ccastrol Hola,
Aquí en este Post les explicare algunos detalles sobre la configuración de OpenVPN con RoadWarrior. Existen muchos manuales por ahí en la web solo hace falta googlear un poco para encontrar algo. Pero por alguna razón no te explican completamente todo, o quizás yo no he leído mucho.
Para mi experiencia personal arme un servidor OpenVPN sobre CentOS 5.5 siguiendo este tutorial publicado por ECUALUG:
El detalle que pude encontrar es que si bien se habla de un Firewall nunca pensé que en mi OpenVPN loo necesitaba ya que yo tenia otro firewall antes de mi VPN y aunque tenia todas las salidas libres el servidor OpenVPN no funcionaba.
a las final hay que agregar un firewall a base de iptables un script muy sencillo que lo pongo a continuación:
#rc.firewall: A firewall script
#Creado por: Castro Leon, el 18/MAR/2011
# Activando bandera de filtrado de paquetes
echo 1 > /proc/sys/net/ipv4/ip_forward
#Prerouting
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p tcp –dport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p udp –dport 1194 -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp –sport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp –dport 1194 -j ACCEPT
iptables -A OUTPUT -o eth0 -j ACCEPT
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A OUTPUT -o tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A OUTPUT -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -j ACCEPT
iptables -A INPUT -i tap+ -j ACCEPT
iptables -A FORWARD -o tun+ -j ACCEPT
iptables -A INPUT -p icmp –icmp-type echo-request -j ACCEPT
# ultimo cambio
iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state –state NEW -o eth0 -j ACCEPT
iptables -A FORWARD -m state –state ESTABLISHED,RELATED -j ACCEPT
#echo «Habilitando que salgan todas las conexiones pero entren solo las relaciondas»
iptables -A FORWARD -i eth0 -o eth1 -m state –state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
#/sbin/iptables -A FORWARD -j LOG
#echo «Habilitando SNAT (masquerade) en eth0»
/sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
Para aclarar en este firewall mi eth1 es la red LAN y mi eth0 en mi WAN. N soy un experto en el tema de IpTables pero si alguien puede corregir este código se lo agradeceré.
Por otro lado en este servidor no hay otro servicio adicional corriendo en simultaneo solo la VPN.
Si encuentro mayor detalle les informare. Gracias por su atención
