Obrigado Srs >---- Original Message ---- >From: Fabio Fraga <[email protected]> >To: "Lista em Português sobre pfSense" <[email protected]> >Sent: Ter, Abr 9, 2013, 11:45 AM >Subject: Re: [Pfsense-pt] Duvida OpenVPN > >Senhores, > >Apenas para constar no histórico e ajudar outras pessoas com dúvida >semelhante: > >O ambiente possui um servidor OpenVPN com FreeBSD 9.1 e chaves geradas >easy-rsa SSL/TLS. > >O problema foi na hora da importação das chaves, que não foi feita de >maneira correta. > >Usando a aba Cert Manager, fiz a importação do CA, CSR e KEY já existente. > >Adicionei os parâmetros de rota e demais configurações triviais e a conexão >fechou via túnel. > >Agradeço ao Heitor Lessa pela atenção dispensada. > >Um abraço, > >Fabio > > >2013/4/3 Heitor Lessa <[email protected]> > >> Boa tarde Fabio, >> Agora entendi perfeitamente. >> Podes me enviar os logs e a configuracao do server OpenVPN ( tu podes >> usar pastebin se quiser ), e nesse meio tempo vou instalar um pfSense pra >> usar como OpenVPN Client e tento reproduzir o erro em um OpenVPN server >> antigo que tenho. >> >> > From: [email protected] >> > Date: Wed, 3 Apr 2013 09:09:34 -0300 >> > To: [email protected] >> > Subject: Re: [Pfsense-pt] Duvida OpenVPN >> > >> > Heitor, bom dia. >> > >> > Talvez eu tenha me expressado mal. >> > >> > Há um servidor Openvpn central rodando em um freebsd que interliga todas >> as >> > filiais deste meu cliente via tuneis ponto a ponto (todas as bordas tem >> > servidores com openvpn). >> > >> > srvVPN (FreeBSD) <--------- tunnel 10.44.44------------ SRVFILIAL >> (Pfsense) >> > >> > Trocamos o Freebsd de uma filial por pfSense e eu queria aproveitar as >> > configurações desta vpn atual já fechada (configuração que passei >> > anteriormente) e utilizá-la no pfSense, sem ter que gerar novas chaves e >> > certificados. >> > >> > O problema que encontro é que ele não aceita nenhuma das chaves que >> tenho. >> > >> > Resolvi utilizar o que já tinha implementado antes (OpenVPN) e >> funcionava, >> > facilitando a vida da equipe de suporte interno. Constantemente eles >> > precisam alterar rotas e afins e fazer via linha de comando não é muito >> > fácil para eles. >> > Você falou em IPSec. Ele possui um Watchguard na matriz. Porém pela >> > urgência que ele tem em resolver os problemas de balanceamento de links, >> > pois trabalha com voz e os links que o atendem são de qualidade mediana, >> > tive que manter a OpenVPN. >> > >> > Caso eu ainda não tenha clarificado o problema, estou à disposição para >> > fornecer maiores informações. >> > >> > Um abraço e obrigado, >> > >> > >> > Fabio Fraga Machado >> > Davila Soluções em Ti >> > 48 9137-9700 / 48 9615-8638 >> > 48 3024-9702 >> > www.davila.inf.br >> > >> > >> > >> > >> > 2013/4/3 Heitor Lessa <[email protected]> >> > >> > > Olá Fabio,, >> > > Fiquei com uma dúvida quando disse Site-to-Site mas na config que você >> > > postou está mais parecendo Road Warrior. >> > > Antes de fazer algumas perguntas, gostaria de lhe aconselhar a usar >> IPSec >> > > para Site-to-Site (racoon no pfSense) ao invés do OpenVPN. Utilizo em >> > > várias situações e o IPSec sempre é uma ótima opção pra esse tipo, já >> pra >> > > Road Warrior é um pouco complicado e prefiro realmente VPN SSLs. >> > > Enfim... Se o cliente que está conectando ao servidor utilizar PSK >> (pre >> > > shared key) você precisa especificar pra utilizar. Se for Windows >> client, >> > > tu precisa ter a linha abaixo no arquivo.ovpn: >> > > auth-user-pass >> > > Com esta opção, o OpenVPN vai mostrar um prompt pra que tu digite o >> > > usuário e senha, caso contrário (Linux por exemplo) tu pode especificar >> > > qual arquivo ele vai buscar as credenciais (PSK). >> > > No caso de Linux client: >> > > auth-user-pass /etc/openvpn/pass.txt >> > > Conteudo do pass.txt: >> > > usuario_openvpnsenha_usuario_openvpn >> > > Também fiquei curioso da linha "ifconfig", caso queira deixar um IP >> fixo >> > > no cliente - procure sobre o CCD do OpenVPN ;) >> > > Podes postar o log de erro do cliente e server antes que eu passe mais >> > > informações plz? >> > > Valeu! >> > > >> > > > From: [email protected] >> > > > Date: Wed, 3 Apr 2013 00:32:02 -0300 >> > > > To: [email protected] >> > > > Subject: [Pfsense-pt] Duvida OpenVPN >> > > > >> > > > Caros colegas. >> > > > >> > > > Poderiam me ajudar com uma questão relacionada ao OpenVPN no pfSense? >> > > > >> > > > Hoje tentei realizar a troca de um servidor com FreeBSD 9.1 rodando >> > > squid + >> > > > openvpn + balanceamento de 2 links com ipfw (não funcional) por um >> > > pfSense. >> > > > >> > > > Tudo correu bem, consegui subir o squid, balanceamento e failover e >> > > regras >> > > > de firewall, exceto o Openvpn. >> > > > >> > > > Ele funciona como integração site-to-site via TUN e foi configurado >> por >> > > > outra pessoa. >> > > > Tentei fazer a configuração com shared key, utilizando a importação >> do >> > > > CA.crt no cert manager porém o . Isto foi feito com sucesso, porém, o >> > > > pfsense insiste em me dizer que a shared key que estou utilizando >> não é >> > > > válida quando vou configurar o cliente. >> > > > >> > > > Pode ser uma bobagem minha, mas isto tudo aliado ao cansaço não me >> deixou >> > > > terminar o serviço hoje. >> > > > >> > > > Segue a configuração atual no FreeBSD para que analisem e me ajudem >> se >> > > > puderem. >> > > > >> > > > client >> > > > ifconfig 10.44.44.3 10.44.44.1 >> > > > dev tun >> > > > proto udp >> > > > #remote w.x.y.z 1194 >> > > > remote a.b.c.d 1194 >> > > > resolv-retry infinite >> > > > nobind >> > > > tls-client >> > > > persist-key >> > > > persist-tun >> > > > ca ca.crt >> > > > cert palhoca.crt >> > > > key palhoca.key >> > > > log openvpn.log >> > > > log-append openvpn.log >> > > > comp-lzo >> > > > verb 6 >> > > > user nobody >> > > > group nobody >> > > > >> > > > Enfim, qual destas chaves da configuração original devo importar e >> > > > principalmente, como devo importá-la de maneira correta quando uso a >> guia >> > > > de configuração de cliente openvpn? >> > > > >> > > > Um abraço e obrigado. >> > > > >> > > > Fabio Fraga Machado >> > > > _______________________________________________ >> > > > Pfsense-pt mailing list >> > > > [email protected] >> > > > http://lists.pfsense.org/mailman/listinfo/pfsense-pt >> > > >> > > _______________________________________________ >> > > Pfsense-pt mailing list >> > > [email protected] >> > > http://lists.pfsense.org/mailman/listinfo/pfsense-pt >> > > >> > _______________________________________________ >> > Pfsense-pt mailing list >> > [email protected] >> > http://lists.pfsense.org/mailman/listinfo/pfsense-pt >> >> _______________________________________________ >> Pfsense-pt mailing list >> [email protected] >> http://lists.pfsense.org/mailman/listinfo/pfsense-pt >> >_______________________________________________ >Pfsense-pt mailing list >[email protected] >http://lists.pfsense.org/mailman/listinfo/pfsense-pt
_______________________________________________ Pfsense-pt mailing list [email protected] http://lists.pfsense.org/mailman/listinfo/pfsense-pt
