Topic: consiglio per openvpn

[MicSme]

Ciao tutti!
Non riesco a concludere positivamente una connessione in vpn tra il mio nuovo server vpn (il 7.4. sul quale e' installato il contrib OpenVPn ) ed il mio pc in ufficio sul quale ho installato OpenVPn per win xp.
Scenario:
Pc Lan Ufficio-openvpn client (172.16.X.XXX) --> FW --> Router Uff --> internet <-- Router casa (alice gate 2 plus wifi) <-- sme server (in modalita' srv+gw dove eth0(WAN)=192.168.1.2 gw=192.168.1.1 ed eth1(LAN)=172.16.X.XXY.
Ho messo il client in ufficio perche' tutto il traffico in uscita e' concesso, sul router casa e sullo sme server ho forwardato la porta 1194 (sia interna che esterna poiche' questo modem/router non permette l'apertura di un range di porte).
configurazione server:
========================================================
# at http://www.contribs.org/development/
#
# Copyright (C) 1999-2006 Mitel Networks Corporation
#------------------------------------------------------------
# Virtual Interface Configuration
port    1194
proto udp
dev tap0

# Drop down privileges
user nobody
group nobody
chroot /etc/openvpn/bridge

persist-key
persist-tun

# Certificates config
dh pub/dh.pem
ca pub/cacert.pem
cert pub/cert.pem
key priv/key.pem

tls-server
tls-auth priv/takey.pem 0

# CRL file for certificates verification
crl-verify pub/cacrl.pem

# Plugin for user-auth


# Server mode
server-bridge   172.16.X.XXX    255.255.255.0   172.16.5.155    172.16.5.160

# Options
keepalive 10 120
push "dhcp-option DOMAIN miodominio.com"
push "dhcp-option DNS 172.16.X.XXX"
push "dhcp-option WINS 172.16.X.XXX"

push "route 192.168.1.0 255.255.255.0 172.16.X.XXX"
mtu-test

reneg-sec 3600
nice 5

# Management interface
management localhost 11194 management-pass.txt

# Clients options
client-config-dir ccd
max-clients 20
comp-lzo

# Log
status-version 2
status bridge-status.txt
verb 3
===================================================
Configurazione client:

# Specify that we are a client and that we
# will be pulling certain config file directives
# from the server.
client

# Use the same setting as you are using on
# the server.
# On most systems, the VPN will not function
# unless you partially or fully disable
# the firewall for the TUN/TAP interface.
dev tap
;dev tun

# Windows needs the TAP-Win32 adapter name
# from the Network Connections panel
# if you have more than one.  On XP SP2,
# you may need to disable the firewall
# for the TAP adapter.
dev-node "OpenVPN"

# Are we connecting to a TCP or
# UDP server?  Use the same setting as
# on the server.
;proto tcp
proto udp

# The hostname/IP and port of the server.
# You can have multiple remote entries
# to load balance between the servers.
remote miodominio.com 1194

# Choose a random host from the remote
# list for load-balancing.  Otherwise
# try hosts in the order specified.
;remote-random

# Keep trying indefinitely to resolve the
# host name of the OpenVPN server.  Very useful
# on machines which are not permanently connected
# to the internet such as laptops.
resolv-retry infinite

# Most clients don't need to bind to
# a specific local port number.
nobind

# Downgrade privileges after initialization (non-Windows only)
;user nobody
;group nobody

# Try to preserve some state across restarts.
persist-key
persist-tun

# If you are connecting through an
# HTTP proxy to reach the actual OpenVPN
# server, put the proxy server/IP and
# port number here.  See the man page
# if your proxy server requires
# authentication.
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]

# Wireless networks often produce a lot
# of duplicate packets.  Set this flag
# to silence duplicate packet warnings.
;mute-replay-warnings

# SSL/TLS parms.
# See the server config file for more
# description.  It's best to use
# a separate .crt/.key file pair
# for each client.  A single ca
# file can be used for all clients.
ca ca.crt
cert clientmicuff.crt
key clientmicuff.key

# Verify server certificate by checking
# that the certicate has the nsCertType
# field set to "server".  This is an
# important precaution to protect against
# a potential attack discussed here:
#  http://openvpn.net/howto.html#mitm
#
# To use this feature, you will need to generate
# your server certificates with the nsCertType
# field set to "server".  The build-key-server
# script in the easy-rsa folder will do this.
;ns-cert-type server

# If a tls-auth key is used on the server
# then every client must also have the key.
tls-auth key.txt 1

# Select a cryptographic cipher.
# If the cipher option is used on the server
# then you must also specify it here.
;cipher x

# Enable compression on the VPN link.
# Don't enable this unless it is also
# enabled in the server config file.
comp-lzo

# Set log file verbosity.
verb 3

# Silence repeating messages
;mute 20
---------------------------------------------------------------------

ed ecco l'errorone:
TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
che significa tutto e niente...
premetto che la connettività lato client e server esiste ed e' perfettamente funzionante lato client traffico in uscita ok lato server forward richiesti effettuati.
Premetto che ho testato la connessione vpn client xp/vpn server sme virtuale utilizzanod lato cliente l'ip interno della lan del server ed il tunnel si e' instaurato correttamente.
Avete qualche prova da suggerirmi?
Oppure un alternativa per lavorare sullo sme di casa dall'uff
Grazie in anticipo a tutti!
Michele

ps:
il forward sul router va' fatto porta esterna 1194 su porta interna 1194 ?
o il client puo' tentare di entrare con una porta diversa dall 1194?
(    dubbissimo da newbissimo

[Stefano]

Ciao tutti!

salve

Non riesco a concludere positivamente una connessione in vpn tra il mio nuovo server vpn (il 7.4. sul quale e' installato il contrib OpenVPn ) ed il mio pc in ufficio sul quale ho installato OpenVPn per win xp.
Scenario:
Pc Lan Ufficio-openvpn client (172.16.X.XXX) --> FW --> Router Uff --> internet <-- Router casa (alice gate 2 plus wifi) <-- sme server (in modalita' srv+gw dove eth0(WAN)=192.168.1.2 gw=192.168.1.1 ed eth1(LAN)=172.16.X.XXY.
Ho messo il client in ufficio perche' tutto il traffico in uscita e' concesso, sul router casa e sullo sme server ho forwardato la porta 1194 (sia interna che esterna poiche' questo modem/router non permette l'apertura di un range di porte).

cioè hai forwardato la porta 1194 sul router verso il tuo SME? tcp o udp?

lato server forward richiesti effettuati.

definisci

Avete qualche prova da suggerirmi?

come hai installato openvpn?
posta il risultato di

Code: [Select]

config show openvpn


Oppure un alternativa per lavorare sullo sme di casa dall'uff

dipendentemente da quello che vuoi/devi fare, ci sono altre soluzioni..

[MicSme]

allora in sequenza:
- ho fatto il forward della porta 1194 udp esterna sulla 1194 interna del modem   alice  verso l'ip dello sme server (wan)

>lato server forward richiesti effettuati...
-dal server manager di sme  ho fatto il forwarding della porta udp 1194
  (ma forse questa e' una cavolata)

>come hai installato openvpn?...
  ho installato il contrib Openvpn-bridge seguendo l'how-to ufficiale e
>config show openvpn
  non produce nessun output
  la riga ritorna sul prompt!!!
>dipendentemente da quello che vuoi/devi fare, ci sono altre soluzioni..
  beh il mio desideri sarebbe amministrare il mio server casalingo anche quando sono in uffcio ovvero accedere al server-manager, il tutto nella maniera piu' sicura possibile.
Ciao
Michele

 

[Fumetto]

...
>lato server forward richiesti effettuati...
-dal server manager di sme  ho fatto il forwarding della porta udp 1194
  (ma forse questa e' una cavolata)
...

forwardata dove? A chi? 

[MicSme]

infatti si tratta di una cavolata ho fatto il forward della porta esterna=tutte sulla porta interna 1194 udp dello sme server
confused
credo non serva ad un tubo in quanto il servizio si eroga dallo sme e non da altre macchine...
 

[Fumetto]

Esatto!!!
Visto la topologia di rete gira tutte le porte dal router allo sme, gestisci il forwading eventuale solo da sme, ti elimini complicazioni...

[Stefano]

  beh il mio desideri sarebbe amministrare il mio server casalingo anche quando sono in uffcio ovvero accedere al server-manager, il tutto nella maniera piu' sicura possibile.

allora ssh è li apposta

hint: ssh tunnel putty -> google

p.s. per cortesia usa il quoting standard del forum, che leggerti su palmari e simili è difficile, grazie

[MicSme]

Innanzitutto grazie per i consigli!
 Ho un aggiornamento da fare sulla vpn.
Vpn lato server(sme): nel menu openvpn relativamente ai clients connessi mi segnala che il c'e' un client conesso con ip pubblico del router lato client:porta 53XXX ed ip privato vpn 172.16.5.XXX che corrisponde al tap-win adapter del client! Anche il  log lato server conferma la conessione senza warning.
Tutto a posto? niente da fare ..arrivo in uffcio per verificare se sta' benedetta vpn e 'andata su e mi ritrovo con un log del genere:
------
Fri Oct 09 15:25:52 2009 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2006
Fri Oct 09 15:25:52 2009 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Fri Oct 09 15:25:52 2009 Control Channel Authentication: using 'key.txt' as a OpenVPN static key file
Fri Oct 09 15:25:52 2009 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Oct 09 15:25:52 2009 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Oct 09 15:25:52 2009 LZO compression initialized
Fri Oct 09 15:25:52 2009 Control Channel MTU parms [ L:1574 D:166 EF:66 EB:0 ET:0 EL:0 ]
Fri Oct 09 15:25:52 2009 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Fri Oct 09 15:25:52 2009 Local Options hash (VER=V4): '13a273ba'
Fri Oct 09 15:25:52 2009 Expected Remote Options hash (VER=V4): '360696c5'
Fri Oct 09 15:25:52 2009 UDPv4 link local: [undef]
Fri Oct 09 15:25:52 2009 UDPv4 link remote: 79.54.45.206:1194
Fri Oct 09 15:25:52 2009 TLS: Initial packet from 79.54.45.206:1194, sid=d474b864 356daf9e
Fri Oct 09 15:25:52 2009 VERIFY OK: depth=1, /C=IT/ST=Vr/L=Verona/O=michomelinux/OU=openvpnca/CN=lnxgatedca/emailAddress=admin@miodominio.com
Fri Oct 09 15:25:52 2009 VERIFY OK: nsCertType=SERVER
Fri Oct 09 15:25:52 2009 VERIFY OK: depth=0, /C=IT/ST=Vr/O=michomelinux/OU=michonelinuxks/CN=lnxgated/emailAddress=admin@miodominio.com
Fri Oct 09 15:26:52 2009 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
--------
sempre lo stesso stramaledetto errore ..possibile??
ripero la config:
lato server :
router telecom ip 192.168.1.1
sme server wan
ip 192.168.2.1
netmask 255.255.255.0
gateway 192.168.1.1
sme server lato lan
ip 172.16.X.XXX
netmask 255.255.255.0
lato client:
router telecom
ip XX.XX.XX.XX
fw -
miopc win xp
ip 172.16.5.XXY
netmask 255.255.255.0
Avete qualche test da consigliarmi?

In merito poi al consiglio di usare il putty con ssh non mi riesce di capire come
fare a metterlo in pratica ..
Ho provato con il putty a mettere l'ip pubblico del router a cui e' collegato lo sme
ma niente...pur avendo aperto la 22 sullo stesso la richiesta cade nel vuoto.
(anche perche' poi lo sme e' a valle dello stesso router quindi come ci arrivo?
Chissa se prima poi mi riesce di fare un po' meno fatica!!

[Fumetto]

...
In merito poi al consiglio di usare il putty con ssh non mi riesce di capire come
fare a metterlo in pratica ..
Ho provato con il putty a mettere l'ip pubblico del router a cui e' collegato lo sme
ma niente...pur avendo aperto la 22 sullo stesso la richiesta cade nel vuoto.
(anche perche' poi lo sme e' a valle dello stesso router quindi come ci arrivo?
Chissa se prima poi mi riesce di fare un po' meno fatica!!

Putty ti permette di raggiungere la riga di comando del server come se ti trovassi davanti a monito e tastiera stessa del PC.
Per effettuare l'accesso devi prima di tutto abilitare tale accesso dal server manager di SME... in questa pagina trovi le istruzioni... le sezioni Remote Management e SSH Settings sono quelle che ti servono per abilitare tale accesso.
Se tutto è fatto a dovere sarai in grado di accedere alla riga di comando anche da fuori la tua rete LAN anche se io propenderei per un accesso in VPN (a limite usando quella pptp già inclusa in SME standard) e un successivo accesso SSH...

[Stefano]

io propenderei per un accesso in VPN (a limite usando quella pptp già inclusa in SME standard) e un successivo accesso SSH...

mi permetto di dissentire.. ssh over pptp è assurdo e, comunque, ssh è molto più sicuro di pptp.. io ho di fatto eliminato le vpn pptp in favore di tunnel ssh

a meno che non si voglia accedere ad una condivisione di rete, con un tunnel ssh si fa tutto.. eventualmente fosse necessario lavorare sui file, consiglio filezilla in modalità sftp

my 2c

[Fumetto]

La mia considerazione era nata dal fatto che la porta usata da SSH è sempre più controllata da chi tenta accessi non autorizzati rispetto alla porta usata da pptp... comunque anche il tuo ragionamento non è sbagliato... sono diversi modi di vedere la situazione...

[Stefano]

La mia considerazione era nata dal fatto che la porta usata da SSH è sempre più controllata da chi tenta accessi non autorizzati rispetto alla porta usata da pptp...

questo è decisamente vero, infatti la prima cosa da fare è quella di spostare ssh su altra porta "alta" ( > 1024): questo di fatto taglia il 99.99% dei tentativi di accesso da parte di script kiddies e macchine forate.

poi si può disabilitare l'autenticazione via password in favore delle chiavi e con questo hai decisamente risolto il problema

giusto per parlare della differenza di sicurezza, la pptp ha una crittazione a 128 bit, l'ssh di default mi pare sia a 1024, openvpn può usare chiavi a 2048..

che poi, comunque, sia sufficiente una dose "normale" di sale in zucca e la giusta paranoia non lo discuto.. e rispetto quindi anche le scelte di chi fa diversamente.. basta che non si arrivi all'eccesso (visto) di mettere la rete 0.0.0.0/0 tra quelle amiche (*)

(*) compito per casa: pensare alle conseguenze sulla base della propria conoscenza degli internals di SME

[MicSme]

ciao rieccomi..
momentaneamnete ho abbandonato openvpn e ho tentato l'accesso con l'ssh + pwd (la cosa + semplice in teoria).
su sme da server manager ho abilitato ssh per l'accesso dall'intera internet,
sul router ho forwardato tutte le porte sull'ip dello sme,
poi stamattina sono arrivato in ufficio e con il putty ho tentato l'accesso.
bene cioe' male il putty non riesce a connettersi
ma cosa cavolo sto ancora cannando secondo voi?!
michele

[MicSme]

Scusate chiudo il post con la risposta all'inconveniente della mancata connessione, il cavo ethernet era staccato sul router  ora tutto funziona...
conseguenze dovute a figli troppo vivaci
Grazie ancora a tutti
Michele

[Stefano]

conseguenze dovute a figli troppo vivaci

che insieme alle donne delle pulizie sono la prima causa di problemi ne''IT