Sto cercando di mettere in piedi una vpn host to network con openvpn su Endian Firewall Community 2.4.1 e host in dialup utilizzando un Macbook con Viscosity OS X e iphone-Vodafone via bluetooth.
Ho da prima creato un clent sul firewall, definendo utente e password con forzatura rete (tutta la rete locale subnettata 24 dietro il fw) e DNS (ip lan del fw); poi ho di seguito abilitato il range degli ip rilasciati (stessa subnet della green ma ovviamente usando ip liberi non utilizzati dal dhcp-green) ed infine scaricato il certificato CA.
Ho poi proseguito a reindirizzare la porta tcp/udp 1194 da e verso l' ip-lan del firewall (192.168.0.254).
Per ultimo ho installato il client openvpn sul macbook, configurando Viscosity con il dominio (anzichè ip) e la porta 1194, importando il certificato SSL/TSL tramite il file firewall.pem.cer e inserendo utente e password, salvate nel portachiavi apple.
A configurazioni ultimate ho poi tentato una connessione dal host, senza però riuscire a pingare alcun client e file server sulla green.
In sostanza, la connessione avviene, l' indirizzo ip viene rilasciato correttamente, ma non posso fare altro; nemmeno navigare (questo presumo perchè il gw risulta essere il FW e poi li si ferma).
Allego log della vpn lato FW:
penVPN 2010-12-01 15:25:00 openvpn[7658]: 91.81.XXX.XXX:43827 Re-using SSL/TLS context
OpenVPN 2010-12-01 15:25:00 openvpn[7658]: 91.81.XXX.XXX:43827 LZO compression initialized
OpenVPN 2010-12-01 15:25:03 openvpn[7658]: 91.81.XXX.XXX:43827 WARNING: "dev-type" is used inconsistently, local="dev-type tap", remote="dev-type tun"
OpenVPN 2010-12-01 15:25:03 openvpn[7658]: 91.81.XXX.XXX:43827 WARNING: "link-mtu" is used inconsistently, local="link-mtu 1574", remote="link-mtu 1541"
OpenVPN 2010-12-01 15:25:03 openvpn[7658]: 91.81.XXX.XXX:43827 WARNING: "tun-mtu" is used inconsistently, local="tun-mtu 1532", remote="tun-mtu 1500"
OpenVPN 2010-12-01 15:25:03 openvpn[7658]: 91.81.XXX.XXX:43827 WARNING: "comp-lzo" is present in local config but missing in remote config, local="comp-lzo"
OpenVPN 2010-12-01 15:25:03 openvpn[7658]: 91.81.XXX.XXX:43827 [MIOUTENTE] Peer Connection Initiated with 91.81.xxx.xxx:43827 (via 192.168.0.254)
OpenVPN 2010-12-01 15:25:14 openvpn[7658]: MIOUTENTE/91.81.XXX.XXX:43827 Bad LZO decompression header byte: 42
OpenVPN 2010-12-01 15:25:22 openvpn[7658]: MIOUTENTE/91.81.XXX.XXX:43827 Bad LZO decompression header byte: 42
OpenVPN 2010-12-01 15:25:30 openvpn[7658]: MIOUTENTE/91.81.XXX.XXX:43827 Bad LZO decompression header byte: 42
OpenVPN 2010-12-01 15:25:38 openvpn[7658]: MIOUTENTE/91.81.XXX.XXX:43827 Bad LZO decompression header byte: 42
OpenVPN 2010-12-01 15:25:46 openvpn[7658]: MIOUTENTE/91.81.XXX.XXX:43827 Bad LZO decompression header byte: 42
OpenVPN 2010-12-01 15:25:53 openvpn[7658]: read UDPv4 [CMSG=8|ECONNREFUSED]: Connection refused (code=111)
OpenVPN 2010-12-01 15:26:06 openvpn[7658]: MIOUTENTE/91.81.XXX.XXX:43827 [MIOUTENTE] Inactivity timeout (--ping-restart), restarting
Annotazioni:
avendo una red con ip pubblico dinamico (PPPoE gestita dal FW), ho utilizzato dyndns tramite un client della rete green aggiornato ogni 10 minuti, ma posso assicurare che il tutto funziona correttamente in quanto in precedenza ho già usato questo sistema, ma con IPSEC anzichè OPENVPN. Ovviamente mi aspetto che il tunnel crashii quando l' ip pubblico si aggiorni, ma questo è già messo in conto, inoltre le connessioni saranno sporadiche e brevi; di conseguenza ho scartato l' idea di acquistare un ip statico vista la situazione.
Rispondi quotando