Hola como van?

Pues tengo una inquietud.

Monte el openvpn y lo configure en el servidor CentOS de la empresa; por otra parte monte la aplicacion cliente en un windows en un equipo externo, el tunel me funcina muy bien, este equipo puede acceder a los archivos de la red lan, pero ahora me surgio una pregunta.

En el caso de que ya NO quiera que este equipo forme una vpn con mi red LAN, como hago para desabilitar solo a este este equipo si este tiene los certificados apropiados para la conexion ( ca.crt, cliente1.crt, cliente1.key) ?? teniendo en cuenta que ademas implementare mas vpns con diferentes equipos clientes, lo que hace que no pueda cambiar el ca.crt

Ok, cualquier respuesta sera bien recibida.

Hola, me podrias hacer el favor de decirme como montaste ese vpn, ya que yo estoy montado uno y me presenta problemas cuando inicia

Hola

Que configuracion de vpn montaste?
que te dicen los logs?
En que distribucion trabajas?
Que S.O esta cada una de las puntas del tunel? (windows-linux, linux linux)

service openvpn start
tail -f /var/log/messages

Trata de explicar mas, tal vez te pueda ayudar pero trata de explicarte mejor.

Hola, cuando intento iniciar el servidor me aparece el siguiente error

./iniciovpnserver
Wed Sep 19 20:50:13 2007 OpenVPN 2.0.9 i386-redhat-linux-gnu [SSL] [LZO] [EPOLL] built on Mar 8 2007
Wed Sep 19 20:50:13 2007 Diffie-Hellman initialized with 1024 bit key
Wed Sep 19 20:50:13 2007 Cannot load certificate file /keys/miservidor.crt: error:02001002:system library:fopen:No such file or directory: error:20074002:BIO routines:FILE_CTRL:system lib: error:140AD002:SSL routines:SSL_CTX_use_certificate_file:system lib
Wed Sep 19 20:50:13 2007 Exiting

Entonces no se que estoy haciendo mal.

Agradezco de antemano tu colaboracion

Revisa si tienes todos los certificados en la carpeta /etc/openvpn/keys, parece q te faltara el xxx.crt
recuerda que debes tener estos archivos:
• ca.crt.
• cliente1.crt.
• cliente1.csr.
• cliente1.key
y que en el archivo de configuracion de *.ovpn (extencion de archivo de configuracion para windows), debes tener el mismo nombre que le diste a estos archivos, es decir, si en el *.ovpn tienes cert cliente.crt, asegurate q el archivo tenga ese mismo nombre "cliente.crt "

Ok espero q te sirva.

Para que un equipo no forme parte de tu vpn solo debes revocar su certificado (client1.crt) con el script 'revoke-full' (openvpn 2.x).

en el lado del cliente no requieres de archivo .csr, solo del .crt y el .key, obviamente junto al ca.crt

Pra mas referencias y levantar un VPN con OpenVPN facilmente checate este manual sobre Openvpn y clientes Win/Linux

Saludos !!

---

.:: Cuando el Alumno esta listo, el maestro aparece ::. [[http://koalasoft.wordpress.com ::BLog::]]

Hola

Use revoke-full como me dijiste y me ayude siguiendo el tutoria de http://openvpn.net/howto.html#samba , pero no me funciono, me mostro esta salida

[root@xxxxx 2.0]# ./revoke-full nuevokey
Using configuration from /etc/openvpn/2.0/openssl.cnf
error on line 282 of config file '/etc/openvpn/2.0/openssl.cnf'
6892:error:0E065068:configuration file routines:STR_COPY:variable has no value:conf_def.c:629:line 282
Using configuration from /etc/openvpn/2.0/openssl.cnf
error on line 282 of config file '/etc/openvpn/2.0/openssl.cnf'
6893:error:0E065068:configuration file routines:STR_COPY:variable has no value:conf_def.c:629:line 282
cat: crl.pem: No existe el archivo o el directorio
nuevokey.crt: /C=CO/ST=Bogota/L=Bogota/O=xxxxx/OU=xxxxx/CN=nuevokey/emailAddress=info@xxxxx.net
error 3 at 0 depth lookup:unable to get certificate CRL

asi que cree a mano el archivo crl.pem

y me dio lo siguiente:

[root@xxxxx 2.0]# ./revoke-full nuevokey
Using configuration from /etc/openvpn/2.0/openssl.cnf
error on line 282 of config file '/etc/openvpn/2.0/openssl.cnf'
6930:error:0E065068:configuration file routines:STR_COPY:variable has no value:conf_def.c:629:line 282
Using configuration from /etc/openvpn/2.0/openssl.cnf
error on line 282 of config file '/etc/openvpn/2.0/openssl.cnf'
6931:error:0E065068:configuration file routines:STR_COPY:variable has no value:conf_def.c:629:line 282
nuevokey.crt: /C=CO/ST=Bogota/L=Bogota/O=xxxxx/OU=xxxx/CN=nuevokey/emailAddress=info@xxxxxx.net
error 3 at 0 depth lookup:unable to get certificate CRL

De esta manera no puedo lograr que la vpn entre este cliente y el servidor deje de funcionar.
Ok por favor una ayudita, se les agradecera mucho....

Saludos.

Buenos Dias, ya logre configurar el openvpn y me puedo conectar a travez de un cliente windows, se me asigana una direccion ip, pero no me asigna puerta de enlace y no me responde a ninguna ip del vpn cuando intento hacer ping.

que me hara falta?

muchas gracias

Les envio el log del vpn


Wed Nov 21 08:05:06 2007 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Wed Nov 21 08:05:06 2007 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Wed Nov 21 08:05:06 2007 LZO compression initialized
Wed Nov 21 08:05:06 2007 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Wed Nov 21 08:05:06 2007 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Nov 21 08:05:06 2007 Local Options hash (VER=V4): '41690919'
Wed Nov 21 08:05:06 2007 Expected Remote Options hash (VER=V4): '530fdded'
Wed Nov 21 08:05:06 2007 UDPv4 link local: [undef]
Wed Nov 21 08:05:06 2007 UDPv4 link remote: 200.118.111.199:1194
Wed Nov 21 08:05:06 2007 TLS: Initial packet from 200.118.111.199:1194, sid=2ec2aa9a 241056f6
Wed Nov 21 08:05:06 2007 VERIFY OK: depth=1, /C=CO/ST=BOG/L=Bogota/O=mettcocolombia/CN=mettcocolombia.com/emailAddress=rene_chirivi_bog@yhaoo.com
Wed Nov 21 08:05:06 2007 VERIFY OK: nsCertType=SERVER
Wed Nov 21 08:05:06 2007 VERIFY OK: depth=0, /C=CO/ST=BOG/L=Bogota/O=mettcocolombia/CN=proxy/emailAddress=rene_chirivi_bog@yhaoo.com
Wed Nov 21 08:05:06 2007 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Nov 21 08:05:06 2007 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 21 08:05:06 2007 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Nov 21 08:05:06 2007 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 21 08:05:06 2007 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Wed Nov 21 08:05:06 2007 [proxy] Peer Connection Initiated with 200.118.111.199:1194
Wed Nov 21 08:05:07 2007 SENT CONTROL [proxy]: 'PUSH_REQUEST' (status=1)
Wed Nov 21 08:05:07 2007 PUSH: Received control message: 'PUSH_REPLY,route 192.168.1.1,topology net30,ping 10,ping-restart 120,ifconfig 192.168.1.6 192.168.1.5'
Wed Nov 21 08:05:07 2007 Options error: Unrecognized option or missing parameter(s) in [PUSH-OPTIONS]:2: topology (2.0.9)
Wed Nov 21 08:05:07 2007 OPTIONS IMPORT: timers and/or timeouts modified
Wed Nov 21 08:05:07 2007 OPTIONS IMPORT: --ifconfig/up options modified
Wed Nov 21 08:05:07 2007 OPTIONS IMPORT: route options modified
Wed Nov 21 08:05:07 2007 TAP-WIN32 device [Conexión de área local 2] opened: \\.\Global\{C95EC902-93D3-414B-8E1A-B8DE0FCF7C36}.tap
Wed Nov 21 08:05:07 2007 TAP-Win32 Driver Version 8.4
Wed Nov 21 08:05:07 2007 TAP-Win32 MTU=1500
Wed Nov 21 08:05:07 2007 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.1.6/255.255.255.252 on interface {C95EC902-93D3-414B-8E1A-B8DE0FCF7C36} [DHCP-serv: 192.168.1.5, lease-time: 31536000]
Wed Nov 21 08:05:07 2007 Successful ARP Flush on interface [4] {C95EC902-93D3-414B-8E1A-B8DE0FCF7C36}
Wed Nov 21 08:05:07 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Wed Nov 21 08:05:07 2007 Route: Waiting for TUN/TAP interface to come up...
Wed Nov 21 08:05:08 2007 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up
Wed Nov 21 08:05:08 2007 route ADD 192.168.1.1 MASK 255.255.255.255 192.168.1.5
Wed Nov 21 08:05:08 2007 Route addition via IPAPI succeeded
Wed Nov 21 08:05:08 2007 Initialization Sequence Completed

No hay comentarios al respecto??

Verifica que ningún cliente Windows tenga activado el Firewall que trae consigo, ademas que tengas instalado en tus dispositivos de red el protocolo NetBios.

Saludos !!

---

.:: Cuando el Alumno esta listo, el maestro aparece ::. [[http://koalasoft.wordpress.com ::BLog::]]

Gracias por tu respuesta

El firewall de win xp lo tengo desactivado e instale el NetBios y tampoco funciono sigue dando lo mismo.

me asigana una ip pero no me asina puerta de enlace y no me hace ping a ninguna de mis maquinas

Con o sin Gateway debería tener ping a la PC, verifica bien puesto que algo esta bloquenado que no haya comunicación, checate bine los segmentos.

Saludos !!

---

.:: Cuando el Alumno esta listo, el maestro aparece ::. [[http://koalasoft.wordpress.com ::BLog::]]