Intento hacer que openvpn funcione para poder conectarme desde mi estación de trabajo Ubuntu 14.10 a un servidor pfsense 2.0.3 usando OpenVPN.
Acabo de instalar el complemento del administrador de red y creé una nueva conexión vpn desde el paquete de configuración que proviene del servidor pfsense.
Pero no puedo conectarme.
Este es el resultado de syslog en el cliente ubuntu:
1 de octubre 21:30:28 X58A-UD7 NetworkManager[833]: se inició el servicio VPN 'openvpn' (org.freedesktop.NetworkManager.openvpn), PID 3321 1 de octubre 21:30:28 X58A-UD7 NetworkManager[833]: Iniciando el servicio VPN 'openvpn'... 1 de octubre 21:30:28 X58A-UD7 NetworkManager[833]: el estado del complemento VPN cambió: iniciando (3) 1 de octubre 21:30:28 X58A-UD7 NetworkManager[833]: apareció el servicio VPN 'openvpn'; activando conexiones 1 de octubre 21:30:28 X58A-UD7 NetworkManager [833]: Se recibió la respuesta de la conexión VPN 'phgateway-udp-34447-vpnbruger' (Conectar). 1 de octubre 21:30:28 X58A-UD7 nm-openvpn[3327]: OpenVPN 2.3.2 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [eurephia] [MH] [ IPv6] compilado el 1 de diciembre de 2014 1 de octubre 21:30:28 X58A-UD7 nm-openvpn[3327]: ADVERTENCIA: No se ha habilitado ningún método de verificación del certificado del servidor. Consulte http://openvpn.net/howto.html#mitm para obtener más información. 1 de octubre 21:30:28 X58A-UD7 nm-openvpn[3327]: NOTA: la configuración actual de --script-security puede permitir que esta configuración llame a scripts definidos por el usuario 1 de octubre 21:30:28 X58A-UD7 nm-openvpn[3327]: ADVERTENCIA: el archivo '/home/myusername/Desktop/Untitled Folder 4/phgateway-udp-34447-vpnbruger.p12' es accesible para grupos u otros 1 de octubre 21:30:28 X58A-UD7 nm-openvpn[3327]: ADVERTENCIA: el archivo '/home/myusername/Desktop/Untitled Folder 4/phgateway-udp-34447-vpnbruger-tls.key' es accesible para grupos u otros 1 de octubre 21:30:28 X58A-UD7 nm-openvpn[3327]: Autenticación del canal de control: usar '/home/myusername/Desktop/Untitled Folder 4/phgateway-udp-34447-vpnbruger-tls.key' como OpenVPN estático archivo de clave 1 de octubre 21:30:28 X58A-UD7 nm-openvpn[3327]: enlace UDPv4 local: [undef] 1 de octubre 21:30:28 X58A-UD7 nm-openvpn[3327]: enlace UDPv4 remoto: [AF_INET]pfsense_server_ip:34447 1 de octubre 21:31:08 X58A-UD7 NetworkManager[833]: Se superó el tiempo de espera de la conexión VPN 'phgateway-udp-34447-vpnbruger' (Obtención de configuración de IP). 1 de octubre 21:31:08 X58A-UD7 NetworkManager [833]: la política establece 'Conexión por cable 1' (eth0) como predeterminada para el enrutamiento IPv4 y DNS. 1 de octubre 21:31:08 X58A-UD7 nm-openvpn[3327]: SIGTERM[hard,] recibido, proceso saliendo 1 de octubre 21:31:13 X58A-UD7 NetworkManager[833]: el servicio VPN 'openvpn' desapareció
He utilizado el asistente de pfsense para configurar el servicio openvpn y se deben agregar las reglas adecuadas al firewall.
Veo un par de advertencias, pero nada que me llame la atención.
EDITAR: Cuando uso el comando openvpn --config FILE --cd /etc/openvpn --verb 4en una configuración realizada para autenticación de contraseña sin certificados, aparece esto:
Error de opciones: --ca falla con 'phgateway-udp-34447-ca.crt': no existe tal archivo o directorio Error de opciones: --tls-auth falla con 'phgateway-udp-34447-tls.key': no existe tal archivo o directorio Error de opciones: corrija estos errores.
A pesar de que esos archivos se encuentran justo al lado del archivo ovpn.
Cuando uso el comando anterior con el paquete original que es contraseña de usuario + autenticación de certificado, recibo un intento de inicio de sesión que me pide nombre de usuario y contraseña, pero el único error que puedo ver en todos los resultados es este:
Jue 1 de octubre 22:05:29 2015 us=544930 Error de TLS: la negociación de la clave TLS no se produjo en 60 segundos (verifique la conectividad de su red) Jue 1 de octubre 22:05:29 2015 us=544986 Error de TLS: error en el protocolo de enlace TLS Jue 1 de octubre 22:05:29 2015 us=545076 TCP/UDP: cerrando socket Jue 1 de octubre 22:05:29 2015 us=545123 SIGUSR1[soft,tls-error] recibido, proceso reiniciando
y eso luego se repite cada 60 segundos, entre muchas otras cosas, pero no veo otros errores.
Los puertos están abiertos en el firewall y no debería ser nada especial.
EDITAR2: reglas de firewall en el cuadro pfsense
Respuesta1
Falta de registros ensentidopfsignifica que probablemente tenga un problema de conectividad entre el cliente y la puerta de enlace. Verifique nuevamente las reglas de su firewall entrante en la interfaz WAN, pruebe con otro proveedor de Internet (como una red móvil), etc. Verifique si tiene el mismo puerto y protocolo de transporte en ambos lados (UDP - preferido o TCP). Sé que suena demasiado simple, pero la falta de registros sugiere un punto de "corte" tan simple aquí.
Respuesta2
Configuré OpenVPN en pfsense y verifiqué mis registros de openvpn en Registros del sistema. Comienzan así:
Nombre de usuario incorrecto :
Oct 22 13:23:16 openvpn: user 'user' could not authenticate.
Oct 22 13:23:16 openvpn[15098]: 90.27.14.234:59141 TLS Auth Error: Auth Username/Password verification failed for peer
Oct 22 13:23:17 openvpn[15098]: 90.27.14.234:59141 [www.domain.com] Peer Connection Initiated with [AF_INET]90.27.14.234:59141
Inicio de sesión exitoso:
Oct 22 13:27:07 openvpn: user 'vpnuser' authenticated
Oct 22 13:27:07 openvpn[15098]: 90.27.14.234:43921 [vpnuser] Peer Connection Initiated with [AF_INET]90.27.14.234:43921
Oct 22 13:27:07 openvpn[15098]: vpnuser/90.27.14.234:43921 MULTI_sva: pool returned IPv4=192.168.25.6, IPv6=(Not enabled)
Oct 22 13:27:09 openvpn[15098]: vpnuser/90.27.14.234:43921 send_push_reply(): safe_cap=940
Básicamente, su conexión no llega a la aplicación pfsense OpenVPN. También noté que a sus reglas les falta algo en las imágenes: la versión IP. Asegúrate de tener las últimas versiones.
¿Por qué tienes 2 puertos del mismo asistente? Asegúrese de que su configuración utilice el puerto correcto. Estoy usando la "Utilidad de exportación de clientes OpenVPN" para ordenar todo mi paquete para el cliente y funciona bastante bien sin perder nada.