Tentando fazer o openvpn funcionar para que eu possa conectar da minha estação de trabalho Ubuntu 14.10 a um servidor pfsense 2.0.3 usando OpenVPN.
Acabei de instalar o plugin network-manager e criei uma nova conexão VPN a partir do pacote de configuração que vem do servidor pfsense.
Mas não consigo me conectar.
Esta é a saída para o syslog no cliente Ubuntu:
1º de outubro 21:30:28 X58A-UD7 NetworkManager [833]: serviço VPN 'openvpn' iniciado (org.freedesktop.NetworkManager.openvpn), PID 3321 1º de outubro 21:30:28 X58A-UD7 NetworkManager [833]: Iniciando serviço VPN 'openvpn' ... 1º de outubro 21:30:28 X58A-UD7 NetworkManager [833]: Estado do plugin VPN alterado: iniciando (3) 1º de outubro 21:30:28 X58A-UD7 NetworkManager [833]: O serviço VPN 'openvpn' apareceu; ativando conexões 1º de outubro 21:30:28 X58A-UD7 NetworkManager [833]: Resposta da conexão VPN 'phgateway-udp-34447-vpnbruger' (Connect) recebida. 1º de outubro 21:30:28 X58A-UD7 nm-openvpn [3327]: OpenVPN 2.3.2 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [eurephia] [MH] [ IPv6] construído em 1º de dezembro de 2014 1º de outubro 21:30:28 X58A-UD7 nm-openvpn[3327]: AVISO: Nenhum método de verificação de certificado de servidor foi habilitado. Consulte http://openvpn.net/howto.html#mitm para obter mais informações. 1º de outubro 21:30:28 X58A-UD7 nm-openvpn [3327]: NOTA: a configuração atual --script-security pode permitir que esta configuração chame scripts definidos pelo usuário 1º de outubro 21:30:28 X58A-UD7 nm-openvpn [3327]: AVISO: arquivo '/home/myusername/Desktop/Untitled Folder 4/phgateway-udp-34447-vpnbruger.p12' é um grupo ou outros acessíveis 1º de outubro 21:30:28 X58A-UD7 nm-openvpn [3327]: AVISO: arquivo '/home/myusername/Desktop/Untitled Folder 4/phgateway-udp-34447-vpnbruger-tls.key' é um grupo ou outros acessíveis 1º de outubro 21:30:28 X58A-UD7 nm-openvpn [3327]: Autenticação do canal de controle: usando '/home/myusername/Desktop/Untitled Folder 4/phgateway-udp-34447-vpnbruger-tls.key' como uma estática OpenVPN arquivo chave 1º de outubro 21:30:28 X58A-UD7 nm-openvpn [3327]: link UDPv4 local: [undef] 1º de outubro 21:30:28 X58A-UD7 nm-openvpn[3327]: link UDPv4 remoto: [AF_INET]pfsense_server_ip:34447 1º de outubro 21:31:08 X58A-UD7 NetworkManager [833]: Tempo limite da conexão VPN 'phgateway-udp-34447-vpnbruger' (IP Config Get) excedido. 1º de outubro 21:31:08 X58A-UD7 NetworkManager [833]: Política definida 'Conexão com fio 1' (eth0) como padrão para roteamento IPv4 e DNS. 1º de outubro 21:31:08 X58A-UD7 nm-openvpn[3327]: SIGTERM[hard,] recebido, processo saindo 1º de outubro 21:31:13 X58A-UD7 NetworkManager [833]: O serviço VPN 'openvpn' desapareceu
Usei o assistente pfsense para configurar o serviço openvpn e as regras adequadas devem ser adicionadas ao firewall.
Vejo alguns avisos, mas nada que se destaque para mim.
EDIT: Ao usar o comando openvpn --config FILE --cd /etc/openvpn --verb 4em uma configuração feita para autenticação de senha sem certificados, recebo o seguinte:
Erro de opções: --ca falha com 'phgateway-udp-34447-ca.crt': Esse arquivo ou diretório não existe Erro de opções: --tls-auth falha com 'phgateway-udp-34447-tls.key': Esse arquivo ou diretório não existe Erro de opções: corrija esses erros.
Apesar desses arquivos estarem ao lado do arquivo ovpn.
Ao usar o comando acima com o pacote original que é userpassword + cert auth, recebo uma tentativa de login solicitando nome de usuário e senha, mas o único erro que posso ver em toda a saída é este:
Qui, 1º de outubro 22:05:29 2015 us=544930 Erro TLS: a negociação da chave TLS falhou em 60 segundos (verifique sua conectividade de rede) Qui, 1º de outubro 22:05:29 2015 us=544986 Erro TLS: falha no handshake TLS Qui, 1º de outubro 22:05:29 2015 us=545076 TCP/UDP: Fechando soquete Qui, 1º de outubro 22:05:29 2015 us=545123 SIGUSR1[soft,tls-error] recebido, processo reiniciando
e isso faz um loop a cada 60 segundos, entre muitas outras coisas, mas nenhum outro erro que eu possa ver.
As portas estão abertas no firewall e não deve haver nada de especial.
EDIT2: Regras de firewall na caixa pfsense
Responder1
Ausência de quaisquer registros de log empfSensesignifica que você provavelmente tem problemas de conectividade entre o cliente e o gateway. Verifique novamente as regras de firewall de entrada na interface WAN, tente outro provedor de Internet (como uma rede móvel), etc. Verifique se você tem a mesma porta e protocolo de transporte em ambos os lados (UDP - preferencial ou TCP). Eu sei que parece muito simples, mas a falta de registros de log sugere um ponto de "corte" tão simples aqui.
Responder2
Eu configurei o OpenVPN no pfsense e verifiquei meus logs do openvpn nos logs do sistema. Eles começam assim:
Nome de usuário errado :
Oct 22 13:23:16 openvpn: user 'user' could not authenticate.
Oct 22 13:23:16 openvpn[15098]: 90.27.14.234:59141 TLS Auth Error: Auth Username/Password verification failed for peer
Oct 22 13:23:17 openvpn[15098]: 90.27.14.234:59141 [www.domain.com] Peer Connection Initiated with [AF_INET]90.27.14.234:59141
Login bem-sucedido:
Oct 22 13:27:07 openvpn: user 'vpnuser' authenticated
Oct 22 13:27:07 openvpn[15098]: 90.27.14.234:43921 [vpnuser] Peer Connection Initiated with [AF_INET]90.27.14.234:43921
Oct 22 13:27:07 openvpn[15098]: vpnuser/90.27.14.234:43921 MULTI_sva: pool returned IPv4=192.168.25.6, IPv6=(Not enabled)
Oct 22 13:27:09 openvpn[15098]: vpnuser/90.27.14.234:43921 send_push_reply(): safe_cap=940
Então basicamente sua conexão não chega ao aplicativo pfsense OpenVPN. Percebo também que falta algo em suas regras nas imagens - a versão IP. Certifique-se de estar usando as versões mais recentes.
Por que você tem 2 portas do mesmo assistente? Certifique-se de que sua configuração use a porta correta. Estou usando o "OpenVPN Client Export Utility" para organizar todo o meu pacote para o cliente e isso funciona muito bem sem perder nada.