BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

Fallo de negociación TLS al conectar con OpenVPN al servidor VPN de mi NAS

abasket6
1

Instalé en mi NAS el VPN Server y quiero usar OpenVPN. Abrí el puerto 1194 pero me da fallo de negociación TLS. Intento conectar mi oficina con mi casa.

He revisado los puntos de fallo pero no doy con el tema. Resulta que desde mi móvil 4G con la app conecta perfectamente. Si es cosa de que esta capada la entrada-salida en la oficina, ¿qué puedo hacer? ¿Cómo puedo conectar con casa con VPN? También probé a usar PPTP y e IPSEC y nada. También abriendo sus puertos.

Del tema de certificados no he tocado nada. En el OpenVPN tengo la config por defecto y la IP de mi servidor NAS, además de comentadas un par de líneas. Desde mi móvil conecta.

Sale algo asi, y he revisado todo lo que comentan en la ayuda de OpenVPN

Mon Aug 13 14:30:20 2018 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Mon Aug 13 14:30:20 2018 TLS Error: TLS handshake failed
vukits
1

tan sencillo como, en vez del 1194, configurar el puerto 443 .. que al ser https, no lo vigila ningún firewall básico

🗨️ 8
BocaDePez
BocaDePez

"Básico"muy bien dicho, porque si se trata de un cortafuegos que analize el tráfico e inspeccione los certificados por muy 443 que tengas configurado no te va a permitir conectarte. Lo digo por ejemplo por los cortafuegos de la marca Watchgard ( entre muchos otros ) que no hay manera de pasar su protección.

Saludos.

🗨️ 5
rbetancor
2

Pues menudo trabajo tiene el admin de es FW, si tiene que estar autorizando certificado por certificado de los sitios SSL que autoriza.

🗨️ 4
BocaDePez
BocaDePez
1

No se como funciona exactamente, pero primero, cuando estas en un equipo dentro de la lan, debes instalarte un certificado del watchguard y luego ya te deja navegar con ssl, si no te instalas este certificado no te deja acceder a ningún sitio. Luego, por lo que he podido ver, si miras los certificados de las webs ( absolutamente todos) no sale el certificado de la propia web sino el del watchguard.

No creo que el pobre admin deba autorizar todos los certificados uno a uno, menuda faena! Y también supongo que si el cortafuegos detecta tráfico que no sea web por el puerto 443 te lo bloquea automáticamente. Pero repito, no tengo ni idea de como debe funcionar.

🗨️ 2
rbetancor
1
BocaDePez
BocaDePez
BocaDePez
BocaDePez

Lo acabo de mirar en la web de watchguard. El puerto 443 pasa por un proxy que inspecciona el contenido seguro ( aquí entra en juego el tener que aceptar el certificado del watchguard en los equipos cliente). Al aceptar este certificado lo que permites es que el proxy pueda examinar dentro del contenido cifrado, si no lo aceptas no puede y luego, como medida de protección, bloquea todo el tráfico sea cual sea en este puerto).

Por otra parte, si configuras el puerto OpenVPN por otro que no sea 443 se debería de permitir explícitamente mediante una norma o regla de acceso en el propio cortafuegos. Al ser una red empresarial, me imagino que hay una regla de base que sea denegar todo y luega definidas una serie de reglas para ir permitiendo los tráficos que desean.

abasket6

en la oficina no hay watchguard.

🗨️ 1
BocaDePez
BocaDePez

No tiene por qué ser WG.

Cualquier firewall avanzado (NGFWs) hace inspección de SSL (Checkpoint, Forti, Sonicwall...etc)

Si tienes uno de esos bien configurado, lo tienes difícil.

BocaDePez
BocaDePez

El 443 lo he probado y sucede igual. Lo q hago es abrir en el router el 443 y ponerlo como puerto en el archivo config de openvpn justo detras de la ip del servidor. Me falta algo? Cdo decis por tcp ademas de señalarlo de ese tipo en el router imagino q tb hay q ponerlo en el archivo...podeis pasar una captura porfa?..Gracias.

🗨️ 4
vukits
1

Qué VPN os dejan usar desde la empresa?

🗨️ 3
BocaDePez
BocaDePez

Ninguno. Soy yo q quiero ver los recursos de casa. Seguro q esta capado. Pero alguna forma habra de llegar digo yo. Pense q VPN era factible. Entiendo q si conecta con el movil. Problemas de certificado no sera..tb he probado la wifi de alli y tampoco...

🗨️ 2
vukits
1

cachondo, cómo que ninguno 😂

me vas a decir que invierten dinero en firewall, para no ofrecer movilidad..

🗨️ 1
BocaDePez
BocaDePez
BocaDePez
BocaDePez

Si con la aplicación de tu móvil puedes acceder sin problemas, y en la red de tu empresa no te deja.... mal veo la cosa. Ahí hay más cosas que un simple cortafuegos. Intenta averiguar que protecciones utilizan en tu empresa para el acceso a internet.

kanemoto
1

Puerto UDP 1194, siempre. Cambia las DNS del NAS y ponle las de google u otras que no sean la de tu router, que quizás tengas ahora.

🗨️ 2
BocaDePez
BocaDePez

No creo que sea esto. Yo tengo una máquina virtual con OpenVPN funcionando por el puerto 443 y con los servidores dns internos de la red y me está funcionando a la perfección desde hace más de un año.

🗨️ 1
kanemoto
1

El puerto predeterminado de OpenVPN es el 1194 UDP, el 443 es el predeterminado para web cifrada: https

En tema de las dns le ocurrió a un amigo mío, le indicó que apuntara a las de google en vez de al router y funcionó.

La respuesta técnica la desconozco.

sjlopezb

Pregunta: ¿sistema operativo? En Linux, lo acabo de resolver con el paquete resolvconf...

🗨️ 4
BocaDePez
BocaDePez

Uso Windows 7. Pero a ver como lo has hecho en Linux... Lo último que he hechoo es generar un certificado en vpn server de la nas y espero sirva para conectarme desde openvpn cliente....tengo putty y demas porque la nas rula con linux

🗨️ 2
abasket6

Gracias por la respuestas. Esas pruebas paso a paso estas mas que realizadas. Ninguno de los protocolos me conecta. He abierto todos ese puertos ni nada. Se me queda "conectando..." Os paso las capturas.

captura2.jpgcaptura.jpgcaptura4.jpgcaptura3.jpgcaptura5.jpg
BocaDePez
BocaDePez

en linux tb me serviria...pero siendo en mi pc pq en servidores paso....

BocaDePez
BocaDePez

Pienso que debe haber algo porque no me deja conectar dese allí a mi casa y desde cualquier otro que he probado punto a mi casa llego sin problemas.

abasket6

Para analizar y concluir algo de mi NO conexion me sirve para algo saber la ip publica del router destino?..router frontera de mi oficina?

vukits

ahora que lo pienso...

¿puedes conectarte usando tu móvil como modem?

a ver si va a ser que has configurado algo mal en el ordenador

🗨️ 2
abasket6

con la APP del movil (open VPN) que hay conecto perfectamente. Es decir por 4G. tb probe a general una red adhoc con el movil conectandome con el portatil a ella y luego desde esa conexion a mi casa y tb conecto....al vpn server.

lo que falla es desde la oficina.

🗨️ 1
vukits

Hay maneras de obfuscar el trafico , pero es mucho lío.

Cuando estés seguro de que no hay ningún puerto sin supervisar, pasante por aquí y te comento

abasket6

DECIR que por el movil solo me deja con cifrado MD5 por RSA SHA1 me dice que no encuentra "Parse KEY..."

vukits

a ver… antes de nada, un tuto, que sigo usando en mi cabeza

ojo, para dispositivos móviles, iPhone,etc, es mejor usar tun que tap…

client
remote 192.168.25.26 1194
resolv-retry infinite
proto udp
nobind
dev tap
ca im_ca.crt

cert user1.crt
key user1.key
comp-lzo
keepalive 10 120

float

otras cosas de sentido común que debes probar, para descartar que sea problema del router principal… hay que ver si desde tu red local te puedes conectar al servicio OpenVPN …

🗨️ 2
abasket6

estoy intentando probar esto que parece lo mas elemental. Ajustando lo que ya tengo...lo que pasa es que mi router no me deja agregar una ruat estatica como dice en el ultimo parrafo. Es un Cisco pequeño y no se llegar dentro si no es por web.

Es un Cisco SPA122 temporal previo ASUS.

🗨️ 1
vukits

No hace falta meter rutas