[Vídeo] OpenVPN Final by LenoBare (Contrib.: Nosire)

Videos on BrazilFW and Networks

[Vídeo] OpenVPN Final by LenoBare (Contrib.: Nosire)

Mensagempor Lenobare » Dom Set 10, 2017 10:06 pm

Duvidas, sugestões e críticas aqui. ( não precisa elogiar :mrgreen: )
Muto Obrigado Brazilfw :o!

Contribuição com informações para confecção para este Tutorial: Nosire :o! :aplause:

reginaldo escreveu:Tutorial OpenVPN no BrazilFW 3.x (PHP) - Setembro de 2017

Versão BrazilFW: a partir da versão 3.0262 do BFW 3.x em PHP.

Autor deste Tutorial: LenoBare

Contribuição: Nosire

Download das configurações » https://www.brazilfw.com.br/tutorials/brazilfw3.x/openvpn/configs_openvpn_set2017_by_Lenobare.rar

Tópico deste Vídeo » https://www.brazilfw.com.br/forum/viewtopic.php?f=91&t=93813#p344090

O Projeto BrazilFW Agradece muito ao Lenobare pelo dedicação ao Projeto e ao Nosire pela ajuda prestada com informações para confecção deste excelente tutorial realizado pelo Lenobare.


Vídeo Tutorial: https://www.youtube.com/watch?v=hFGx8CE95yc

.
Estude, estude e... continue estudando.
Avatar do usuário
Lenobare
BFW Full Associate
BFW Team
BFW Moderator
Support to HaarpCache
Support to Squid 3.5.x
 
Mensagens: 1513
Registrado em: Qua Ago 28, 2013 9:45 pm
Localização: Brasília
BrazilFW box: Core I7 3.4GHZ 8GB Ram ASUS, HD Sata3 p/ bfw, HD SCSI 300GB 15.000 rpm p/ Cache , 2.03.Donor.BFW, Haro, Whatchdog. HaapCache Squid 3.5.25, Lognet e Samba.

Re: Tutorial OpenVPN Final

Mensagempor woshman » Dom Set 10, 2017 11:41 pm

Parabéns pelo tutorial :aplause: :aplause: :aplause: :aplause: :aplause:
Contribua com o Projeto, Doe Click aqui
Contribua com o Woshman, Doe Click aqui (pagseguro) ou Click aqui (paypal)
-----------------------------------------------------------------
Suporte via mensagem privada/msn somente pagando.
Avatar do usuário
woshman
Maintainer Version 3.x
BFW Developer
BFW Administrator
BFW Team
 
Mensagens: 1475
Registrado em: Ter Abr 04, 2006 3:25 pm
Localização: Indaiatuba - SP

Re: Tutorial OpenVPN Final

Mensagempor reginaldo » Seg Set 11, 2017 12:19 pm

woshman escreveu:Parabéns pelo tutorial :aplause: :aplause: :aplause: :aplause: :aplause:


+1
Contribua com o Projeto BFW, Doe Click aqui
Contribua com o reginaldo, Doe Click aqui (pagseguro) ou Click aqui (paypal)
-----------------------------------------------------------------------------------------------------
"Disciplina é liberdade. Compaixão é fortaleza. Ter bondade é ter coragem" (Há Tempos [Dado Villa-Lobos/Renato Russo/Marcelo Bonfá])
Avatar do usuário
reginaldo
BFW Mediator
BFW Documenter
BFW Administrator
 
Mensagens: 12415
Registrado em: Sáb Ago 27, 2005 1:10 pm
Localização: Rio de Janeiro - RJ

Re: Tutorial OpenVPN Final

Mensagempor Eduardo » Seg Set 11, 2017 2:56 pm

woshman escreveu:Parabéns pelo tutorial :aplause: :aplause: :aplause: :aplause: :aplause:

+ 1
!+ :aplause:
Links úteis:
Regras do Fórum
Ajude-nos a ajuda-lo (Como Postar dúvidas/testes)
Tutorial "Aprendendo a Postar"
Como encerrar corretamente seu tópico
-----------------------------------------------------------------------------------------------------------------
* Voce ganha dinheiro com o Projeto BrazilFW? Então contribua com o Projeto BFW, faça uma doação clicando aqui
Avatar do usuário
Eduardo
BFW Moderator
BFW Team
 
Mensagens: 3601
Registrado em: Dom Jul 12, 2009 2:27 pm
Localização: São Paulo (Zona Sul) - SP - Brasil

Re: Tutorial OpenVPN Final by LenoBare (Contribuição: Nosire

Mensagempor Mortinho » Seg Set 11, 2017 9:26 pm

Nota 10 :o! +1
Avatar do usuário
Mortinho
Support to Squid 3.4.14
Support to HaarpCache
 
Mensagens: 73
Registrado em: Qui Jul 09, 2015 11:28 am
Localização: Imperatriz - MA

Re: Tutorial OpenVPN Final by LenoBare (Contribuição: Nosire

Mensagempor David » Ter Set 12, 2017 3:08 am

Excelente tutorial Leno, Parabens, porém agora fiquei com apenas uma dúvida fiz os testes aqui conectando do Windows e funcionou perfeitamente, mas fui até o servidor e criei um segundo usuário pra conectar com outro IP de outra rede, mas não conecta com outro usuário apenas com o primeiro, e aí vai minha pergunta nesse segundo usuário estou usando o mesmo certificado cliente, neste caso pra conectar eu tenho que criar outro certificado cliente para cada usuário novo ?
Desde já agradeço a atenção e mais uma vez parabéns pelo tutorial.
Avatar do usuário
David
BFW Associate
Support to HaarpCache
Support to Squid 3.5.x
 
Mensagens: 114
Registrado em: Qua Mar 06, 2013 9:24 pm
Localização: Sarandi, PR
BrazilFW box: Intel Celeron Dual Core, 2.8 GHZ, 10G de Memória DDR3 1333 Mhz, HD Sata 500G, Versão Firewall 3.0.262.rc2, Squid 3.1.23, Kernel 4.1.5, Harp Cache Version 2.0b.BFW RC03 - 2015/11/01

Re: Tutorial OpenVPN Final by LenoBare (Contribuição: Nosire

Mensagempor David » Ter Set 12, 2017 9:54 am

David escreveu:Excelente tutorial Leno, Parabens, porém agora fiquei com apenas uma dúvida fiz os testes aqui conectando do Windows e funcionou perfeitamente, mas fui até o servidor e criei um segundo usuário pra conectar com outro IP de outra rede, mas não conecta com outro usuário apenas com o primeiro, e aí vai minha pergunta nesse segundo usuário estou usando o mesmo certificado cliente, neste caso pra conectar eu tenho que criar outro certificado cliente para cada usuário novo ?
Desde já agradeço a atenção e mais uma vez parabéns pelo tutorial.


Segue o Log do erro

Obs; Onde existe o meu endereço de IP coloquei dessa forma (187.18.***.***), apenas pra preservar o mesmo

Código: Selecionar todos
Tue Sep 12 08:48:16 2017 OpenVPN 2.4.3 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Jul 14 2017
Tue Sep 12 08:48:16 2017 Windows version 6.2 (Windows 8 or greater) 64bit
Tue Sep 12 08:48:16 2017 library versions: OpenSSL 1.0.2l  25 May 2017, LZO 2.10
Enter Management Password:
Tue Sep 12 08:48:16 2017 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Tue Sep 12 08:48:16 2017 Need hold release from management interface, waiting...
Tue Sep 12 08:48:16 2017 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Tue Sep 12 08:48:16 2017 MANAGEMENT: CMD 'state on'
Tue Sep 12 08:48:16 2017 MANAGEMENT: CMD 'log all on'
Tue Sep 12 08:48:16 2017 MANAGEMENT: CMD 'echo all on'
Tue Sep 12 08:48:16 2017 MANAGEMENT: CMD 'hold off'
Tue Sep 12 08:48:16 2017 MANAGEMENT: CMD 'hold release'
Tue Sep 12 08:48:25 2017 MANAGEMENT: CMD 'username "Auth" "cliente"'
Tue Sep 12 08:48:25 2017 MANAGEMENT: CMD 'password [...]'
Tue Sep 12 08:48:25 2017 WARNING: --ns-cert-type is DEPRECATED.  Use --remote-cert-tls instead.
Tue Sep 12 08:48:25 2017 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1411)
Tue Sep 12 08:48:25 2017 MANAGEMENT: >STATE:1505216905,RESOLVE,,,,,,
Tue Sep 12 08:48:26 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]187.18.***.***:1194
Tue Sep 12 08:48:26 2017 Socket Buffers: R=[65536->65536] S=[65536->65536]
Tue Sep 12 08:48:26 2017 Attempting to establish TCP connection with [AF_INET]187.18.***.***:1194 [nonblock]
Tue Sep 12 08:48:26 2017 MANAGEMENT: >STATE:1505216906,TCP_CONNECT,,,,,,
Tue Sep 12 08:48:27 2017 TCP connection established with [AF_INET]187.18.***.***:1194
Tue Sep 12 08:48:27 2017 TCP_CLIENT link local: (not bound)
Tue Sep 12 08:48:27 2017 TCP_CLIENT link remote: [AF_INET]187.18.***.***:1194
Tue Sep 12 08:48:27 2017 MANAGEMENT: >STATE:1505216907,WAIT,,,,,,
Tue Sep 12 08:48:27 2017 MANAGEMENT: >STATE:1505216907,AUTH,,,,,,
Tue Sep 12 08:48:27 2017 TLS: Initial packet from [AF_INET]187.18.***.***:1194, sid=a4352cea 347e6397
Tue Sep 12 08:48:27 2017 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Tue Sep 12 08:48:27 2017 VERIFY OK: depth=1, C=BR, O=BrazilFW Firewall & Router, ST=Sao Paulo, OU=http://www.brazilfw.com.br, OU=BrazilFW Firewall & Router, CN=BrazilFW Class 3 Secure Server CA
Tue Sep 12 08:48:27 2017 VERIFY OK: nsCertType=SERVER
Tue Sep 12 08:48:27 2017 VERIFY OK: depth=0, C=BR, ST=Sao Paulo, O=BrazilFW Firewall & Router, OU=BrazilFW Firewall & Router, CN=OpenVPN - BrazilFW
Tue Sep 12 08:48:27 2017 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1534', remote='link-mtu 1543'
Tue Sep 12 08:48:27 2017 WARNING: 'tun-mtu' is used inconsistently, local='tun-mtu 1411', remote='tun-mtu 1500'
Tue Sep 12 08:48:27 2017 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Tue Sep 12 08:48:27 2017 [OpenVPN - BrazilFW] Peer Connection Initiated with [AF_INET]187.18.***.***:1194
Tue Sep 12 08:48:28 2017 MANAGEMENT: >STATE:1505216908,GET_CONFIG,,,,,,
Tue Sep 12 08:48:28 2017 SENT CONTROL [OpenVPN - BrazilFW]: 'PUSH_REQUEST' (status=1)
Tue Sep 12 08:48:29 2017 PUSH: Received control message: 'PUSH_REPLY,route 10.10.10.1,topology net30,ping 10,ping-restart 120,ifconfig 10.10.10.3 10.10.10.1'
Tue Sep 12 08:48:29 2017 OPTIONS IMPORT: timers and/or timeouts modified
Tue Sep 12 08:48:29 2017 OPTIONS IMPORT: --ifconfig/up options modified
Tue Sep 12 08:48:29 2017 OPTIONS IMPORT: route options modified
Tue Sep 12 08:48:29 2017 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Sep 12 08:48:29 2017 WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Tue Sep 12 08:48:29 2017 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Sep 12 08:48:29 2017 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Sep 12 08:48:29 2017 WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Tue Sep 12 08:48:29 2017 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Sep 12 08:48:29 2017 WARNING: cipher with small block size in use, reducing reneg-bytes to 64MB to mitigate SWEET32 attacks.
Tue Sep 12 08:48:29 2017 MANAGEMENT: Client disconnected
Tue Sep 12 08:48:29 2017 There is a problem in your selection of --ifconfig endpoints [local=10.10.10.3, remote=10.10.10.1].  The local and remote VPN endpoints cannot use the first or last address within a given 255.255.255.252 subnet.  This is a limitation of --dev tun when used with the TAP-WIN32 driver.  Try 'openvpn --show-valid-subnets' option for more info.
Tue Sep 12 08:48:29 2017 Exiting due to fatal error



Versão do BFW; 3.0.262 sem cache
Avatar do usuário
David
BFW Associate
Support to HaarpCache
Support to Squid 3.5.x
 
Mensagens: 114
Registrado em: Qua Mar 06, 2013 9:24 pm
Localização: Sarandi, PR
BrazilFW box: Intel Celeron Dual Core, 2.8 GHZ, 10G de Memória DDR3 1333 Mhz, HD Sata 500G, Versão Firewall 3.0.262.rc2, Squid 3.1.23, Kernel 4.1.5, Harp Cache Version 2.0b.BFW RC03 - 2015/11/01

Re: Tutorial OpenVPN Final by LenoBare (Contribuição: Nosire

Mensagempor Lenobare » Ter Set 12, 2017 11:59 pm

Ok, vou lhe responder todas as perguntas que estão ao meu alcance e ajudarei todos, positiva ou negativamente :o!

# Abrirei 2 linhas para exponenciar minha opinião pessoal ok.
Informo aos Administradores que usam o BFW e ganham alguma rentabilidade com este, gentileza ajudar a comunidade para que possamos melhorar a distro e aperfeiçoar futuros recursos que já estamos implementando ok :o! #
Doe por aqui:
https://www.brazilfw.com.br/forum/viewtopic.php?f=55&t=91225&p=343992&hilit=doa%C3%A7%C3%A3o#p343992
ou por aqui:
Código: Selecionar todos
Por depósito/Transferência em Conta Corrente:
Nome: Reginaldo S Melo
Caixa (CEF): Ag. 0221 OP: 001 Conta: 28384-3 (poder ser feito em Lotéricas)
Bradesco: Ag. 3249 Conta: 0110728-3
Itau: Ag. 8548 Conta: 11890-3

Solução:
O problema que está acontecendo não é culpa do BFW e sim da arquitetura de segurança do OpenVpn, é seu DNA e sua origem, pois foi projetado nestes termos de segurança.
OpenVPN cliente só trabalha com range /30, não aceitando outro tamanho de rede e isto faz todo o sentido.
O que você tem que fazer?
Alterar para trabalhar somente com /30.
A própria documentação explica isto:
https://community.openvpn.net/openvpn/ticket/205
Portanto faça o seguinte:
Cada usuário tem que ter seu próprio certificado cliente, ou seja, se você tem 2 clientes, são 4 certificados clientes, 2 para cada usuário um .crt e .key cliente para cada usuário cliente diferente.
Como explica a documentação, crie ranges /30 para cada cliente.
Vá no Servidor Brazilfw, seguindo a lógica OpenVpn e coloque no vpn-users.cfg:
Código: Selecionar todos
ClienteBFW openvpn @bfwcliente 10.10.10.2 #Cliente 01
ClienteBFW02 openvpn @bfwcliente02 10.10.10.6 #Cliente 02
ClienteBFW03 openvpn @bfwcliente03 10.10.10.10 #Cliente 03
ClienteBFW04 openvpn @bfwcliente04 10.10.10.14 #Cliente 04
 e assim sucessivamente, seguindo a tabela da documentação acima

Arquivo .ovpn cliente01 = Já explicado

Arquivo .ovpn cliente02
Código: Selecionar todos
client
dev tun
proto tcp-client
pull <--Gosto de colocar o  " pull "
remote ipdoseuservidor.com
port 1194
resolv-retry infinite
nobind
persist-key
persist-tun
float
ca brazilfw_ca.crt
cert seucertificadocliente02crt.crt
key seucertificadocliente02key.key
auth-user-pass
verb 3
keepalive 10 60
link-mtu 1534
ns-cert-type server
cipher BF-CBC
auth SHA1
route 192.168.0.1 (rede Bfw Matriz) 255.255.255.0 (mascara) 10.10.10.5 (sua vpn /30 utilizado pelo cliente 02 )

Arquivo .ovpn cliente03
Código: Selecionar todos
client
dev tun
proto tcp-client
pull <--Gosto de colocar o  " pull "
remote ipdoseuservidor.com
port 1194
resolv-retry infinite
nobind
persist-key
persist-tun
float
ca brazilfw_ca.crt
cert seucertificadocliente03crt.crt
key seucertificadocliente03key.key
auth-user-pass
verb 3
keepalive 10 60
link-mtu 1534
ns-cert-type server
cipher BF-CBC
auth SHA1
route 192.168.0.1 (rede Bfw Matriz) 255.255.255.0 (mascara) 10.10.10.9 (sua vpn /30 utilizado pelo cliente 03 )


é como eu sempre digo... estude, estude e... continue estudando e ajudando :o!
Estude, estude e... continue estudando.
Avatar do usuário
Lenobare
BFW Full Associate
BFW Team
BFW Moderator
Support to HaarpCache
Support to Squid 3.5.x
 
Mensagens: 1513
Registrado em: Qua Ago 28, 2013 9:45 pm
Localização: Brasília
BrazilFW box: Core I7 3.4GHZ 8GB Ram ASUS, HD Sata3 p/ bfw, HD SCSI 300GB 15.000 rpm p/ Cache , 2.03.Donor.BFW, Haro, Whatchdog. HaapCache Squid 3.5.25, Lognet e Samba.

Re: Tutorial OpenVPN Final by LenoBare (Contribuição: Nosire

Mensagempor ramon_sjc » Qui Set 28, 2017 10:41 am

Bom Dia,

Possuo BFW com ip 192.168.223.1, fiz o passo a passo do tutorial VPN e funcionou perfeitamente, inclusive utilizei na VPN o mesmo ip do tutotial, 170.70.1.1. Porém depois de 3 dias, a minha rede parou de funcionar. Ao verificar percebi que o ip do BFW que era o 192.168.223.1, passou a ser o ip da VPN 170.70.1.1. Só depois de excluir a rede VPN e reiniciei o BFW, a rede voltou ao normal. Alguém tem alguma sugestão do que pode ter acontecido?

Obrigado.
Avatar do usuário
ramon_sjc
BFW Curious
 
Mensagens: 2
Registrado em: Seg Abr 03, 2017 5:45 pm

Re: Tutorial OpenVPN Final by LenoBare (Contribuição: Nosire

Mensagempor David » Qui Set 28, 2017 7:53 pm

Coloquei em funcionamento desde o dia do tutorial, e até momento funcionando perfeitamente, inclusive com a dica do Lenobare em fazer mais de um acesso na VPN funcionou perfeitamente, Obrigado Lenobare pelo tutorial, claro e objetivo.

Parabéns .... :aplause:
Avatar do usuário
David
BFW Associate
Support to HaarpCache
Support to Squid 3.5.x
 
Mensagens: 114
Registrado em: Qua Mar 06, 2013 9:24 pm
Localização: Sarandi, PR
BrazilFW box: Intel Celeron Dual Core, 2.8 GHZ, 10G de Memória DDR3 1333 Mhz, HD Sata 500G, Versão Firewall 3.0.262.rc2, Squid 3.1.23, Kernel 4.1.5, Harp Cache Version 2.0b.BFW RC03 - 2015/11/01

Re: Tutorial OpenVPN Final by LenoBare (Contribuição: Nosire

Mensagempor David » Qui Set 28, 2017 7:55 pm

Lenobare escreveu:Ok, vou lhe responder todas as perguntas que estão ao meu alcance e ajudarei todos, positiva ou negativamente :o!

# Abrirei 2 linhas para exponenciar minha opinião pessoal ok.
Informo aos Administradores que usam o BFW e ganham alguma rentabilidade com este, gentileza ajudar a comunidade para que possamos melhorar a distro e aperfeiçoar futuros recursos que já estamos implementando ok :o! #
Doe por aqui:
https://www.brazilfw.com.br/forum/viewtopic.php?f=55&t=91225&p=343992&hilit=doa%C3%A7%C3%A3o#p343992
ou por aqui:
Código: Selecionar todos
Por depósito/Transferência em Conta Corrente:
Nome: Reginaldo S Melo
Caixa (CEF): Ag. 0221 OP: 001 Conta: 28384-3 (poder ser feito em Lotéricas)
Bradesco: Ag. 3249 Conta: 0110728-3
Itau: Ag. 8548 Conta: 11890-3

Solução:
O problema que está acontecendo não é culpa do BFW e sim da arquitetura de segurança do OpenVpn, é seu DNA e sua origem, pois foi projetado nestes termos de segurança.
OpenVPN cliente só trabalha com range /30, não aceitando outro tamanho de rede e isto faz todo o sentido.
O que você tem que fazer?
Alterar para trabalhar somente com /30.
A própria documentação explica isto:
https://community.openvpn.net/openvpn/ticket/205
Portanto faça o seguinte:
Cada usuário tem que ter seu próprio certificado cliente, ou seja, se você tem 2 clientes, são 4 certificados clientes, 2 para cada usuário um .crt e .key cliente para cada usuário cliente diferente.
Como explica a documentação, crie ranges /30 para cada cliente.
Vá no Servidor Brazilfw, seguindo a lógica OpenVpn e coloque no vpn-users.cfg:
Código: Selecionar todos
ClienteBFW openvpn @bfwcliente 10.10.10.2 #Cliente 01
ClienteBFW02 openvpn @bfwcliente02 10.10.10.6 #Cliente 02
ClienteBFW03 openvpn @bfwcliente03 10.10.10.10 #Cliente 03
ClienteBFW04 openvpn @bfwcliente04 10.10.10.14 #Cliente 04
 e assim sucessivamente, seguindo a tabela da documentação acima

Arquivo .ovpn cliente01 = Já explicado

Arquivo .ovpn cliente02
Código: Selecionar todos
client
dev tun
proto tcp-client
pull <--Gosto de colocar o  " pull "
remote ipdoseuservidor.com
port 1194
resolv-retry infinite
nobind
persist-key
persist-tun
float
ca brazilfw_ca.crt
cert seucertificadocliente02crt.crt
key seucertificadocliente02key.key
auth-user-pass
verb 3
keepalive 10 60
link-mtu 1534
ns-cert-type server
cipher BF-CBC
auth SHA1
route 192.168.0.1 (rede Bfw Matriz) 255.255.255.0 (mascara) 10.10.10.5 (sua vpn /30 utilizado pelo cliente 02 )

Arquivo .ovpn cliente03
Código: Selecionar todos
client
dev tun
proto tcp-client
pull <--Gosto de colocar o  " pull "
remote ipdoseuservidor.com
port 1194
resolv-retry infinite
nobind
persist-key
persist-tun
float
ca brazilfw_ca.crt
cert seucertificadocliente03crt.crt
key seucertificadocliente03key.key
auth-user-pass
verb 3
keepalive 10 60
link-mtu 1534
ns-cert-type server
cipher BF-CBC
auth SHA1
route 192.168.0.1 (rede Bfw Matriz) 255.255.255.0 (mascara) 10.10.10.9 (sua vpn /30 utilizado pelo cliente 03 )


é como eu sempre digo... estude, estude e... continue estudando e ajudando :o!


Ok Leno, tudo certo, fiz aqui e funcionou perfeitamente, muito obrigado .... Parabéns pelo tutorial.
Avatar do usuário
David
BFW Associate
Support to HaarpCache
Support to Squid 3.5.x
 
Mensagens: 114
Registrado em: Qua Mar 06, 2013 9:24 pm
Localização: Sarandi, PR
BrazilFW box: Intel Celeron Dual Core, 2.8 GHZ, 10G de Memória DDR3 1333 Mhz, HD Sata 500G, Versão Firewall 3.0.262.rc2, Squid 3.1.23, Kernel 4.1.5, Harp Cache Version 2.0b.BFW RC03 - 2015/11/01

Re: Tutorial OpenVPN Final by LenoBare (Contribuição: Nosire

Mensagempor Lenobare » Sex Set 29, 2017 12:46 am

ramon_sjc escreveu:Bom Dia,

Possuo BFW com ip 192.168.223.1, fiz o passo a passo do tutorial VPN e funcionou perfeitamente, inclusive utilizei na VPN o mesmo ip do tutotial, 170.70.1.1. Porém depois de 3 dias, a minha rede parou de funcionar. Ao verificar percebi que o ip do BFW que era o 192.168.223.1, passou a ser o ip da VPN 170.70.1.1. Só depois de excluir a rede VPN e reiniciei o BFW, a rede voltou ao normal. Alguém tem alguma sugestão do que pode ter acontecido?

Obrigado.


Olá ramon_sjc tudo bem.
Te confesso que nem tudo são flores no mundo de tecnologia então tentamos ajustar as coisas para que funcionem o melhor e por mais tempo possível.
Se ja trabalhou com vários ranges de ips no Bfw, vai saber que a cada rede lógica que adiciona na eth0, vais artificialmente tomar conta a última rede lógica adicionada, mas sempre a principal será a que criou de range inicial ok.
Não informou se foi um bfw que parou ou o bfw do outro lado mas vou lhe dar uma dica que sempre resolve pra mim quando as coisas ficam difíceis:
Comece do zero.. faça um backup de sua rede atual, instale o bfw do zero, configure a VPN em primeiro lugar e somente ai vá adicionando os recursos que utiliza como por exemplo Cache, QOS, configs de acl, iptables e todo o resto que provavelmente depois de tudo configurado, não dará mais problema.
Gosto de culpar muito também as placas de rede, portanto se tiveres como colocar placas network novas ou mais novas das que já existem, isso vai ajudar bastante.

Boa sorte.
Estude, estude e... continue estudando.
Avatar do usuário
Lenobare
BFW Full Associate
BFW Team
BFW Moderator
Support to HaarpCache
Support to Squid 3.5.x
 
Mensagens: 1513
Registrado em: Qua Ago 28, 2013 9:45 pm
Localização: Brasília
BrazilFW box: Core I7 3.4GHZ 8GB Ram ASUS, HD Sata3 p/ bfw, HD SCSI 300GB 15.000 rpm p/ Cache , 2.03.Donor.BFW, Haro, Whatchdog. HaapCache Squid 3.5.25, Lognet e Samba.

Re: Tutorial OpenVPN Final by LenoBare (Contribuição: Nosire

Mensagempor awgs » Qua Out 11, 2017 3:48 pm

David escreveu:Coloquei em funcionamento desde o dia do tutorial, e até momento funcionando perfeitamente, inclusive com a dica do Lenobare em fazer mais de um acesso na VPN funcionou perfeitamente, Obrigado Lenobare pelo tutorial, claro e objetivo.

Parabéns .... :aplause:


Boa tarde David, segui o tutorial do Lenobare, habilitando o openvpn para atender vários clientes windows e surgiu uma dúvida semelhante a sua: o primeiro cliente /30 funciona perfeitamente, tem acesso a uma maquina da rede interna (é o que preciso, clientes externos precisam rodar uma aplicação no qual o banco de dados esta em um servidor interno), mas os outros clientes criados, conectam, recebem ip da vpn (todos /30), mas não tem comunicação com nenhum host da rede interna. Como você diz que com você funcionou, será que poderia tentar me dar uma luz.
Meu ambiente é o seguinte:

BrazilFW(openvpn server)------------Rede interna: 172.16.50.0/24
Rede Vpn: 10.8.44.0/24

Aqui vai o meu cliente2:
Código: Selecionar todos
client
dev tun
proto tcp-client
pull
remote ipdoseuservidor.com
port 1194
resolv-retry infinite
nobind
persist-key
persist-tun
float
ca brazilfw_ca.crt
cert seucertificadocliente02crt.crt
key seucertificadocliente02key.key
auth-user-pass
verb 3
keepalive 10 60
link-mtu 1534
ns-cert-type server
cipher BF-CBC
auth SHA1
route 172.16.50.0  255.255.255.0 10.8.44.5


Obrigado.
Avatar do usuário
awgs
BFW Curious
 
Mensagens: 3
Registrado em: Ter Mar 11, 2014 4:02 pm

Re: Tutorial OpenVPN Final by LenoBare (Contribuição: Nosire

Mensagempor Lenobare » Qua Out 11, 2017 11:16 pm

Boa noite.
Não informou suas configurações completas, apenas seus ips.
Estas perguntas já são as respostas:
- Criou os certificados clientes? Cada cliente deve ter o seu certificado cliente individual, portanto se tiver 10 clientes, deve haver 10 .crt e 10.key, 2 para cada cliente.
- Criou o usuário no Bfw com ip 10.8.44.6? Acho que sim porque você disse que está recebendo ip do BFW.
- As portas da maquina que está a aplicação foi adicionada a porta externa e a porta da rede interna no Bfw?
- Se tem cache ativado, adicionou as portas 1194 do openvpn e a porta do computador a ser acessado?

Já fiz algumas dezenas de vpn no Brazilfw e todas funcionaram e a que não funcionou, comecei do zero e voltei a ser feliz, portanto se não funcionar, envie por favor todas as suas configurações que correspondem ao vpn do Brazilfw que ai achamos o problema.

Boa Sorte.
Estude, estude e... continue estudando.
Avatar do usuário
Lenobare
BFW Full Associate
BFW Team
BFW Moderator
Support to HaarpCache
Support to Squid 3.5.x
 
Mensagens: 1513
Registrado em: Qua Ago 28, 2013 9:45 pm
Localização: Brasília
BrazilFW box: Core I7 3.4GHZ 8GB Ram ASUS, HD Sata3 p/ bfw, HD SCSI 300GB 15.000 rpm p/ Cache , 2.03.Donor.BFW, Haro, Whatchdog. HaapCache Squid 3.5.25, Lognet e Samba.

Re: Tutorial OpenVPN Final by LenoBare (Contribuição: Nosire

Mensagempor awgs » Dom Out 15, 2017 5:10 pm

Boa tarde Lenobare, obrigado pela atenção. Vamos lá:

1 - Sim, criei os certificados e chaves para cada cliente adicionado;
2 - Criei os usuários com seus respectivos IPs, seguindo as redes /30 usadas pelo openvpn e como mencionei todos eles recebem seus respectivos iPs normalmente;
3 - Sim, na verdade a porta da aplicação já adicionada em uma regra de redirecionamento, mas o que me intriga é que o primeiro cliente, com IP final .2 executa ping e consegue acessar por exemplo um compartilhamento na máquina da aplicação, já os outros clientes nenhuma das duas situações acontecem, nem ping nem acesso a um compartilhamento;
4 - Não uso cache.

Tentei até criar interfaces virtuais adicionais para os demais clientes, tipo: 10.8.44.5, mas não funcionou. Ai vão os arquivos:


/etc/openvpn.conf
Código: Selecionar todos

mode server
port 1194
proto tcp-server
dev tun
tun-mtu 1500
ca /var/cert/brazilfw.pem
cert /etc/brazilfw/cert/custom/vpnserverbfwtestecrt.crt
key /etc/brazilfw/cert/custom/vpnserverbfwtestekey.key
dh /etc/brazilfw/cert/custom/dh1024.pem
server 10.8.44.0 255.255.255.0
keepalive 10 120
persist-key
persist-tun
verb 0
tls-server
script-security 2
auth-user-pass-verify /etc/ppp/ovpn-auth via-file
duplicate-cn
username-as-common-name
client-config-dir /etc/ovpn-ccd
cipher none
auth none
status /var/log/openvpn.log 10
status-version 2
writepid /var/run/openvpn_server.pid
daemon


/etc/brazilfw/vpn-server.cfg
Código: Selecionar todos

OVPN_NETWORK='10.8.44.0'
OVPN_NETMASK='255.255.255.0'
OVPN_CA='default'
OVPN_CERT='vpnserverbfwtestecrt'
OVPN_KEY='vpnserverbfwtestekey'
OVPN_CIPHER='BF-CBC'
OVPN_AUTH='SHA1'
OVPN_ACTIVE='yes'


Cliente que funciona:
Código: Selecionar todos
client
dev tun
proto tcp-client
pull
remote xxx.xxx.xxx.xxx
port 1194
resolv-retry infinite
nobind
persist-key
persist-tun
float
ca brazilfw_ca.crt
cert vpnclientewin7bfwtestecrt.crt
key vpnclientewin7bfwtestekey.key
auth-user-pass
verb 3
keepalive 10 60
mssfix
tun-mtu 1500
ns-cert-type server
cipher BF-CBC
auth SHA1
route 172.16.50.0 255.255.255.0 10.8.44.1


Daqui em diante os demais clientes conectam mas não se comunicam com a máquina desejada, na verdade com nenhuma maquina da rede interna.
Código: Selecionar todos
client
dev tun
proto tcp-client
pull
remote xxx.xxx.xxx.xxx
port 1194
resolv-retry infinite
nobind
persist-key
persist-tun
float
ca brazilfw_ca.crt
cert clientexpcrt.crt
key clientexpkey.key
auth-user-pass
verb 3
keepalive 10 60
tun-mtu 1500
ns-cert-type server
cipher BF-CBC
auth SHA1
route 172.16.50.0 255.255.255.0 10.8.44.5


Mais uma vez, obrigado pela atenção Lenobare.
Avatar do usuário
awgs
BFW Curious
 
Mensagens: 3
Registrado em: Ter Mar 11, 2014 4:02 pm

Re: Tutorial OpenVPN Final by LenoBare (Contribuição: Nosire

Mensagempor Lenobare » Dom Out 15, 2017 9:13 pm

Todos os clientes executam o openvpn como Administrador?
Criou os usuarios correspondentes no BFW com os ips respectivos segundo documentação openvpn?
Código: Selecionar todos
Aqui, me baseio segundo informações dos ips que nos fornece:

Na rota openvpn Windows = route 172.16.50.0 255.255.255.0 10.8.44.1
No Cliente  Bfw         = Usuario1 openvpn Senha1 10.8.44.2 #Cliente 01

Na rota openvpn Windows = route 172.16.50.0 255.255.255.0 10.8.44.5
No Cliente  Bfw         = Usuario2 openvpn Senha2 10.8.44.6 #Cliente 02

Na rota openvpn Windows = route 172.16.50.0 255.255.255.0 10.8.44.9
No Cliente  Bfw         = Usuario3 openvpn Senha2 10.8.44.10 #Cliente 03

e assim por diante


Informe o log no arquivo "openvpn.log " na pasta C:\Program Files\OpenVPN\log do seu Windows e poste aqui.
Estude, estude e... continue estudando.
Avatar do usuário
Lenobare
BFW Full Associate
BFW Team
BFW Moderator
Support to HaarpCache
Support to Squid 3.5.x
 
Mensagens: 1513
Registrado em: Qua Ago 28, 2013 9:45 pm
Localização: Brasília
BrazilFW box: Core I7 3.4GHZ 8GB Ram ASUS, HD Sata3 p/ bfw, HD SCSI 300GB 15.000 rpm p/ Cache , 2.03.Donor.BFW, Haro, Whatchdog. HaapCache Squid 3.5.25, Lognet e Samba.

Re: [Vídeo] OpenVPN Final by LenoBare (Contrib.: Nosire)

Mensagempor Lenobare » Sex Out 20, 2017 7:18 pm

Boa Noite Pessoal.
Estou iniciando averiguações sobre o que está ocorrendo sobre múltiplos acessos via vpn do programa openvpn Windows para o Bfw.
Verifiquei boa estabilidade nas conexões entre vários os Servidores Brazilfw, mas com acessos do Openvpn Windows para o Bfw está inconstante.
Se houver apenas um acesso, sem problemas, funciona redondo;
Se houver mais de um acesso, simultâneo ou não, fica instável, hoje funciona, amanhã funciona um host, outro não e assim vai.. quando é mais de três, funciona a primeira vez ou as vezes não funciona e quando funciona, outro acesso não funciona mais.

Estou averiguando o que pode ser, se é versão, configuração ou outra coisa.
No meu entendimento, 10 links simultâneos quando se tem banda disponível deve ficar estável e isto não está acontecendo com cliente Openvpn no Windows.

Reportarei quando puder e volto as possíveis soluções.
Obrigado.
Estude, estude e... continue estudando.
Avatar do usuário
Lenobare
BFW Full Associate
BFW Team
BFW Moderator
Support to HaarpCache
Support to Squid 3.5.x
 
Mensagens: 1513
Registrado em: Qua Ago 28, 2013 9:45 pm
Localização: Brasília
BrazilFW box: Core I7 3.4GHZ 8GB Ram ASUS, HD Sata3 p/ bfw, HD SCSI 300GB 15.000 rpm p/ Cache , 2.03.Donor.BFW, Haro, Whatchdog. HaapCache Squid 3.5.25, Lognet e Samba.


Voltar para Videos

Quem está online

Usuários navegando neste fórum: Nenhum usuário registrado e 0 visitantes

cron