Asignar IP estáticas a Clientes VPN (OpenVPN)

[ssantis]

Buenas,

Actualmente tengo corriendo en mi servidor Zentyal 2.0, el módulo VPN y este funciona bien en cuanto a conectividad se refiere. Sin embargo, tengo que dar acceso a unos pocos usuario de una LAN ubicada en otra empresa a través de este servicio y a pesar de generar certificados y paquetes con las credenciales del cliente (OPENVPN), para cada funcionario, cuando intento conectarme siempre asigna la misma IP.

Me gustaría saber como hago para asignar las IP de forma estática a cada cliente.

Gracias.

[cabildocl]

esto te puede ayudar

http://mtehrani30.blogspot.com/2008/03/openvpn-clientss-static-ip.html

[erodriguez]

Hola, soy nuevo por aca, pero puedo comentarles la solución más sencilla para este tema, todo ira relacionado con los certificados que crees para tu vpn, por ejemplo, cuando creas la vpn, tienes un sertificado para el servidor y debes crear vaarios para los clientes

server: certificado-servidor-vpn
seleccionas autorizar a los clientes por su nombre comun y colocas certificado-cliente-vpn

luego debes crear en la autoridad de certificacion tantos certificados como clientes tengas
certificado-cliente-vpn-1
certificado-cliente-vpn-2
certificado-cliente-vpn-3
certificado-cliente-vpn-4

luego cuando te vas a descargar el paquete de configuracion seleccionas para cada cliente un certificado y generas el cliente para cada uno de ellos, el tema de la ip fija no es problema ya que el servidor guarda una relacion certificado ip.

[klausneil]

Saludos erodriguez:

Tu explicación es muy buena, pero podrías entrar en detalle de como unirías el cliente con el ip privado de tu red ya que por default openvpn asigna en otro rango de ip, te agradecería si pusieras los pasos de tu configuración para tener una idea clara, por otro lado veo que comentas que ya estas trabajando con este servicio, dime has podido acceder desde un cliente vpn externo a una pc de tu red interna (desde la casa a la pc dentro de la red) pues he visto que muchos tienen este problema, ojala me puedas dar una idea, muchas gracias.

[davidaortizo]

Hola klausneil   lo que tiene de diferente ssantis es que está manejando la versión 2.0 eso ya es otro esquema muy diferente para los que estamos en la 3.0

[klausneil]

Saludos davidaortizo:

Te agradecería que comentes si tuvieras un aporte al problema, pues mi pregunta es para erodriguez y su planteamiento.

Si alguien ha realizado un esquema similar a erodriguez le agradecería que detalle sus pasos. mas aun para relacionar los clientes externos a la red interna si estos están conectando con la ip publica.

[pcready.cl]

Saludos davidaortizo:

Te agradecería que comentes si tuvieras un aporte al problema, pues mi pregunta es para erodriguez y su planteamiento.

Si alguien ha realizado un esquema similar a erodriguez le agradecería que detalle sus pasos. mas aun para relacionar los clientes externos a la red interna si estos están conectando con la ip publica.

Nadie te va a decir exactamente como se hace tienes que documentarte tu mismo con los tips que puedan dar, si quieres que te capaciten paga los examenes y cursos de Zentyal, esta claro.

Si quieres te ayuda remoto y me pagas en Paypal y asi te digo cual es tu problema, pero apuesto a que tampoco harias eso.

El solo hecho de que un usuario te diga que la version 2 no es igual a la 3 ya es un aporte importante, no todos tienes tu "experiencia" al leer los post, por lo que para mas de alguien sera practico saber algo asi.

[klausneil]

mira pcready.cl con respecto TU COMENTARIO


Si no te gusta COMPARTIR TU INFORMACIÓN NO LO HAGAS, si la persona a la que le solicite los pasos que sigui lo desea muy bien por el, pero si no te parece es mejor que ni siquiera te pases por los post que piden ayuda, pues al parecer eres de esos que solo se dedica a responde con un si o un no, creo que la idea de tener este foro es compartir toda la información que se quiera brindar, si no se desea simplemente no se responde, pero al menos en mi caso, en muchos de los post que solicitan ayuda les detallo como hacerlo, pues otros me han dado la misma ayuda.

SI NO TIENES UN MINIMO DE INTERES EN AYUDAR no te pasees por los post o almenos en los míos, pues como te vuelvo a repetir creo que esa es la idea principal de tener un foro, la de COMPARTIRR información.

JAJJAJJA SI QUIERES VENDERTE CREO QUE MEJOR LO HACES EN OTRO LADO PORQUE AQUI NO CREO QUE UNO SE PUEDA PROMOCIONAR, creo que aquí se comparten ideas, sino mejor callado. ah también te recomendaría que para vender tu ayuda tengas una mejor forma de como ofrecerla, de ese modo creo que no te ira bien, ah verdad, sino no tendrías porque promocionarte aquí.

[pcready.cl]

mira pcready.cl con respecto TU COMENTARIO


Si no te gusta COMPARTIR TU INFORMACIÓN NO LO HAGAS, si la persona a la que le solicite los pasos que sigui lo desea muy bien por el, pero si no te parece es mejor que ni siquiera te pases por los post que piden ayuda, pues al parecer eres de esos que solo se dedica a responde con un si o un no, creo que la idea de tener este foro es compartir toda la información que se quiera brindar, si no se desea simplemente no se responde, pero al menos en mi caso, en muchos de los post que solicitan ayuda les detallo como hacerlo, pues otros me han dado la misma ayuda.

SI NO TIENES UN MINIMO DE INTERES EN AYUDAR no te pasees por los post o almenos en los míos, pues como te vuelvo a repetir creo que esa es la idea principal de tener un foro, la de COMPARTIRR información.

JAJJAJJA SI QUIERES VENDERTE CREO QUE MEJOR LO HACES EN OTRO LADO PORQUE AQUI NO CREO QUE UNO SE PUEDA PROMOCIONAR, creo que aquí se comparten ideas, sino mejor callado. ah también te recomendaría que para vender tu ayuda tengas una mejor forma de como ofrecerla, de ese modo creo que no te ira bien, ah verdad, sino no tendrías porque promocionarte aquí.

Estimado, aca en chile ya tengo una empresa con eso y Zentyal es una de las plataformas que implementamos por su capacidad de escalabilidad.

Por lo general yo ayudo a los usuarios pero tu eres prepotente en el post anterior y vuelves a hacer en este, yo te respondi de la misma manera (prepotente) y te alteraste mas, eso significa que no sabes resolver conflictos.

Respecto a la ayuda no cobro por ayudar aca para nada, pueden revisar mis post y es la unica vez que hago algo asi y lo hice para para molestarte, yo atiendo a empresas no a particulares, es mas, muchos usuarios del extranjero me han llamado a mis telefonos publicados en mi firma para pedirle ayuda y sea por telefono, ssh o vnc hemos resolvido problema, la ultima persona que me llamo era de Venezuela y trabajaba en una escuela y lo ayude.

Es mas, hace poco cree un tutorial de solucion de problemas para discos RAID 1 con Zentyal.

Hice una consulta:
http://forum.zentyal.org/index.php/topic,15528.0.html

Y como nadie me respondio me documente y solucione el problema yo mismo y ademas lo solucion a hice publica para que alguien mas la tenga si le sucede algo asi, te fijas!

No es a la unica comunidad Open Source de la que soy parte activa, si no que ademas ayudo a quien lo necesite y creo tips de como solucionar problemas.

Respecto a tu problema, en otros post relacionados a tu problema tambien te ofreci ayuda y no puse lo mismo que aca. Pero entiende, si tu eres prepotente no esperes que el resto sea una taza de leche contigo.

Lo que dijo el usuario respecto a las versiones es muy imporante, la version 2 es muy distinta de la 3 (Zentyal) y a veces la gente pide ayuda diciendo..

"no puedo hacer un vlan, no puedo compartir archivos en red, etc"

Y lo primero que uno debe preguntar es "que version de Zentyal usas"? Ya que si no le puedes dar un tutorial de vlans y samba para Zentyal 3 y si usa la version 2, los comandos o no funcionan o le dañaran el sistema, eso es basico.

Bueno, espero haber aclarado el punto y no estoy aca para crear "enemigos" y tampoco tengo tiempo para ello.

Saludos a los del foro y si tienen dudas escribanlas y yo les ayudare si tengo el conocimiento, pero que todo no lo se.

[klausneil]

y dices que no se controlarme cuando al decir que haces las cosas para causar una sensación de malestar a otra TE PARECE CORRECTO??? creo que deberías primero pensar antes de actuar, y si te escribí así era para ver hasta que punto puedes dar por concluido un comentario o critica que no te gusta, pero al parecer no eres de los que ponen paños fríos PUES TU TAMBIÉN ERES MUYYYY PREPOTENTE, creo que por eso esta demás que sigamos encajonados en un tema que no tiene sentido.

Ahora te comprendo cuando te refieres a que se debe de tener muy encuesta sobre la versión que uno esta usando, pero mas que eso le hice la consulta a la tercera persona que hacia el comentario detallado de como estaba su configuración, mas allá de que la v 2.x y la 3.x son diferentes me daría una idea de como poder hacerlo en la versión 3; pues no me hacia referencia al primer tema que se estaba publicando, para aclarar este punto.

Y bueno aun asi he visto tu publicacion en este enlace http://forum.zentyal.org/index.php/topic,15411.msg64138.html#msg64138 gracias.

[pcready.cl]

Bueno, ya que nadie mas se pronuncio en el tema, te dare la solucion.

Si bien Zentyal usa servicios de terceros como Open-VPN, Zentyal no puede modificar el funcionamiento especifico de estos, solo puede hacer plantillas de configuracion para que tu hagas todo por una interfaz grafica en vez de comandos.

Entonces el procedimiento para asignar las IP's Fijas es el mismo que si estuvieras trabajand con un Open-VPN stantart.

Entonces, para configurar OVPN bajo nuestras necesidades debemos documentarnos para hacer, entonces:

Segun este articulo se puede hacer de esa manera: http://unix-heaven.org/openvpn-static-addresses

El tema es que esa forma esta desactualizada pero nos ayuda a entender como funciona el servicio, por lo que haremos lo siguiente:

Buscamos el archivo de configuracion OVPN:

Code: [Select]

cd /etc/openvpn
Una vez alli, hacemos un LIST del contenido

Code: [Select]

ls
Nos mostrara algo como esto


En mi caso, el nombre del mi VPN de prueba es GALA-IMP, vamos a abrir el archivo "GALA-IMP.conf" para ver su estructura y si hace referencias a las IP's fijas, ejecutamos lo siguiente:

Code: [Select]

sudo nano GALA-IMP.conf
Al abrirlo veremos que el archivo si tiene referencia en una de sus lineas y nos hace refencia a un archivo llamado "GALA-IMP-ipp.txt"


Cerramos nano para abrir el archivo mencionado, para abrirlo ejecutamos lo siguiente:

Code: [Select]

sudo nano GALA-IMP-ipp.txt
Al abrirlo el archivo deberian salir los clientes que ya tienes creados, en mi caso el cliente creado es "test-vpn" y me asigo la IP 192.168.160.4

Code: [Select]

test-vpn,192.168.160.4
Si quiero cambiarla por otra, puedo hacerlo mientras este en el rango de OVPN.
Ej:

Code: [Select]

test-vpn,192.168.160.15
Guardas los cambios en nano, reinicias el servicio:

Code: [Select]

sudo service zentyal vpn restart
Y vuelves a conectar el cliente, deberia estar con la ip que indicaste tu.

Si no quieres que los equipos tengan una IP fija y que funcione el DHCP para las asignaciones debes comentar la linea "ifconfig-pool-persist '/etc/openvpn/GALA-IMP-ipp.txt'" con un ;

Ej:

Code: [Select]

;ifconfig-pool-persist '/etc/openvpn/GALA-IMP-ipp.txt'
Guardas los cambios, reinicias el servicio:

Code: [Select]

sudo service zentyal vpn restart
Y ya deberia asignarte las ip con DHCP, espero haberte ayudado.

[klausneil]

Muchisimas gracias por tu ayuda pcready.cl que te vaya bien.

[pcready.cl]

Muchisimas gracias por tu ayuda pcready.cl que te vaya bien.

No hay problema!

[erodriguez]

Compa fijate, la explicacion que te da pcready.cl es correcta, fijate tambien en las reglas del firewall, yo tuve una tranca en ese sentido y eran algunas reglas del firewall, la configuracion que tengo es de tres almacenes por ahora con una planta principal y cada uno de los clientes de las lan se pueden ver entre ellos, yo utilizo en cada punto de conexion un servidor zentyal, recuerda que si quieres activar dos subredes por medio de openvpn y tener dos servidores zentyal debes activar la opcion de permitir tuneles de zentyal a zentyal, lo que tu quieres hacer creo que es lo que se llama roadwarriors, esto debes activarlo solo con los certificados, /etc/openvpn/nombre-tu-vpn/nombre-tu-vpn-ipp.txt, en este archivo podras ver la relacion certificados ip, porque te digo que no te preocupes por asignaciones fijas, ya que el servidor vpn funcionara tambien como dhcp, y cuando un cliente se conecte con un certificado especifico la ip asignada segun el certificado siempre le sera asignada al mismo cliente, siempre que no realices modificaciones en la configuracion original, para que los clientes se comuniquen debes activar en la configuracion del servidor vpn permiten comunicacion entre clientes.

Un consejo primero prueba con un solo cliente, con un certificado, como te comente si el certificado de ese cliente es vpn-cliente al segundo cliente creale un certificado que se llame vpn-cliente-2 hasta n claro limitado por el tamaño de la cantidad de hosts permitidos por la subred de la vpn.

Revisa esto http://doc.zentyal.org/es/vpn.html

Tenia dias sin entrar al foro abollado en el trabajo por eso no te respondi antes y la idea no es pelear srs, la idea es ayudarnos para eso es la comunidad.