El Lunes, 19 de Diciembre de 2005 13:21, Alfonso Pinto Sampedro escribió: || On Saturday 17 December 2005 20:07, Pablo Braulio wrote: || > El Sábado, 17 de Diciembre de 2005 14:29, Ricardo Frydman Eureka! escribió: || > > Gracias al compañero Iñaki y a pedido del inmenso publico, se || > > encuentra disponible el OpenVPN Howto en || > > http://eureka-linux.com.ar/docs/openvpn.html || > > || > > Felicitaciones (y gracias!) a Iñaki y a disfrutarlo! || > || > Bueno pues siguiendo las indicaciones del howto, no consigo hacerlo || > funcionar. || > || > Intento conectar la red de mi casa con la del despacho, instalando || > openvpn en dos equipos con debian y kernel 2.6.12 y 2.6.14. Tengo puesto || > como modulo la opción del kernel TUN/TAP (en ambos): || > || > # ls /dev/net || > tun || > || > Siguiendo las indicaciones del how-to, al hacer /etc/init.d/openvpn || > start funcionar, pero en mi caso no es así. || > || > # /etc/init.d/openvpn start || > Starting virtual private network daemon: tunel(FAILED). || > || > Esto me ocurre en los dos equipos que hacen de extremos del tunel. || > || > En el despacho el equipo que tiene openvpn es el que hace de firewall. || > No hay router, está conectado a un modem cable de ono. Tiene puesta la || > regla en iptables: || > iptables -A INPUT -i tun -p UDP --dport 1194 -m state --state || > NEW,ESTABLISHED,RELATED -j ACCEPT || || Esto no es correcto, tienes que aceptar lo que venga del puerto 1194 en la || interface real (por ejemplo eth0). Todo lo que venga de ese puerto se pasa || a la interface virtual tunX, asi que dependiendo de tu firewall puede ser || que tengas que añadir reglas para esa interface.
No, esto no es cierto, aunque el tráfico de TUN vaya evidentemente sobre la única interfaz real de red que existe (eth0) para Iptables son dos interfaces totalmente independientes. No necesitas aceptar el tráfico al puerto 1194 en eth0, de hecho yo no lo admito y me funciona. Tan sólo debes permitir el INPUT, OUTPUT y FORWARD (tal vez -i y -o) por tun0. Otra cosa es que hablemos de un firewall por hardware, que sólo tiene un interfaz y en el que evidentemente sí que hay que abrir y redirigir el puerto 1194 al ordenador que está haciendo la VPN mediante OpenVPN. || Lo de ESTABLISHED Y RELATED no te va a funcionar, recuerda que el || protocolo UDP no está orientado a conexión. Tendras que definir reglas || para lo que entra y para lo que sale. No es cierto, ESTABLISHED Y RELATED no es sólo para TCP, sirve para UDP, ICMP e incluso para protocolos "desconocidos". Recomiendo encarecidamente la lectura de este manual de Iptables en castellano, que es el mejor que he visto nunca y con el que se aprende mucho. Lo pasé a PDF para imprimir (mi tiempo me llevó), si alguien lo quiere en PDF que me lo pida. || > El otro equipo es mi portátil que está detrás de un router. No se si || > debería abrir el puerto en el router o redireccionarlo a mi portatil, || > pues lo único que quiero es crear un tunel de mi portatil a la red del || > despacho. No a toda la red de mi casa. || > || > Según creo debería tener creada una interfaz (tun), que se mostrase al || > hacer ifconfig, pero esta no es creada. No se como hacerlo. || || Puede ser problema de que udev no te crea el dispositivo /dev/tunX. A mi || me ocurría eso y haciendo un dpkg-recofigure openvpn te pregunta si || quieres que lo cree, le dices que si, pruebas y nos cuentas. || || Un saludo. || || > ¿Sabéis que puede estar fallando?. || > Saludos. || > Pablo || > ------------ || > Jabber: bruli(at)myjabber(to)net -- y hasta aquí puedo leer...
