Acesso Openvpn na internet

Iniciado por pentestbox, 04 de Fevereiro de 2017, 00:44

tópico anterior - próximo tópico

pentestbox

Ola pessoal, gostaria de saber como proceder para abrir a porta do Openvpn no meu roteador, estou fazendo um teste aqui e consigo conectar a VPN local, mais não consigo acessar remotamente, fiz a configuração assim no servidor:

$ cat /etc/openvpn/server.conf

dev tun
ifconfig 10.0.0.1 10.0.0.2
secret /etc/openvpn/key
comp-lzo
keepalive 20 120
persist-key
persist-tun
float

Já Na maquina da outra ponta que está em outra rede esta assim:

cat /etc/openvpn/cliente.sh

dev tun
ifconfig 10.0.0.2 10.0.0.1
remote <ip de internet do servidor>
secret /etc/openvpn/key
comp-lzo
keepalive 20 120
persist-key
persist-tun
float

até ai blz, eu trocando o remote pelo ip de lan do  meu servidor so pra fazer o teste na rede local se conecta sem problema, agora como fazer isso ai sair pra internet, ja coloquei la no port forward do roteador pra liberar para o ip 10.0.0.1 na porta 1164 tcp/udp, e nada, afinal, como abrir o serviço do openvpn no roteador pra acesso na internet?
Desde já Obrigado.

zekkerj

Olá pentesbox,
A menos que seu roteador seja uma máquina Ubuntu, receio que a resposta pro teu questionamento esteja fora do escopo do fórum.
Só te adianto o seguinte... você precisa da marca e modelo do roteador em ambas as pontas. Precisa também saber qual é a conexão internet em uso, pq em algumas (p.ex. Rádio sem IP público, NET com NAT444/CGNAT) não é possível redirecionar portas.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

pentestbox

Citação de: zekkerj online 04 de Fevereiro de 2017, 02:01
Olá pentesbox,
A menos que seu roteador seja uma máquina Ubuntu, receio que a resposta pro teu questionamento esteja fora do escopo do fórum.
Só te adianto o seguinte... você precisa da marca e modelo do roteador em ambas as pontas. Precisa também saber qual é a conexão internet em uso, pq em algumas (p.ex. Rádio sem IP público, NET com NAT444/CGNAT) não é possível redirecionar portas.

Então amigo, vamos lá, ontem eu realizei uma série de testes e procurei bastante a solução do meu problema, e consegui resolver utilizando o iptables para isso, o que fiz foi:

$ sudo iptables -t nat -A POSTROUTING -s 10.0.0.1 -o enp0s3 -j SNAT --to-source 192.168.1.7

somente com o comando acima no servidor, eu consegui me conectar de outra rede ao meu servidor VPN, porém eu não entendo bem o que o comando acima faz, se puder me ajudar nisso.
so sei que depois de muito bater a cabeça somente com o comando acima eu consegui estabeler a conexão com a VPN, e não precisei nem abrir porta no roteador, o ip 192.168.1.7 é o ip da minha interface cabeada do servidor.

Conseguiria me dar uma explicação do que o comando do iptables acima faz? pq gostaria de saber realmente o que ele fez pra eu conseguir fazer o openvpn funcionar perfeitamente nja internet.

zekkerj

Citarsomente com o comando acima no servidor, eu consegui me conectar de outra rede ao meu servidor VPN, porém eu não entendo bem o que o comando acima faz, se puder me ajudar nisso.
Só o que posso te dizer, sobre o comando, é que ele pega todos os pacotes IPv4 que passam pelo servidor, cujo endereço de origem seja 10.0.0.1, e que estejam designados para serem enviados pela interface enp0s3, e substitui esse endereço de origem por 192.168.1.7, guardando uma tabela das substituições feitas, de forma que quando uma resposta para esse pacote volta ao servidor, ela é desfeita (ou seja, pacotes de resposta enviados para 192.168.1.7 terão seus endereços de destino alterados de volta para 10.0.0.1).
Mas não dá pra dizer porquê funcionou, nem se foi a coisa certa a ser feita, já que não há informações sobre a topologia de sua rede.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

pentestbox

Citação de: zekkerj online 10 de Fevereiro de 2017, 10:18
Citarsomente com o comando acima no servidor, eu consegui me conectar de outra rede ao meu servidor VPN, porém eu não entendo bem o que o comando acima faz, se puder me ajudar nisso.
Só o que posso te dizer, sobre o comando, é que ele pega todos os pacotes IPv4 que passam pelo servidor, cujo endereço de origem seja 10.0.0.1, e que estejam designados para serem enviados pela interface enp0s3, e substitui esse endereço de origem por 192.168.1.7, guardando uma tabela das substituições feitas, de forma que quando uma resposta para esse pacote volta ao servidor, ela é desfeita (ou seja, pacotes de resposta enviados para 192.168.1.7 terão seus endereços de destino alterados de volta para 10.0.0.1).
Mas não dá pra dizer porquê funcionou, nem se foi a coisa certa a ser feita, já que não há informações sobre a topologia de sua rede.


Então todo esse processo de VPN está senfo feito em uma rede caseira, simplismente uma máquina ligada a um modem/roteador da operadora Live Tim, todo o processo sendo executado em duas redes residenciais distintas, em nenhuma delas eu precisei configurar o roteador para abrir a porta do Openvpn, que no caso está utilizando a porta 1194, se não me engano é porta UDP, você acha que seria recomendado mudar esse comando especificando a porta 1194?

zekkerj

Não tenho como responder sem conhecer a topologia exata, nas duas pontas.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D