas que los gateways configurados permitieran llegar a ellas!!.

    Gracias a todos por sus consejos y colaboraciones!

    Saludos cordiales.
     
  15. EicheS

    Joined:
    Nov 13, 2009
    Messages:
    305
    Likes Received:
    0
    Saludos gile.

    Me alegras que ya se haya Solucionado tu situacion.
     
  16. zeoneo

    Joined:
    Sep 24, 2009
    Messages:
    549
    Likes Received:
    0
    Estimado Gile:

    Que bueno que hayas podido solucionar tu problema, ahora seria muy bueno que pudieras crear un pequeño manual donde poder explicar cada paso del proceso que tu realizaste para asi poder tener algun documento a la hora de que alguie pregunte por los mismo.

    Nos vemos
     
  17. gile

    Joined:
    Feb 10, 2010
    Messages:
    56
    Likes Received:
    0
    Buenas que tal a todos nuevamente, y disculpa la demora zeoneo!

    Por aqui les voy a explicar que pasos segui para realizar la conexion entre el servidor CENTos y el cliente ubuntu

    1) Instale el openvpn en el servidor de la misma manera que lo explico el compannero SECURITY hace un tiempo atras, en la conexion para el cliente windows:

    http://www.elastix.org/index.php?option ... mitstart=0

    2) procedi a instalar y configurar el cliente en ubuntu siguiendo los pasos de el siguiente link proporcionado por el compannero Eiches:

    http://diegosamuel.blogspot.com/2007/12 ... envpn.html

    3)Dado a que en mi configuracion tanto el cliente como el server se encontraban detras de routers es necesario verificar mediante el comando router -n que se esta llegando al segmento de red que se desea. De ser negativa la llegada a estos segmentos de red se hace necesarios agregarlos de manera manual en los diferentes archivos de conf mediante la instruccion route --red a la que se desea llegar---/ mascara de la red.


    Si alguien tiene alguna duda no tengo problema en responder.


    Saludos cordiales.
     
  18. EicheS

    Joined:
    Nov 13, 2009
    Messages:
    305
    Likes Received:
    0
    Saludos gile.

    gracias por explicar los pasos seguidos espero que esto le funcione a futuras generaciones. :p
     
  19. gile

    Joined:
    Feb 10, 2010
    Messages:
    56
    Likes Received:
    0
    jajajaaj de nada Eiches espero que sea util tambien!.

    Por cierto usted es Venezolano? que bueno encontrar paisanos por aca!
     
  20. zeoneo

    Joined:
    Sep 24, 2009
    Messages:
    549
    Likes Received:
    0
    gracias por este aporte gile, y te insisto...

    si pudieras generar un PDF con toda la info seria ideal para poder ver la posibilidad de hablar con jorge o ramoncio y subirlo al sitio.

    Nos vemos
     

Share This Page