Home › Comunidade Brasileira Endian Firewall › Endian Firewall › Endian Firewall – Suporte › VPN, agora vai…
Marcado: vpn
- Este tópico contém 24 respostas, 5 vozes e foi atualizado pela última vez 11 anos, 4 meses atrás por fsf484.
-
AutorPosts
-
-
fevereiro 21, 2010 às 7:13 pm #72Thiago SalesParticipante
Olá pessoal, bem, sempre contando com a ajuda do nosso amigo Eduardo, o meu Endian atual versão 2.3 tá quase redondinho, digo quase pelo fato que ainda não coloquei a VPN para funcionar. Ano passado eu tinha a VPN funcionando, até quando teve aquele “apagão” e depois disso parou de funcionar, pensei que fosse algum arquivo corrompido e tal, pelo fato de que o nobreak dele desligou por falta de bateria.
Como eu disse minha VPN não está funcionando, vou postar aqui a configuração e espero que alguém dê um help, pois preciso colocar esse “trem” para funcionar, pois facilitará minha vida.
Vamos lá:
VPN:
OpenVPN server enabled: HABILITADO
Dynamic IP pool start address: 192.168.0.50
Dynamic IP pool end address: 192.168.0.254
ACCOUNTS
>> Change account thiagosales
Username: thiagosales
Password: minhasenha
Verify password: minhasenha
Obs.: e mais nada habilitado nessa tela
ADVANCED
>> Advanced settings
Port: porta que eu escolhi
Protocol: UDP
Block DHCP responses coming from tunnel: NÃO HABILITADO
Don’t block traffic between clients: NÃO HABILITADO
>> Global push options
Push these networks: NÃO HABILITADO
Push these nameservers: NÃO HABILITADO
Push domain: NÃO HABILITADO
>> Authentication settings
PSK (username/password: HABILITADO
Obs.: Minha conexão de internet é NET 12 megas, e o cliente OPENVPN está tudo configurado da forma como funcionava antes.
Wireguard_webadmin
Sistema gratuito (Open Source) para gestão de VPN's WireGuard com uma Web interface intuitiva e fácil de usar.
Principais funcionalidades:
- Sistema de Firewall completo e flexível.
- Encaminhamento de portas
- Suporte a multi usuário com níveis diferentes de acesso
- Múltiplas instâncias do Wireguard
- Crypto key routing para configuração de VPN site-to-site
O projeto é Open Source, fácil de instalar e está disponível em wireguard_webadmin
-
fevereiro 21, 2010 às 7:19 pm #3507Thiago SalesParticipante
Sobre a liberação da porta de uso da VPN, eu devo fazê-lo em:
1 – FIREWALL >> Outgoing traffic;
ou
2 – FIREWALL >> System Access
Devo ainda habilitar FIREWALL >> VPN traffic (e devo habilitar essa opção? Salvo engano no Endian 2.2 não tinha isso)?
-
fevereiro 22, 2010 às 2:34 pm #3508centenoParticipante
Thiago,
O que tem do lado do teu cliente ? Outro Endian ou outra coisa ( Cliente WIndows, etc.)
Já atualizasse a chave nos 2 lados ?
O que diz nos LOGs ?
[]´s
-
fevereiro 22, 2010 às 3:00 pm #3509Thiago SalesParticipante
Do outro lado tem cliente Windows, com cliente openVPN. Sim, quando instalei o endian versão 2.3 eu copiei as novas chaves. Nessa nova versão eu troquei a porta também, anteriormente eu usei a padrão, vai que a NET tivesse bloqueado essa porta sei lá, mas não adiantou..
Eu tenho que liberar a porta que vou utilizar certo? Faço em:
1 – FIREWALL >> Outgoing traffic;
ou
2 – FIREWALL >> System Access
Devo ainda habilitar FIREWALL >> VPN traffic (e devo habilitar essa opção? Salvo engano no Endian 2.2 não tinha isso)?
No LOGs do Endian VPN não aparece nada, pois não há tentativa de conexão.
-
fevereiro 22, 2010 às 7:03 pm #3510centenoParticipante
Thiago,
Se puderes, coloca aqui como tá o arquivo de configuração no teu cliente. Por acaso trocasse a porta que tem nele ?
Sobre o Firewall,
Talvez tenhas que redirecionar a porta ( Portfoward )que tirasse do padrão.
Nos LOGS TEM que aparecer algo. Nem que seja a tentativa batendo no teu Firewall. Habilita prá mostrar pacotes negados e marca todo tipo de LOG.
Sem teus arquivos de configuração, fica complicado !
Quase esqueci….
É bom ativar o Firewall para VPN. Evita muita porcaria entre os lados.
[]´s
-
fevereiro 22, 2010 às 7:05 pm #3511Claudio SoaresParticipante
Ola Thiago No caso do VPN tem que liberar em FIREWALL >> System Access.
Boa sorte!
-
fevereiro 22, 2010 às 7:11 pm #3512centenoParticipante
Claudio…..
Eu nunca liberei não !
-
fevereiro 22, 2010 às 7:33 pm #3513Claudio SoaresParticipante
Nesse caso do VPN vai em firewall system access depois Adicionar Nova Regra de Acesso ao Sistema em Sourcer Address coloca o ip da maquina em Sourcer Interface selecione a interface verde ou vermelha aconselho a verde ou as duas em Protocolo coloque UDP e coloque a porta do vpn em politica deixe em allow e click em Adicionar Regra.
Isso vai ajudar!
OBS: verifique a porta VPN.
-
fevereiro 22, 2010 às 7:35 pm #3514Thiago SalesParticipante
Centeno, quando estava funcionando na versão 2.2 (antas do apagão aqui em SP), eu também não havia liberado porta alguma em nenhum lugar.
Segue o config do cliente Windows
###############################
# # Para conectar-se multi-cliente servidor. #
# # Esta configuração pode ser utilizado por
# # Clientes, no entanto cada cliente deve ter #
# # Cert seus próprios arquivos e chaves. #
# # Arquivo para que ele tenha um. Ovpn extensão #
############################### ###############################
# Especifique que somos um cliente e que
# Será puxar determinadas directivas config file
# A partir do servidor.
client
# Use a mesma configuração que você está usando em
# O servidor.
# Na maioria dos sistemas, a VPN não irá funcionar
# Total ou parcialmente, a menos que você desabilite
# O firewall para o TUN / TAP interface.
dev tap
# O Windows precisa da TAP-Win32 adaptador nome
# Painel de Conexões de rede
# Se você tiver mais de um. Em XP SP2,
# Pode ser necessário desativar o firewall
# TAP para o adaptador.
# dev-node MyTap
# Será que estamos conectando a um ou TCP
# UDP servidor? Use a mesma configuração como
# No servidor.
# proto tcp
proto udp
# O hostname / IP ea porta do servidor.
# Você pode ter múltiplas entradas remoto
# Para equilíbrio de carga entre os servidores.
remote meuendereco.no-ip.info 5001
# Choose a random host from the remote
# list for load-balancing. Otherwise
# try hosts in the order specified.
# remote-random
# Continue tentando indefinidamente para resolver o
# Nome de anfitrião do servidor openvpn. Muito útil
# Em máquinas que não estão permanentemente ligados
# À internet, como laptops.
resolv-retry infinite
# A maioria dos clientes não precisam de se ligar a
# Um local específico número de porta.
nobind
# Downgrade privilégios após a inicialização (não somente para Windows)
#user nobody
#group nobody
# Tentar preservar alguns estado em toda reiniciado.
persist-key
persist-tun
# Se você estiver se conectando através de um
# Proxy HTTP para alcançar o real openvpn
# Usuário, colocar o servidor proxy / IP e
# Número de porta aqui. Veja a página man
# Se o seu servidor proxy requer
# Autenticação.
#;http-proxy-retry # retry on connection failures
#;http-proxy [proxy server] [proxy port #]
# Wireless networks often produce a lot
# of duplicate packets. Set this flag
# to silence duplicate packet warnings.
#;mute-replay-warnings
# SSL/TLS parms.
# Veja o arquivo de configuração servidor mais
# Descrição. É melhor usar
# Um distinto .crt / .key arquivo par
# Para cada cliente. Um único ca
# Arquivo pode ser utilizado para todos os clientes.
ca efw-1264861831.pem
# Use Username Autenticação e Senha
auth-user-pass
# Verificar servidor certificado pelo controlo
# Que a certicate tem o nsCertType
# Campo definido como “servidor”. Esta é uma
# Importante precaução para proteger contra
# Um potencial ataque discutidos aqui:
# # http://openvpn.net/howto.html mitm
# Para utilizar este recurso, você precisará gerar
# Seu servidor de certificados com o nsCertType
# Campo definido como “servidor”. O build-key-server
# Script no easy-rsa pasta fará isso.
#ns-cert-type server
# Se um tls-auth-chave é utilizado no servidor
# Em seguida, cada cliente deve ter também a chave.
# tls-auth ta.key 1
#tls-auth Firewall.key
# Selecione uma cifra criptográfica.
# Se a cifra opção é usada no servidor
# Então você também deve especificá-lo aqui.
#;cipher x
# Habilitar compressão sobre a ligação VPN.
# Não permitir que esta é também a menos
# Ativada no servidor de ficheiro de configuração.
comp-lzo
# Set verbosidade arquivo de log.
verb 3
#Silêncio repetindo mensagens
;mute 20
-
fevereiro 22, 2010 às 7:37 pm #3515Thiago SalesParticipante
Fiz assim, configurei tudo novamente (do jeito que funcionava) e vou testar hoje lá da minha casa, aqui eu posto aqui o Logs do endian amanhã.
-
fevereiro 28, 2010 às 6:18 pm #3516Thiago SalesParticipante
Centeno, tirei a liberação da porta e no cliente da minha casa para aqui:
Sun Feb 28 15:14:55 2010 OpenVPN 2.1_rc20 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Oct 1 2009
Sun Feb 28 15:15:02 2010 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Sun Feb 28 15:15:02 2010 NOTE: OpenVPN 2.1 requires ‘–script-security 2’ or higher to call user-defined scripts or executables
Sun Feb 28 15:15:02 2010 LZO compression initialized
Sun Feb 28 15:15:02 2010 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sun Feb 28 15:15:03 2010 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Sun Feb 28 15:15:03 2010 Local Options hash (VER=V4): ‘d79ca330’
Sun Feb 28 15:15:03 2010 Expected Remote Options hash (VER=V4): ‘f7df56b8’
Sun Feb 28 15:15:03 2010 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sun Feb 28 15:15:03 2010 UDPv4 link local: [undef]
Sun Feb 28 15:15:03 2010 UDPv4 link remote: meuip:porta
-
fevereiro 28, 2010 às 6:19 pm #3517Thiago SalesParticipante
Estou passando na empresa ver se aparece algo no Logs do Endian, e vou adicionar a regra “…em firewall system access depois Adicionar Nova Regra de Acesso ao Sistema em Sourcer Address coloca o ip da maquina em Sourcer Interface selecione a interface verde ou vermelha aconselho a verde ou as duas em Protocolo coloque UDP e coloque a porta do vpn em politica deixe em allow e click em Adicionar Regra…”, conforme o Claudio mencionou.
Ai testo novamente…
-
fevereiro 28, 2010 às 10:08 pm #3518Thiago SalesParticipante
Habilitei a regra em firewall system access, e nada. Mesma coisa…
-
março 1, 2010 às 6:20 pm #3519Claudio SoaresParticipante
Fala Thiago rapaz a minha VPN funcionou aqui na rede interna a externa não funcionou porque aqui na empresa tem uma outra empresa de fora que gerencia a net ou seja eles usam proxy e firewall nesse caso eles bloqueiam muitas portas acho que por isso nao consigo acessa de fora mais da rede interna ta rodando.
Você conseguiu rodar a VPN na sua rede interna?
-
março 1, 2010 às 7:10 pm #3520centenoParticipante
Thiago,
Vou te dar o exemplo de cliente que uso:
client
dev tap
proto udp
port 1183
remote XXXXXXXXXXXXX.XXXXXXX.br
resolv-retry infinite
nobind
persist-key
persist-tun
ca srvfw.pem
auth-user-pass
comp-lzo
Onde srvfw.pem é a chave exportada lá do Servidor. Se não estiver no mesmo diretório do arquivo de configuração, tens que colocar o caminho completo.
[]´s
-
março 1, 2010 às 10:34 pm #3521Thiago SalesParticipante
Olá Claudio, da rede interna funciona (não tinha pensado nisso), conectou (fica verde o cliente windows). Demora mais para conectar do que quando acessava da minha casa, mas conectou…
O Eduardo se colocou a disposição de me ajudar na semana passada, mas eu tinha um compromisso e não tinha como estar na empresa pela manhã.
Acho estranho que no ano passado como relatei, o Eduardo me ajudou a configurar através do blog dele e funcionava blz, sei lá o que aconteceu que parou de funcionar.
-
março 1, 2010 às 10:48 pm #3522Thiago SalesParticipante
Sim, Centeno, copiei a do Endian 2.3, da mesma forma que eu fiz quando usava a 2.2. Sim, a chave está no mesmo diretório do arquivo de configuração do client do openvpn.
-
março 1, 2010 às 10:51 pm #3523Thiago SalesParticipante
Acabei de verificar o No-IP e tá atualizando blz, o IP tá correto…
Claudio, quando vc mencionou “firewall system access depois Adicionar Nova Regra de Acesso ao Sistema em Sourcer Address coloca o ip da maquina em Sourcer Interface selecione a interface verde ou vermelha aconselho a verde ou as duas em Protocolo coloque UDP e coloque a porta do vpn em politica deixe em allow e click em Adicionar Regra”
Observei que não colocou o “IP da máquina”, devo colocar o endereço do Endian, no caso a rede VERDE (lan)? Vou testar isso amanhã.
-
abril 17, 2010 às 5:10 pm #3524Thiago SalesParticipante
Bem, até agora nãao consegui resolver o problema da minha VPN. Resolvi colocar um printscreen aqui, se alguém puder apontar o ERRO, agradeço, preciso muito acessar os servidores da empresa remotamente.
Configuração VPN > Advanced
http://www.contabilestoril.com.br/images/endianvpn01.JPG
Configuração VPN firewall configuration (ativei)
http://www.contabilestoril.com.br/images/endianvpn02.JPG
Configuração System Access configuration (liberação da porta, ano passado quando funcionava a VPN, na verão 2.2, não configurei nada disso)
-
abril 17, 2010 às 6:38 pm #3525Albaney BaylãoParticipante
Pelo que eu vi colocarei algumas possibilidades de erro que as vezes passam desapercebidas.
A) rede original e rede de destino com a mesma numeração de IP. É muito comum colocar nas redes privadas o endereço 192.168.0.x/24. Se na sua casa você tem uma rede sem fio é provavel que o seu roteador use esta rede. Como as duas rede estão na mesma numeração o openvpn pode se confundir.
B) Se você utiliza windows vista na máquina cliente você deve utilizar o openvpn gui como administrador (botão direito no atalho, “run as administrator”) senão não funciona.
C) Na configuração que você colocou do cliente lá em cima está a porta 5001 enquanto que no endian você configurou a porta 1195. As portas tem que ser iguais.
D) Se o seu endian roda dentro de uma máquina virtual, a placa de rede ligada a sua rede interna tem que estar como bridge e no modo promíscuo.
Agora algumas diferenças entre a sua configuração e a minha.
A) No VPN Traffic eu coloquei Source ALL OpenVPN User, Destination ANY e Service ANY (você colocou apenas a porta 1195)
B) Você não colocou Block DHCP responsing comming from tunnel. Isso pode gerar problemas, principalmente se no lado do cliente você usa um roteador sem fio.
C) Você não habilitou o push name servers. Isso pode dificultar acessar os equipamentos da sua rede interna.
D) Eu não precisei criar nenhuma system access rule.
São as diferenças que eu encontrei entre a minha VPN e a sua. E este post é uma prova de que ela está funcionando… ;^)
-
abril 17, 2010 às 7:05 pm #3526Thiago SalesParticipante
OK, Albaney, vou fazer algumas alterações. Bem, ano passado funcionava perfeitamente, foi muito simples configurar. Até que veio o “apagão” aqui em SP, nessa noite o nobreak dos servidores não aguentou tantas horas, aí desde então não consegui mais fazer funcionar, achei que poderia ter corrompido algo, foi quando resolvi instalar a versão 2.3 (ou até reinstalar a 2.2), mas nada…
a- não uso a mesma faixa de rede, na empresa é uma, na minha casa outra e na casa do meu irmão outra tb.
b- uso XP e linux.
c- realmente, mas já testei na 1195, 5001, etc, pois cheguei a achar que a NET teria bloqueado a porta 1195, mas em outras tb não funcionou.
d- pc dedicado, não roda sob máquina virtual.
Verifiquei suas configurações, e vou testar amanhã. Ano passado eu tambpem não havia configurado nada em “system access rule”, e funcionou. Mas já tentei com ou sei qualquer regra em “system access rule” e nada. Na versão 2.2 tb não tinha a opção firewall VPN, que tantei tb habilitar e sem habilitar, e nada.
Só um detalhe, uso ip dinâmico, com no-ip e funcionava tb. Realmente não sei o que fazer e na minha cidade alguém que conheça profundamente linux é difícil.
Quando tento conectar via VPN da minha casa, nada aparece nos LOGS do endian, portanto, não há tentativa de conexão, ou o firewall tá barrando, não sei ao certo.
Pois aqui amanhã se deu certo. Grato.
-
abril 20, 2010 às 11:27 pm #3527Thiago SalesParticipante
Configurei tudo novamente e nada…
Vou tentar configurar outro qe não o no-ip para ver se da certo. Da rede interna eu acesso…
-
abril 21, 2010 às 4:56 pm #3528Thiago SalesParticipante
Albaney, achei o erro. Bem o no-ip do Endian não está atualizando, é isso. Estranho que tenho um servidor cftv, na mesma empresa, e o cliente no-ip do windows atualiza o IP certinho, o cliente do Endian é que não funciona.
Qual outro serviço DNS gratuíto eu poderia usar, dos disponíveis no Endian 2.3? O dyndns?
-
abril 21, 2010 às 10:26 pm #3529Thiago SalesParticipante
Resolvido, Eduardo, pode trancar o tópico.
-
dezembro 17, 2012 às 1:14 pm #3530fsf484Participante
Bom dia, não sei se posso postar nesse post, sou novo aqui e estou com uma duvida sobre o endian, se não for nesse post por favor me encaminha pra outo. bom estou tentando fechar a vpn do endian com um outro firewall que usa ipsec porem não é endian, a configuração do ipsec dele é via terminal, gostaria de saber se tem algum passo a passo pra configuração?
obrigado
-
-
AutorPosts
- O tópico ‘VPN, agora vai…’ está fechado para novas respostas.