OpenVPN no conecta

[JaviGV]

Buenas tardes a tod@s,
He instalado un servidor openvpn en mi Raspberry Pi 3, mediante pivpn. He seguido las indicaciones del instalador y de varios tutoriales que he encontrado y termina la instalación sin problema.
Posteriormente he creado un usuario y con el archivo de configuración que se crea cliente.ovpn me he intentado conectar tanto desde mi móvil android como desde un ordenador con linux y en ninguno de los dos casos se conecta.
He comprobado tanto que el puerto está abierto tanto en la Raspberry Pi, como que está redireccionado en el router.
Cuando compruebo los servicios me indica que está funcionando:
systemctl status openvpn\@server.service
● openvpn@server.service - OpenVPN connection to server
Loaded: loaded (/lib/systemd/system/openvpn@.service; enabled; vendor preset: enabled)
Active: active (running) since Sun 2017-11-26 19:24:32 CET; 21min ago
Docs: man:openvpn(8)
https://community.openvpn.net/openvpn/w ... n23ManPage
https://community.openvpn.net/openvpn/wiki/HOWTO
Process: 420 ExecStart=/usr/sbin/openvpn --daemon ovpn-server --status /run/openvpn/server.status 10 --cd /etc/openvpn --config /etc/openvpn/server.conf --writepid /run/openvpn/server.pid (code=exited, status=0/SUCCESS)
Main PID: 433 (openvpn)
CGroup: /system.slice/system-openvpn.slice/openvpn@server.service
└─433 /usr/sbin/openvpn --daemon ovpn-server --status /run/openvpn/server.status 10 --cd /etc/openvpn --config /etc/openvpn/server.conf --writepid /run/openvpn/server.pid

nov 26 19:24:32 raspberrypijavi systemd[1]: Starting OpenVPN connection to server...
nov 26 19:24:32 raspberrypijavi systemd[1]: Started OpenVPN connection to server.

Además netstat me indica que openvpn está escuchando:
sudo netstat -pnta | grep openvpn
tcp 0 0 0.0.0.0:42431 0.0.0.0:* LISTEN 433/openvpn

Cuando compruebo openvpn.log, en principio todo está correcto:
Sun Nov 26 19:24:32 2017 OpenVPN 2.4.0 arm-unknown-linux-gnueabihf [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Jul 18 2017
Sun Nov 26 19:24:32 2017 library versions: OpenSSL 1.0.2l 25 May 2017, LZO 2.08
Sun Nov 26 19:24:33 2017 TUN/TAP device tun0 opened
Sun Nov 26 19:24:33 2017 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Sun Nov 26 19:24:33 2017 /sbin/ip link set dev tun0 up mtu 1500
Sun Nov 26 19:24:33 2017 /sbin/ip addr add dev tun0 10.8.0.1/24 broadcast 10.8.0.255
Sun Nov 26 19:24:33 2017 Could not determine IPv4/IPv6 protocol. Using AF_INET
Sun Nov 26 19:24:33 2017 Listening for incoming TCP connection on [AF_INET][undef]:42431
Sun Nov 26 19:24:33 2017 TCPv4_SERVER link local (bound): [AF_INET][undef]:42431
Sun Nov 26 19:24:33 2017 TCPv4_SERVER link remote: [AF_UNSPEC]
Sun Nov 26 19:24:33 2017 GID set to nogroup
Sun Nov 26 19:24:33 2017 UID set to nobody
Sun Nov 26 19:24:33 2017 Initialization Sequence Completed

A pesar de todo sigo sin poder conectarme.

Alguien tiene alguna idea de cual puede ser el problema.

Gracias de antemano.

Saludos

[caylus]

El puerto 443 es para HTTPS y no para OpenVPN, el puerto por defecto para OpenVPN es el 1194.

Abrazos

[JaviGV]

El puerto que utilizo es el 42431, lo cambié para no utilizar el puerto por defecto.
tcp 0 0 0.0.0.0:42431 0.0.0.0:* LISTEN 433/openvpn
El 433 era el PID del proceso que está escuchando, en este caso openvpn.

Gracias de todas formas

[caylus]

Lo siento, me di cuenta después. Creo que el problema lo tienes en el OpenSSL, revisa el script de instalación. La última versión de OpenSSL es muy “puñetera” (Como dice mi madre ) y puede no estar bien direccionada en el script.

Abrazos

[JaviGV]

Al final lo he conseguido. El problema estaba en el router que no me redireccionaba bien el puerto que había elegido. Lo comprobé parando el servicio y corriendo el comando nc con el puerto elegido y desde otra maquina ejecutar también nc. Al comprobar que no se comunicaban era señal de que el puerto no estaba bien redireccionado.
Así que finalmente cambié el puerto y volví a configurar openvpn consiguiendo esta vez que funcionara sin problemas.

Saludos

[caylus]

Estupendo!

Un abrazo

[ruru]

Yo también tengo problemas a la hora de conectar he abierto el puerto, pero se queda conectando hasta que me da error. Erro tls o algo así. Lo he hecho varias veces desde el principio y nada, será del openvpn. Estoy un poco perdido.

[danpacu]

Buenos días.
Perdonad por reflotar el hilo - tengo algo que no me queda nada claro:
1. Tengo instalado openvpn en mi raspi - en la intalación le dije que utilizara un dominio no-ip mío. Le cambie el puerto por defecto (el 1194) por otro - 55590 (abierto correspondientemente en el router con UPD - como protocolo). Hasta allí bien.
2. Cree dos perfiles: uno mío - dan.opnvp y uno para sagra.opnvp - que es mi mujer.
3. Una vez conectado con mi perfil - todo bien - tenía acceso a WAN sin problemas, a mi red local tambíen - perfecto.
4. Pero el perfil sagra.opnvp, a pesar de coenctar sin problemas, con us ip privada en orden y agregada a ufw para que no me la filtrara (no se si digo bien) el firewall daba problemas con el acceso a WAN. Me explico: conectado a mi servidor openvp accedia a mis servicios (como si estuviera en LAN) pero si quería acceder a Google no cargaba ni p'atras.
5. HAciendo sudo netstat -ntpl | grep openvpn la salida no mostraba nada. Es decir nada en absoluto. EN hacer sudo netstat -ntpl | grep 55590 la salida se queda en negro. No muestra nada. AL hacer sudo netstat -ntpl | grep openvpn tampoco me muestra nada la salida. No entiendo - si el servidor funciona, me conecto sin problemas, porque no me muestra nada netstat?
6. Por otro lado, haciendo tail -f /var/log/openvpn.log una de las lineas es:

Código: Seleccionar todo

 Aug 10 10:59:48 raspi4 ovpn-server[704]: sagra/90.167.43.84:37119 SENT CONTROL [sagra]: 'PUSH_REPLY,dhcp-option DNS 10.184.103.1,block-outside-dns,redirect-gateway def1,route-gateway 10.184.103.1,topology subnet,ping 15,ping-restart 120,ifconfig 10.184.103.3 255.255.255.0,peer-id 0,cipher AES-256-GCM' (status=1) 

Y no entiendo que quiere decir: block-outside-dns.
LO que hice sin embargo fue añadir la regla a ufw allow from 10.184.103.1 - y al parecer fue lo que abrió la posibilidad de que el móvil de mi señora, conectado al tunel openvp tenga acceso completo a WAN.
Así que, resumiendo: que pasa aqui con mi openvpn - que va bien pero no va tan bien? O es impresión mía? O configuré algo a medias bien, a medias mal?
Gracias de antemano.

[caylus]

Buenos días.
Perdonad por reflotar el hilo - tengo algo que no me queda nada claro:
1. Tengo instalado openvpn en mi raspi - en la intalación le dije que utilizara un dominio no-ip mío. Le cambie el puerto por defecto (el 1194) por otro - 55590 (abierto correspondientemente en el router con UPD - como protocolo). Hasta allí bien.
2. Cree dos perfiles: uno mío - dan.opnvp y uno para sagra.opnvp - que es mi mujer.
3. Una vez conectado con mi perfil - todo bien - tenía acceso a WAN sin problemas, a mi red local tambíen - perfecto.
4. Pero el perfil sagra.opnvp, a pesar de coenctar sin problemas, con us ip privada en orden y agregada a ufw para que no me la filtrara (no se si digo bien) el firewall daba problemas con el acceso a WAN. Me explico: conectado a mi servidor openvp accedia a mis servicios (como si estuviera en LAN) pero si quería acceder a Google no cargaba ni p'atras.
5. HAciendo sudo netstat -ntpl | grep openvpn la salida no mostraba nada. Es decir nada en absoluto. EN hacer sudo netstat -ntpl | grep 55590 la salida se queda en negro. No muestra nada. AL hacer sudo netstat -ntpl | grep openvpn tampoco me muestra nada la salida. No entiendo - si el servidor funciona, me conecto sin problemas, porque no me muestra nada netstat?
6. Por otro lado, haciendo tail -f /var/log/openvpn.log una de las lineas es:

Código: Seleccionar todo

 Aug 10 10:59:48 raspi4 ovpn-server[704]: sagra/90.167.43.84:37119 SENT CONTROL [sagra]: 'PUSH_REPLY,dhcp-option DNS 10.184.103.1,block-outside-dns,redirect-gateway def1,route-gateway 10.184.103.1,topology subnet,ping 15,ping-restart 120,ifconfig 10.184.103.3 255.255.255.0,peer-id 0,cipher AES-256-GCM' (status=1) 

Y no entiendo que quiere decir: block-outside-dns.
LO que hice sin embargo fue añadir la regla a ufw allow from 10.184.103.1 - y al parecer fue lo que abrió la posibilidad de que el móvil de mi señora, conectado al tunel openvp tenga acceso completo a WAN.
Así que, resumiendo: que pasa aqui con mi openvpn - que va bien pero no va tan bien? O es impresión mía? O configuré algo a medias bien, a medias mal?
Gracias de antemano.

Querido @danpacu.

El servidor OpenVPN introdujo, desde la versión 2.3.9, el comando "block-outside-dns" como un método para evitar fugas de DNS en los clientes configurados en Windows. De esta forma, se bloquea el acceso a servidores VPN a través de interfaces de red normales usando las reglas de la Plataforma de Filtrado de Windows (WFP).

Para evitar los problemas relacionados con "block-outside-dns" sólo tienes que editar el archivo “sagra.ovpn” y añadir debajo de la línea:

verb 3

La siguiente línea:

pull-filter ignore "block-outside-dns"

Espero que te sea de ayuda.

Un besote para ti, tu mujer y los “nanos”.

[danpacu]

Ok. Gracias por tu ayuda, @caylus.
Me dispongo a hacer dicho cambio en el fichero. Si doy con algun contratiempo (lo más normal en mi, jejejej) te lo comento.

[danpacu]

Buenas, @caylus

Pues hoy, al llegar al pueblo me conecté con mi perfil de openvpn desde el movil y sorpresaaaa!!! no me carga google.
El comando tail -f /var/log/openvpn.log me muestra
“ug 11 20:45:09 raspi4 ovpn-server[709]: dan6/90.167.43.249:9046 PUSH: Received control message: 'PUSH_REQUEST'
Aug 11 20:45:09 raspi4 ovpn-server[709]: dan6/90.167.43.249:9046 SENT CONTROL [dan6]: 'PUSH_REPLY,dhcp-option DNS 10.184.103.1,block-outside-dns,redirect-gateway def1,route-gateway 10.184.103.1,topology subnet,ping 15,ping-restart 120,ifconfig 10.184.103.2 255.255.255.0,peer-id 0,cipher AES-256-GCM' (status=1)
Aug 11 20:47:14 raspi4 ovpn-server[709]: dan6/90.167.43.249:9046 SIGTERM[soft,remote-exit] received, client-instance exiting” (ahora esta apsgado, de allí el sigterm!!).
que hago mal con mi servidor openvpn para que no funcione como es debido??
Edit: después de añadirle la regla indicada (pull ignore……) parece que de momento funciona. Esto es muy desconcertante. Aún así, gracias, @caylus, por la ayuda e indicaciones. Cualquier desarrollo posterior lo comentaré.