Senhores, Apenas para constar no histórico e ajudar outras pessoas com dúvida semelhante:
O ambiente possui um servidor OpenVPN com FreeBSD 9.1 e chaves geradas easy-rsa SSL/TLS. O problema foi na hora da importação das chaves, que não foi feita de maneira correta. Usando a aba Cert Manager, fiz a importação do CA, CSR e KEY já existente. Adicionei os parâmetros de rota e demais configurações triviais e a conexão fechou via túnel. Agradeço ao Heitor Lessa pela atenção dispensada. Um abraço, Fabio 2013/4/3 Heitor Lessa <[email protected]> > Boa tarde Fabio, > Agora entendi perfeitamente. > Podes me enviar os logs e a configuracao do server OpenVPN ( tu podes > usar pastebin se quiser ), e nesse meio tempo vou instalar um pfSense pra > usar como OpenVPN Client e tento reproduzir o erro em um OpenVPN server > antigo que tenho. > > > From: [email protected] > > Date: Wed, 3 Apr 2013 09:09:34 -0300 > > To: [email protected] > > Subject: Re: [Pfsense-pt] Duvida OpenVPN > > > > Heitor, bom dia. > > > > Talvez eu tenha me expressado mal. > > > > Há um servidor Openvpn central rodando em um freebsd que interliga todas > as > > filiais deste meu cliente via tuneis ponto a ponto (todas as bordas tem > > servidores com openvpn). > > > > srvVPN (FreeBSD) <--------- tunnel 10.44.44------------ SRVFILIAL > (Pfsense) > > > > Trocamos o Freebsd de uma filial por pfSense e eu queria aproveitar as > > configurações desta vpn atual já fechada (configuração que passei > > anteriormente) e utilizá-la no pfSense, sem ter que gerar novas chaves e > > certificados. > > > > O problema que encontro é que ele não aceita nenhuma das chaves que > tenho. > > > > Resolvi utilizar o que já tinha implementado antes (OpenVPN) e > funcionava, > > facilitando a vida da equipe de suporte interno. Constantemente eles > > precisam alterar rotas e afins e fazer via linha de comando não é muito > > fácil para eles. > > Você falou em IPSec. Ele possui um Watchguard na matriz. Porém pela > > urgência que ele tem em resolver os problemas de balanceamento de links, > > pois trabalha com voz e os links que o atendem são de qualidade mediana, > > tive que manter a OpenVPN. > > > > Caso eu ainda não tenha clarificado o problema, estou à disposição para > > fornecer maiores informações. > > > > Um abraço e obrigado, > > > > > > Fabio Fraga Machado > > Davila Soluções em Ti > > 48 9137-9700 / 48 9615-8638 > > 48 3024-9702 > > www.davila.inf.br > > > > > > > > > > 2013/4/3 Heitor Lessa <[email protected]> > > > > > Olá Fabio,, > > > Fiquei com uma dúvida quando disse Site-to-Site mas na config que você > > > postou está mais parecendo Road Warrior. > > > Antes de fazer algumas perguntas, gostaria de lhe aconselhar a usar > IPSec > > > para Site-to-Site (racoon no pfSense) ao invés do OpenVPN. Utilizo em > > > várias situações e o IPSec sempre é uma ótima opção pra esse tipo, já > pra > > > Road Warrior é um pouco complicado e prefiro realmente VPN SSLs. > > > Enfim... Se o cliente que está conectando ao servidor utilizar PSK > (pre > > > shared key) você precisa especificar pra utilizar. Se for Windows > client, > > > tu precisa ter a linha abaixo no arquivo.ovpn: > > > auth-user-pass > > > Com esta opção, o OpenVPN vai mostrar um prompt pra que tu digite o > > > usuário e senha, caso contrário (Linux por exemplo) tu pode especificar > > > qual arquivo ele vai buscar as credenciais (PSK). > > > No caso de Linux client: > > > auth-user-pass /etc/openvpn/pass.txt > > > Conteudo do pass.txt: > > > usuario_openvpnsenha_usuario_openvpn > > > Também fiquei curioso da linha "ifconfig", caso queira deixar um IP > fixo > > > no cliente - procure sobre o CCD do OpenVPN ;) > > > Podes postar o log de erro do cliente e server antes que eu passe mais > > > informações plz? > > > Valeu! > > > > > > > From: [email protected] > > > > Date: Wed, 3 Apr 2013 00:32:02 -0300 > > > > To: [email protected] > > > > Subject: [Pfsense-pt] Duvida OpenVPN > > > > > > > > Caros colegas. > > > > > > > > Poderiam me ajudar com uma questão relacionada ao OpenVPN no pfSense? > > > > > > > > Hoje tentei realizar a troca de um servidor com FreeBSD 9.1 rodando > > > squid + > > > > openvpn + balanceamento de 2 links com ipfw (não funcional) por um > > > pfSense. > > > > > > > > Tudo correu bem, consegui subir o squid, balanceamento e failover e > > > regras > > > > de firewall, exceto o Openvpn. > > > > > > > > Ele funciona como integração site-to-site via TUN e foi configurado > por > > > > outra pessoa. > > > > Tentei fazer a configuração com shared key, utilizando a importação > do > > > > CA.crt no cert manager porém o . Isto foi feito com sucesso, porém, o > > > > pfsense insiste em me dizer que a shared key que estou utilizando > não é > > > > válida quando vou configurar o cliente. > > > > > > > > Pode ser uma bobagem minha, mas isto tudo aliado ao cansaço não me > deixou > > > > terminar o serviço hoje. > > > > > > > > Segue a configuração atual no FreeBSD para que analisem e me ajudem > se > > > > puderem. > > > > > > > > client > > > > ifconfig 10.44.44.3 10.44.44.1 > > > > dev tun > > > > proto udp > > > > #remote w.x.y.z 1194 > > > > remote a.b.c.d 1194 > > > > resolv-retry infinite > > > > nobind > > > > tls-client > > > > persist-key > > > > persist-tun > > > > ca ca.crt > > > > cert palhoca.crt > > > > key palhoca.key > > > > log openvpn.log > > > > log-append openvpn.log > > > > comp-lzo > > > > verb 6 > > > > user nobody > > > > group nobody > > > > > > > > Enfim, qual destas chaves da configuração original devo importar e > > > > principalmente, como devo importá-la de maneira correta quando uso a > guia > > > > de configuração de cliente openvpn? > > > > > > > > Um abraço e obrigado. > > > > > > > > Fabio Fraga Machado > > > > _______________________________________________ > > > > Pfsense-pt mailing list > > > > [email protected] > > > > http://lists.pfsense.org/mailman/listinfo/pfsense-pt > > > > > > _______________________________________________ > > > Pfsense-pt mailing list > > > [email protected] > > > http://lists.pfsense.org/mailman/listinfo/pfsense-pt > > > > > _______________________________________________ > > Pfsense-pt mailing list > > [email protected] > > http://lists.pfsense.org/mailman/listinfo/pfsense-pt > > _______________________________________________ > Pfsense-pt mailing list > [email protected] > http://lists.pfsense.org/mailman/listinfo/pfsense-pt > _______________________________________________ Pfsense-pt mailing list [email protected] http://lists.pfsense.org/mailman/listinfo/pfsense-pt
