Duda OpenVPN en mac

[danpacu]

Buenas tardes.
Hace una semana instalé en la raspi el servidor vpn siguiendo el tutorial de kike: viewtopic.php?f=6&t=824&p=95314&hilit=pivpn#p95314.
Todo se me instaló perfectamente, cree mi perfil, tengo acceso sin problemas a dicho fichero.
El problema vino al utilizarlo en mac. Seguro que no se yo muy bien como utilizar todo eso, pero en mi mac instalé Tunnelblick, le agregué el fichero de openvpn creado antes, intenta conectarse y nada.
POr favor, podeis ayudarme a poner en funcionamiento correcto el servidor y utilizarlo en mi mac? No se exactamente como he de proceder más.
Instalé tambien el Private Tunnel (sin pagar nada de momento, que viene contracoste tambien a cierto momento), en un momento consegui conectarme y luego ya nada (en el sentido que hoy me avisaba que no me queda ninguna subscripcion activa....).
Gracias de antemano.
En este instante probé a conectarme a otro vpn gateway, uno de Arizona, US y me da mensaje de connected. Entiendo entonces que funciona el openvpn???
No me aclaro mucho....

[egrueda]

¿Te conectas desde dentro de la red o desde fuera?
¿Qué error te da Tunnelblick? ¿tiene un debug, un registro de errores o algo?

[danpacu]

Buenas tardes.
Si, me conecto dentro de la red local.
Aqui la salida del registro que ofrece tunnelblick: https://pastebin.com/04UxdF7X
Sin embargo, con la app private tunnel, instalada desde la pagina web de openvpn parece que conecta. SInceramente, me siento muy perdido con esto.....

[egrueda]

¿Has probado a desactivar el firewall en el servidor y después probar a conectar, para descartar el FW?

[danpacu]

Hola.
EL firewall lo tengo así:
sudo service ufw status
● ufw.service - Uncomplicated firewall
Loaded: loaded (/lib/systemd/system/ufw.service; disabled; vendor preset: ena
Active: inactive (dead)
Docs: man:ufw(8)
...skipping...
● ufw.service - Uncomplicated firewall
Loaded: loaded (/lib/systemd/system/ufw.service; disabled; vendor preset: ena
Active: inactive (dead)
Docs: man:ufw(8)
De momento estoy conectado así: (adjunto captura)
Esto queire decir que si que pasa la conexion por vpn, es decir esta protegida la conexion? SI mezclo conceptos, no dudes en aclararmelos, por favor.
Y... gracias.

[egrueda]

Veo que el estado es "desactivado":

Código: Seleccionar todo

Active: inactive (dead)

Entonces es como si no estuviese

Según el log, falla al negociar el TLS porque la otra parte no responde.
Y eso lo hace mientras se conecta a la IP externa, a través del puerto 12350

Código: Seleccionar todo

TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)

Diría que desde dentro no está funcionando el NAT del router, al que te conectas desde la IP externa.
Es decir, puede que el router sólo aplique el NAT desde la interfaz pública, y por eso no te funciona desde la red privada.

Una opción sería conectarte desde fuera, por ejemplo con openvpn en el móvl y conexión de datos

[danpacu]

"there was an error attempting to connect to the selected server"
mensaje recibido en el movil, con conexion de datos, con perfil importado.
Entonces, o tengo mal configurado en la pi el perfil, o algo no esta bien. Mi pregunta es: si me genera el perfil sin problemas, deduzco que el servidor esta bien instalado, no? tendria que mirar (como???) las configuraciones del mismo... - por otro lado, si le pusiera (en la hipotetica situacion que llegaría a ello... jejej) mi cuenta no ip (que actualmente me lleva a la pagina de inicio del router - esto es otro tema, para otro día esta semana), ayudaría???

[danpacu]

Buenos días.
Solo una mencion, después de estos días: he desinstalado y vuelto a instalar en la raspi el pivpn siguiendo el tutorial. Esta vez no cambié nada, todo como viene mencionado en el tutorial.
Sigue sin funcionar, ni dentro de mi red, ni fuera, desde el movil, con conexion de datos.
Al final no se que hacer... dejarlo instalado, o desinstalarlo...

[danpacu]

Buenos días.
Intento reflotar el tema con una duda:
conseguí hacer que funcione el openvpn haciendole una regla nat en el router.
Pero cuando inicio el openvpn y utilizo el tunnelblick (utilizo mac book como ordenador "base") me da el mensaje que la ip publica no se ha cambiado. He seguido los pasos que indican en la pagina tunnelblik https://tunnelblick.net/cConnectedBut.h ... not-change pero me da error (añadi en el fichero generado la linea que indican en la pagina pero da error).
Alguien me puede orientar en el tema? Si me funciona el openvpn super bien por que no cambia la ip publica? Entendi bien que el papel de openvpn es de "esconder" tu ip publica, o no??
Gracias de antemano por las aclaraciones. UN saludo.

[egrueda]

Hay una opción en OpenVPN (y en las VPN en general) para que todo el tráfico sea enrutado a través del VPN.
Es decir, cuando me conecto a una VPN puedo usar la VPN sólo para acceder a los equipos de la red remota, o puedo usar la VPN para que mi salida a internet sea siempre a través de la VPN. ¿Hasta ahí comprendido?
Si opto por la opción 2, enrutar todo a la VPN, entonces ya no salgo a internet a través de mi router, sino que salgo a internet a través del router remoto, el de la VPN.
Por tanto no uso la IP pública de mi router, sino que uso la IP pública del router remoto, el de la VPN.
Si tunnelblick (que no lo conozco) te dice ese mensaje, significa que solo usas la VPN para acceder remotamente a una red, pero no la estás usando como puerta de enlace predeterminada, o sea, que sigues saliendo a internet por tu router.
Eso en sí no es un mensaje de error, sólo es una opción.

[ruben26]

Busco info similar, seguire el hilo

[danpacu]

POr fin una explicación coherente. Gracias.

[danpacu]

1.Hay una opción en OpenVPN (y en las VPN en general) para que todo el tráfico sea enrutado a través del VPN.
Es decir, cuando me conecto a una VPN puedo usar la VPN sólo para acceder a los equipos de la red remota, o puedo usar la VPN para que mi salida a internet sea siempre a través de la VPN. ¿Hasta ahí comprendido?
2. Si opto por la opción 2, enrutar todo a la VPN, entonces ya no salgo a internet a través de mi router, sino que salgo a internet a través del router remoto, el de la VPN.
Por tanto no uso la IP pública de mi router, sino que uso la IP pública del router remoto, el de la VPN.
3. Si tunnelblick (que no lo conozco) te dice ese mensaje, significa que solo usas la VPN para acceder remotamente a una red, pero no la estás usando como puerta de enlace predeterminada, o sea, que sigues saliendo a internet por tu router.
Eso en sí no es un mensaje de error, sólo es una opción.

Buenas noches. Reitero lo afirmado hasta ahora: gracias @egrueda por la manera de explicar las cosas. Estoy por declararte oficialmente mi guru (dime donde das clases que me presento y me apunto como alumno tuyo sin pensarmelo, ).

1.
Hasta aqui comprendido. Perfectamente.

2.
Esta es la opción que me interesa, pero donde he de configurarla? En mi mac? en la raspi???

3.
El error que menciono me lo da una vez añadida la linea "redirect-gateway def1" en el fichero de ovpns editado con nano en la raspi (aqui: https://tunnelblick.net/cConnectedBut.h ... not-change - lo que yo entendi fue añadir dicha linea al fichero ovpns). A eso me referia. POr lo demás siguio funcionando bien, aunque con la ip publica.
Espero haberme explicado mejor.
Gracias por las aclaraciones hasta el momento. UN saludo.

[danpacu]

Buenos días.
Hoy avancé un poco.
Al final añadi la linea: push "redirect-gateway def1" en el fichero ovpns generado en mi raspi, y me saca este mensaje el tunnelblick:
"
Después de conectarse a dan, el servidor DNS parece no estar funcionando.

Esto puede indicar que su VPN no está configurada correctamente."
Allí ya estoy un poco perdido.

[egrueda]

Genial, el "redirect-gateway def1" hace precisamente eso, que la puerta de enlace predeterminada sea a través de la VPN :-)
Así que ahora vamos con los DNS, ¿tienes algo en la configuración del servdor OpenVPN donde "envíes" a los clientes la configuración de los DNS?
Algo como:

Código: Seleccionar todo

push "dhcp-option DNS 1.1.1.1"
push "dhcp-option DNS 1.0.0.1"

[danpacu]

Genial, el "redirect-gateway def1" hace precisamente eso, que la puerta de enlace predeterminada sea a través de la VPN :-)
Así que ahora vamos con los DNS, ¿tienes algo en la configuración del servdor OpenVPN donde "envíes" a los clientes la configuración de los DNS?
Algo como:

Código: Seleccionar todo

push "dhcp-option DNS 1.1.1.1"
push "dhcp-option DNS 1.0.0.1"

Buenas tardes.
Tener esas dos lineas no las tenía. Las añadi, tal como las pusiste. No se si las direcciones dns eran de ejemplo o no.
Me sigue saliendo con la ip publica. Aqui el resultado y el "log" de tunnelblick: https://pastebin.com/WwE0wEk8
A lo mejor deberia cambiar el DNS, pero no se como saber cual poner. Cuando instalé openvpn en la raspi, deje el google, por decirlo de alguna manera "Por defecto" la configuración.
Algo estoy poniendo mal, pero no se que. Aún así, gracias por las aclaraciones.
UN saludo...

Edit: reemplacé los 1.1.1.1 con 8.8.8.8 y 8.8.4.4 pero nada. sigue igual....

[egrueda]

Pero veo que el VPN te está enviando los DNS de googoe, ¿es correcto?
Retrieved from OpenVPN: name server(s) [ 8.8.8.8 8.8.4.4 ]

¿Nos envías tu configuración de openvpn en el servidor?
Y recuerda que cualqueir cambio en la configuración requiere reiniciar el servicio openvpn

[danpacu]

Y recuerda que cualqueir cambio en la configuración requiere reiniciar el servicio openvpn

Basta con sudo service openvpn restart??? lo acabo de reiniciar y sigue igual.
La configuración es esta:
"
client
dev tun
proto udp
remote 90.162.165.165 XXXX
resolv-retry infinite
nobind
remote-cert-tls server
tls-version-min 1.2
verify-x509-name raspberrypi_4b9aae7c-e03b-4f58-8b9c-571b4ce5363a name
cipher AES-256-CBC
auth SHA256
auth-nocache
verb 3
push "redirect-gateway def1"
push "dhcp-option DNS 8.8.4.4"
push "dhcp-option DNS 8..8.8.8"

<ca>
aqui viene la clave, que no la puse, jejeje -
...
...

</key>
<tls-crypt>
#
# 2048 bit OpenVPN static key
static key (que no la pongo..)

...
...
</tls-crypt>
"
Eso es lo que tengo. Espero que sea eso lo que me pides. Si no, por favor, dime como encontrar dicha configuración...
Aleeee

[egrueda]

Pero.. ¿esa es la configuración del servidor o del cliente?
Yo busco la del servidor, la de la raspi, si no me equivocop

[danpacu]

Pero.. ¿esa es la configuración del servidor o del cliente?
Yo busco la del servidor, la de la raspi, si no me equivocop

eso me aparece en el fichero dan.ovpn en la carpeta ovpns. si deberia mirar en otro sitio, "apuntame" y disparo... jeje.

A ver si es esto: del ficehro /etc/openvp/server.conf:

"cat server.conf

Código: Seleccionar todo

dev tun
proto udp
port 1194
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/raspberrypi_4b9aae7c-e03b-4f58-8b9c-571b4ce5363a.crt
key /etc/openvpn/easy-rsa/pki/private/raspberrypi_4b9aae7c-e03b-4f58-8b9c-571b4ce5363a.key
dh none
ecdh-curve prime256v1
topology subnet
server 10.8.0.0 255.255.255.0
# Set your primary domain name server address for clients
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
# Prevent DNS leaks on Windows
push "block-outside-dns"
# Override the Client default gateway by using 0.0.0.0/1 and
# 128.0.0.0/1 rather than 0.0.0.0/0. This has the benefit of
# overriding but not wiping out the original default gateway.
push "redirect-gateway def1"
client-to-client
client-config-dir /etc/openvpn/ccd
keepalive 15 120
remote-cert-tls client
tls-version-min 1.2
tls-crypt /etc/openvpn/easy-rsa/pki/ta.key
cipher AES-256-CBC
auth SHA256
user openvpn
group openvpn
persist-key
persist-tun
crl-verify /etc/openvpn/crl.pem
status /var/log/openvpn-status.log 20
status-version 3
syslog
verb 3
#DuplicateCNs allow access control on a less-granular, per user basis.
#Remove # if you will manage access by user instead of device. 
#duplicate-cn
# Generated for use by PiVPN.io

"