OpenVPN porta 1194 fechada

Iniciado por carbox, 16 de Maio de 2014, 11:00

tópico anterior - próximo tópico

carbox

Bom dia a todos...

Algum tempo montei uma VPN Matriz/Filial... Mas do nada parou a comunicação. A princípio achei que fosse o DNS (matrixcarbox.no-ip-info), mas verifiquei que não é...

Testando as portas, verifiquei que a porta 1194 esta fechada.

outras portas, como 2022 e 10000 estão ok.

como faço para abrir a porta 1149????

zekkerj

suas pontas estão atrás de roteador com NAT? Se estiverem, vc tem que confirmar que os roteadores estão redirecionando a porta 1194/udp (supondo que vc está usando a forma padrão) para o endereço interno dos seus servidores openvpn.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

carbox

A configuração vinha funcionando normalmente, O roteador esta redirecionando a porta 1194 para o IP 192.168.2.12 onde  está configurado a VPN. Mas consultei a porta 1194 (nmap -v -p1194 192.168.2.12) e está fechada. Tenho outros serviços como Firebird, SSH, etc. que funcionam normalmente, inclusive as portas estão abertas.

Assim do nada a VNP caiu e verificando percebi que a porta 1194 está fechada. Reiniciei o serviço. Mas sem sucesso.


Citação de: zekkerj online 16 de Maio de 2014, 11:55
suas pontas estão atrás de roteador com NAT? Se estiverem, vc tem que confirmar que os roteadores estão redirecionando a porta 1194/udp (supondo que vc está usando a forma padrão) para o endereço interno dos seus servidores openvpn.

zekkerj

tente reiniciar os roteadores.

Em último caso, execute uma captura com o tcpdump, pra verificar se os pacotes estão pelo menos chegando nos servidores.

sudo apt-get install tcpdump
sudo tcpdump -n udp and port 1194


Faça isso nas duas pontas, não importa muito interpretar a saída, e sim confirmar que o tráfego está chegando nos servidores.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

carbox

#4
Já cheguei a reiniciar varias vezes os roteadores envolvidos como também parar e restartar o openvpn

quando consulto as portas
com nmap -PN 192.168.2.12 sai....

root@proxycarbox:/# nmap -PN 192.168.2.12
Starting Nmap 4.53 ( http://insecure.org ) at 2014-05-16 13:52 BRT
Interesting ports on 192.168.2.12:
Not shown: 1707 closed ports
PORT      STATE SERVICE
53/tcp    open  domain
139/tcp   open  netbios-ssn
445/tcp   open  microsoft-ds
902/tcp   open  iss-realsecure-sensor
2022/tcp  open  down
3128/tcp  open  squid-http
10000/tcp open  snet-sensor-mgmt

Nmap done: 1 IP address (1 host up) scanned in 1.996 seconds
root@proxycarbox:/#


Note que não aparece a porta 1194.

o comando tcpdump -n tcp ou udp port 1194 sai assim

root@proxycarbox:/# tcpdump: verbose output suppressed, use -v or -vv for full protocol decoclear
-bash: tcpdump:: command not found
root@proxycarbox:/# clear
root@proxycarbox:/# tcpdump -n tcp and port 1194
tcpdump: WARNING: arptype 65534 not supported by libpcap - falling back to cooked socket
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type LINUX_SLL (Linux cooked), capture size 96 bytes

0 packets captured
0 packets received by filter
0 packets dropped by kernel
root@proxycarbox:/#


Citação de: zekkerj online 16 de Maio de 2014, 13:49
tente reiniciar os roteadores.

Em último caso, execute uma captura com o tcpdump, pra verificar se os pacotes estão pelo menos chegando nos servidores.

sudo apt-get install tcpdump
sudo tcpdump -n udp and port 1194


Faça isso nas duas pontas, não importa muito interpretar a saída, e sim confirmar que o tráfego está chegando nos servidores.

zekkerj

O serviço do OpenVPN por default é UDP, não tcp. Nesse caso o comando seria mesmo "tcpdump udp and port 1194".

Procure deixar a captura rodando por algum tempo; também é boa idéia reiniciar o serviço do openvpn enquanto estiver fazendo a captura, de forma que a gente veja pelo menos as tentativas de saída do processo.

Vale também confirmar que o serviço do openvpn está ativo, olhando o processo --- não apenas consultando as portas abertas.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

zekkerj

Antes que eu esqueça... cara, pelo Amor de Deus. Fecha essas portas 139 e 445. Não há motivo pra vc expor sua rede Windows pra internet.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

carbox

Desculpe a ignorancia...como elas?

Citação de: zekkerj online 16 de Maio de 2014, 15:33
Antes que eu esqueça... cara, pelo Amor de Deus. Fecha essas portas 139 e 445. Não há motivo pra vc expor sua rede Windows pra internet.

zekkerj

Citarroot@proxycarbox:/# nmap -PN 192.168.2.12
Starting Nmap 4.53 ( http://insecure.org ) at 2014-05-16 13:52 BRT
Interesting ports on 192.168.2.12:
Not shown: 1707 closed ports
PORT      STATE SERVICE
53/tcp    open  domain
139/tcp   open  netbios-ssn
445/tcp   open  microsoft-ds

902/tcp   open  iss-realsecure-sensor
2022/tcp  open  down
3128/tcp  open  squid-http
10000/tcp open  snet-sensor-mgmt

Nmap done: 1 IP address (1 host up) scanned in 1.996 seconds
root@proxycarbox:/#

Essas portas. Se estiverem abertas pra internet, é questão de tempo pra vc ser invadido.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

carbox

Estranho porque verifiquei o serviço e está rodando.

consigo pingar os ip´s da VPN etc...
no meu arquivo.conf esta assim:

#proto tcp-server
port 1194


Citação de: zekkerj online 16 de Maio de 2014, 16:04
Citarroot@proxycarbox:/# nmap -PN 192.168.2.12
Starting Nmap 4.53 ( http://insecure.org ) at 2014-05-16 13:52 BRT
Interesting ports on 192.168.2.12:
Not shown: 1707 closed ports
PORT      STATE SERVICE
53/tcp    open  domain
139/tcp   open  netbios-ssn
445/tcp   open  microsoft-ds

902/tcp   open  iss-realsecure-sensor
2022/tcp  open  down
3128/tcp  open  squid-http
10000/tcp open  snet-sensor-mgmt

Nmap done: 1 IP address (1 host up) scanned in 1.996 seconds
root@proxycarbox:/#

Essas portas. Se estiverem abertas pra internet, é questão de tempo pra vc ser invadido.

zekkerj

Verificou como? Olhou o processo? Não confie apenas no nmap.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

zekkerj

Mais dois testes que vc pode fazer:

netstat -atun | grep 1194

sudo lsof -i -P | grep 1194


Cole o resultado aqui.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

carbox


segue...

root@proxycarbox:~# netstat -atun | grep 1194
udp        0      0 0.0.0.0:1194            0.0.0.0:*
root@proxycarbox:~# sudo lsof -i -P | grep 1194
sudo: unable to resolve host proxycarbox
openvpn   5393   nobody    5u  IPv4  30299       UDP *:1194
root@proxycarbox:~#




Citação de: zekkerj link=topic=11
2934.msg625121#msg625121 date=1400271324

Mais dois testes que vc pode fazer:

netstat -atun | grep 1194

sudo lsof -i -P | grep 1194


Cole o resultado aqui.

zekkerj

O processo está rodando e ouvindo a porta 1194/udp, como esperado.

Uma coisa que eu notei: vc está testando o nmap apenas para tcp, e nosso serviço é udp. Assim a porta nunca vai aparecer aberta mesmo. Se quiser que o nmap mostre a porta do openvpn, tem que testar com algo parecido com isso:

nmap -sU -PN 192.168.2.12
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

zekkerj

vc chegou a ativar o log do openvpn? pode ajudar bastante pra gente encontrar o problema consultá-lo.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D