Registrarse
Home
Foros
Miembros
Calendario
Normas
Ayuda

Foros de usuarios de openSUSE
Retroceder   ForoSUSE > Zona Técnica > Seguridad y Servidores


Síguenos en Twitter Suscríbete a nuestras noticias Acompáñanos en Facebook

Respuesta
 
Herramientas Desplegado

openVPN no hace NAT
  #1  
Antiguo 13-dic-2016, 20:10
ntsuba ntsuba está desconectado
Aforado
 
Fecha de Ingreso: 13-diciembre-2016
Ubicación: Madrid
Versión: 42.2
Mensajes: 4
Agradecimientos: 0
Agradecido 0 Veces en 0 Mensajes
Poder de Credibilidad: 0
ntsuba está en el buen camino
openVPN no hace NAT

Hola a todos!

Disculpad por el tocho, pero me gustaría dar todos los detalles posibles.
Me ha pasado lo del título pero tras revisar todo y buscar mucha información por Internet, dejo aquí un poco de info por si alguien encuentra este hilo.

Primero he creado los ficheros necesarios con easy-rsa. Estos ficheros son:
  • ca.crt
  • ca.key
  • dh8192.pem
  • server.crt
  • server.key
  • cliente.crt
  • cliente.key
El equipo de cliente, Windows 10, recibe los ficheros ca.crt, cliente.key cliente.crt

Los ficheros ca.crt, dh8192.pem, server.crt y server.key van a la carpeta /etc/openvpn.

El server tiene el siguiente contenido en el fichero server.conf:
Código:
#El servicio openVPN va a escuchar en UDP
#usando UDP se adquiere una mejor protección frente a los rastreos de puertos abiertos TCP
proto udp
port 1194

#crear tunel IP
dev tun

#certificado raiz SSL/TLS
ca ca.crt
#certificado privado del servidor
cert server.crt
#clave privada del servidor
key server.key

#fichero de parametros Diffie-Hellman
dh dh8192.pem

#IP y mascara para el tunel IP
server 10.89.0.0 255.255.255.0

#configurar los servidores de nombre del cliente a OpenDNS
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"

#hacer que la nueva puerta de enlace del cliente sea la IP del servidor openVPN
#bypass-dhcp para no machacar la configuración inicial del cliente
push "redirect-gateway def1 bypass-dhcp"

# no asignar usuarios al servicio para bajar sus permisos
user nobody
group nobody

persist-key
persist-tun

#fichero de log de estado
status openvpn-status.log

#nivel de verbosidad en el log 0 minimo 9 maximo
verb 4
Abro el puerto 1194 en el firewall dentro de YaST.

Me intento conectar desde el cliente (Windows 10) al servidor de openVPN (openSUSE 42.2) y se conecta. La tarjeta de red de Windows recibe la dirección IP 10.89.0.6 con máscara 255.255.255.252, dirección de DHCP 10.89.0.5 y los servidores de nombre 208.67.222.222 y 208.67.220.220.

Ante esta situación, aún sin configurar iptables, puedo hacer ping desde el cliente a la IP del servidor 10.89.0.1. Pero, desde el servidor, no puedo hacer ping a la IP del cliente 10.89.0.6.

El tabla de enrutamiento del servidor es así:
Código:
nsev:~ # netstat -nr
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         37.xxx.xxx.xxx  0.0.0.0         UG        0 0          0 eth0
10.89.0.0       10.89.0.2       255.255.255.0   UG        0 0          0 tun0
10.89.0.2       0.0.0.0         255.255.255.255 UH        0 0          0 tun0
37.xxx.xxx.0    0.0.0.0         255.255.255.0   U         0 0          0 eth0
Y la configuración de tun0 es así:
Código:
nsev:~ # ifconfig tun0
tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.89.0.1  P-t-P:10.89.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:7 errors:0 dropped:0 overruns:0 frame:0
          TX packets:29 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:392 (392.0 b)  TX bytes:2340 (2.2 Kb)
Entiendo, que de entrada, iptables bloquea las conexiones, así que me toca cambiar unas reglas. Primero habilito el IPv4 forwarding en YaST en la configuración de la tarjeta de red.

Seguidamente he puesto por consola las siguiente reglas de iptables:
Código:
iptables -I FORWARD -i tun0 -o eth0 -s 10.89.0.0/24 -m conntrack --ctstate NEW -j ACCEPT
iptables -I FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
#habilito NAT
iptables -t nat -I POSTROUTING -s 10.89.0.0/24 -o eth0 -j MASQUERADE
Tras esto, consulto la tabla de NAT y obtengo:
Código:
nsev:~ # iptables -t nat -n -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  10.89.0.0/24         0.0.0.0/0
Y así puedo navegar a través de mi servidor.

Para hacer la configuración de iptables definitiva, se introducen las líneas en el fichero /etc/rc.d/after.local

Gracias!

Última edición por ntsuba; 13-dic-2016 a las 23:40
Responder Citando
  #2  
Antiguo 14-dic-2016, 17:12
Avatar de DiabloRojo
DiabloRojo DiabloRojo está desconectado
Super Moderador
 
Fecha de Ingreso: 19-marzo-2005
Ubicación: En un lugar del planeta Tierra
Versión: La ultima estable
Mensajes: 16.481
Agradecimientos: 563
Agradecido 2.416 Veces en 1.627 Mensajes
Poder de Credibilidad: 10
DiabloRojo llegará a ser famoso muy pronto
Bienvenido al foro, por favor, lee las normas del foro donde aprenderás cosas útiles como aportar datos, hacer preguntas, como buscar....es como una guía para los novatos. Fíjate lo que dice resaltado y en negrita la norma 5 y sobre todo la norma 7 de escribir.

Gracias por la tutoria.

Como eres nuevo, preséntate en la sección de Presentaciones y, por favor, lee las normas.
__________________
NORMAS A CUMPLIR EN LOS FOROS (Lectura obligatoria) Lo siento, no contesto privados sobre problemas con GNU/Linux.
Síguenos en TWITTER y en FACEBOOK
Código:
Buscador de   Alojamiento      Alojamiento     Otros
 paquetes:    de imágenes:     de ficheros:    buscadores:
Search        TinyPic          Ifile Wuala     Simple y Facil
Webpinstant   Paste Suse       SendSpace       TextSnip  Cl1p
Responder Citando
  #3  
Antiguo 16-dic-2016, 03:07
ntsuba ntsuba está desconectado
Aforado
 
Fecha de Ingreso: 13-diciembre-2016
Ubicación: Madrid
Versión: 42.2
Mensajes: 4
Agradecimientos: 0
Agradecido 0 Veces en 0 Mensajes
Poder de Credibilidad: 0
ntsuba está en el buen camino
Cita:
Iniciado por DiabloRojo Ver Mensaje
Bienvenido al foro, por favor, lee las normas del foro donde aprenderás cosas útiles como aportar datos, hacer preguntas, como buscar....es como una guía para los novatos. Fíjate lo que dice resaltado y en negrita la norma 5 y sobre todo la norma 7 de escribir.

Gracias por la tutoria.

Como eres nuevo, preséntate en la sección de Presentaciones y, por favor, lee las normas.
De acuerdo, el fin de semana que tengo tiempo reviso esas normas y miro los detalles que comentas. Disculpa por las molestias causadas, solo quise compartir lo que aprendí a raíz de un problema que me tuvo varios días loco.

Edito: Me leí las normas 5 y 7 que veo que son más importantes, y solo me gustaría decir que considero que lo que escribí está bien escrito y sin faltas de respeto a nadie.

Última edición por ntsuba; 16-dic-2016 a las 03:11
Responder Citando
  #4  
Antiguo 16-dic-2016, 17:10
Avatar de DiabloRojo
DiabloRojo DiabloRojo está desconectado
Super Moderador
 
Fecha de Ingreso: 19-marzo-2005
Ubicación: En un lugar del planeta Tierra
Versión: La ultima estable
Mensajes: 16.481
Agradecimientos: 563
Agradecido 2.416 Veces en 1.627 Mensajes
Poder de Credibilidad: 10
DiabloRojo llegará a ser famoso muy pronto
Cita:
Iniciado por ntsuba Ver Mensaje
Edito: Me leí las normas 5 y 7 que veo que son más importantes, y solo me gustaría decir que considero que lo que escribí está bien escrito y sin faltas de respeto a nadie.
Es mi típica bienvenida a los novatos.
__________________
NORMAS A CUMPLIR EN LOS FOROS (Lectura obligatoria) Lo siento, no contesto privados sobre problemas con GNU/Linux.
Síguenos en TWITTER y en FACEBOOK
Código:
Buscador de   Alojamiento      Alojamiento     Otros
 paquetes:    de imágenes:     de ficheros:    buscadores:
Search        TinyPic          Ifile Wuala     Simple y Facil
Webpinstant   Paste Suse       SendSpace       TextSnip  Cl1p
Responder Citando
Respuesta

Marcadores


(0 miembros y 1 visitantes)
 
Herramientas
Desplegado

Normas de Publicación
No puedes crear nuevos temas
No puedes responder mensajes
No puedes subir archivos adjuntos
No puedes editar tus mensajes

Los Códigos BB están Activado
Las Caritas están Activado
[IMG] está Activado
El Código HTML está Desactivado

Ir al Foro

Temas Similares
Tema Autor Foro Respuestas Último mensaje
No me funciona openvpn maniat1k Software 1 22-sep-2016 14:06
OpenVPN y SuSEfirewall2 problemas Granjero Moe Internet, Redes y Wireless 4 30-sep-2008 20:44
disco sata me hace ruido muy feo al apagar el equipo DarkT Hardware 5 01-sep-2008 07:22
Ayuda con openVpn paletin Software 0 13-may-2007 20:17
un programa en linux equivalente a electronic workbench gimakos Software 5 04-may-2006 07:52



Síguenos en Twitter Suscríbete a nuestras noticias Acompáñanos en Facebook


La franja horaria es GMT +2. Ahora son las 13:35.
Powered by vBulletin™
Copyright © vBulletin Solutions, Inc. All rights reserved.

Esta página está bajo una licencia de Creative Commons, salvo que no se indique lo contrario.
Creative Commons License

Valid CSS!

Diseño por:Designed by: vbdesigns.devbdesigns.de 
Contáctenos - ForoSUSE - Archivo - Declaración de Privacidad - Arriba