11.11.2010

nagios notes

DETALLES DE OPERACION DE MONITOREO CON NAGIOS


nagios                           file
server-----------red------------server


El monitoreo consiste en 02 etapas:
1.- a nivel de host (check-host-alive)
2.- a nivel de servicio (*service de red / **componentes internos)

*Los servicios de red se monitorean a nivel de puertos TCP/UDP
**Los componentes internos se monitorean mediante agente nsclient

MONITOREO DE HOSTS (host alive)
------------------------------
hosts --> revisa si host es disponible en red (check-host-alive definido en
          /usr/local/nagios/etc/objects/fierros.cfg)
Esto se logra mediante icmp (ping)

Para de agregar un nuevo host a monitorear agregar en /usr/local/nagios/etc/objects/fierros.cfg

define host{
        use             generic-host
        host_name       www.viru.com.pe
        alias           www.viru.com.pe
        check_interval  4
        check_period    24x7
        max_check_attempts 4
        notification_interval   6
        address         10.10.16.21
        notifications_enabled   1
        contact_groups  admins
        check_command   check-host-alive
        }

Verificar sintaxis con /usr/local/nagios/bin/nagios -v /usr/local/nagios/etc/nagios.cfg


MONITOREO DE SERVICIOS y COMPONENTES
------------------------------------
Los servicios de red (de servicio al usuario) son revisados mediante red
sobre puertos TCP / UDP. Por ejemplo para un servidor ftp, se conoce que
este opera sobre el puerto 21 en TCP.
Para agregar este nuevo servicio a monitorear (de red) agregar en
/usr/local/nagios/etc/objects/servicios.cfg :

define service{
        use                     generic-service
        host_name               srvftp01
        service_description     FTP
        check_command           check_ftp
        }



Por otro lado, Los componentes son revisados mediante un agente que en nagios se llama NSCLIENT
Estos componentes pueden ser memory, cpu, disk space, etc.

detalles de parametros de nsclient
http://nagios.sourceforge.net/docs/3_0/monitoring-windows.html
http://nsclient.org/nscp/wiki/doc/usage/nagios/nsclient


Los detalles de configuracion de los componentes se encuentran en :
/usr/local/nagios/etc/objects/serviciosnsclient.cfg

Para agregar monitoreo de componentes agregar :

############################### makina
define service{
        use                     generic-service
        host_name               makina
        service_description     NSClient++ Version
        check_command           check_nt!CLIENTVERSION
        }

define service{
        use                     generic-service
        host_name               makina
        service_description     CPU Load
        check_command           check_nt!CPULOAD!-l 5,80,90
        }

define service{
        use                     generic-service
        host_name               makina
        service_description     Memory Usage
        check_command           check_nt!MEMUSE!-w 80 -c 90
        }

define service{
        use                     generic-service
        host_name               makina
        service_description     C:\ Drive Space
        check_command           check_nt!USEDDISKSPACE!-l c -w 80 -c 90


* NSCLIENT es un agente para sistemas operativos tipo windows



PARA GENEREAR REPORTES
----------------------
Crearlo en link "Availability"   ( host y servicios )




FLAPPING
--------
estado infedinido / transicion donde no se tiene preciso de manera determinante
si el estado del device monitoreado es UP o DOWN

10.08.2010

linus torvals interview

Linus Torvalds es uno de los hackers más influyentes en la computación moderna habiendo creado el núcleo Linux como alternativa de código abierto del sistema operativo Unix. Desde entonces ha dedicado 20 años a mantener el núcleo en el rol de líder (también teniendo un rol activo como programador) a través de la Fundación Linux.

Linus es un asistente frecuente de la conferencia Linux.conf.au (el año pasado fue visto paseando en la conferencia en un Segway de fabricación local, posiblemente el momento más geek de la historia). Está de vuelta en la conferencia éste año y fué emocionante conseguir un entrevista con él ayer.

Le expliqué a Linus que los lectores de Lifehacker estarían interesados en saber como es su trabajo diario con la computadora, como es la configuración de su escritorio y que sugerencias de productividad tiene para ofrecer. El resultado fué mucho más común y simple que lo que podrías esperar.

"Soy la persona menos organizada que hayas conocido. Mi escritorio es un completo desorden. No organizo mis correos electrónicos, todo está en una gran carpeta de correos.", dice Linus.

Dice que trabaja principalmente con ventanas basadas en texto en lugar de GUIs, con múltiples ventanas abiertas al mismo tiempo. Pero no es el tipo de persona que usa varios monitores. "Sólo tengo un monitor de 24, 1920 por 1200."

Incluso su lector de correo es completamente basado en texto, así que no te molestes en enviarle correos HTML. "No quiero gráficos bonitos.", explica. "No hago procesamiento de texto. Lo único gráfico está en mi navegador (Firefox)."

Usa una aplicación de correo basada en texto llamada Alpine (la nueva versión del antiguo programa de correo Pine de la Universidad de Washington). "Uso el teclado para todo."

Cuando se le pregunta sobre su sistema de productividad él tiene establecidas algunas directivas bastante claras.

"Me dí cuenta que la mejor manera de matar la productividad es dar charlas e ir a reuniones," dice Linus, que ahora evita hacer ambas cosas. "Aún habiéndome preparado para una charla la noche anterior termino estresado por éso las 2 semanas anteriores." "Así que mi calendario está en esencia vacío."

Dice que planifica por adelantado un par de conferencias a las que le gustaría asistir cada año (las cuales incluyen a Linux.conf.au). Recientemente hizo salir la última versión estable del núcleo Linux (2.6.23.14) eligiendo la fecha deliberadamente de forma de poder terminarlo antes de viajar a Australia para la conferencia LCA.

Otra componente de su sistema de productividad es KAlarm, un programa de notificación para el escritorio KDE. Dice que tener una notificación emergente para cosas como "recoger a los niños en la escuela" es imprescindible.

¿Cómo hace Linus para estar en contacto en el camino? ¿Escribe mensajes texto como loco? No parece, ¿no?

"Odio los teléfonos móviles. No tengo uno," dice. "Son una forma de esparcir ésa maldad y llevarla contigo todo el tiempo."

El correo electrónico es su preferencia más fuerte para comunicarse. "No hago ninguna actividad por teléfono."
El chat también está descartado, es sólo una distracción. "No uso IRC, odio ésos programas de chat. Son en tiempo real así que tienes que contestar e interactuar sincronizadamente. Simplemente no encaja en mi estilo de trabajo", dice. "Soy muy malo en la multi-tarea. Cuando leo un libro aparto todo lo demás. Odio los teléfonos, te molestan. Cuando tienes un canal IRC abierto los mensajes te molestan."


"Quiero sentarme en mi estudio oscurecido y hacerlo con mis propios tiempos, así es como trabajo!"

Ahí tienes, algunos métodos comunes y simples para mantener tu trabajo basado en texto y asegurarte que tu lugar de trabajo esté libre de distracciones, cortesía de la leyenda geek Linus Torvalds.

Gracias a Linus por hacerse un tiempo para hablar con Lifehacker AU y a Linux.conf.au por ayudar a preparar la entrevista

9.24.2010

minimal setup for mysql

Considerar que mysql en RHEL5  registra en un log del sistema operativo /root/.mysql_history, situacion que el dba debe evitar dentro de un entorno real de produccion.
Como acciones minimas de setup orientadas a un ambiente mysql un poco mas seguro se tienen que modificar algunos valores default:
Eliminar la base de datos test :
mysql> drop database test;
Query OK, 0 rows affected (0.00 sec)
mysql> show databases;
+--------------------+
| Database           |
+--------------------+
| information_schema |
| mysql                |
+--------------------+
2 rows in set (0.00 sec)
Considerar que information_schema es algo asi como una vista de tablas, mas no neceariamente una base de datos fisica, es decir no existe debajo de /var/lib/mysql
Seleccionar base de datos mysql  (base de datos por defecto), y eliminar la tabla db
mysql> use mysql;
Database changed
mysql> delete from db;
Query OK, 2 rows affected (0.00 sec)
Bien ahora miramos el contenido de la tabla user en los campos user,host y password:
mysql> select user,host,password from user;
+------+--------------------------+------------------+
| user  | host                         | password       |
+------+--------------------------+------------------+
| root  | localhost                  | 638eb620101706b4 |
| root  | server.obrasmasobras.com     |                   |
| root  | 127.0.0.1                 |                                   |
|         | localhost                  |                                   |
|         | server.obrasmasobras.com |                        |
+-----+--------------------------+-----------------------------+
5 rows in set (0.00 sec)

Pues hay algunos registros inseguros, sin password por ejemplo!, por ejemplo el tercer registro dice que si yo ingreso como root@127.0.0.1 no me pedira password? a ver intentamos ..?
[root@server ~]# mysql -u root@127.0.0.1
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 12
Server version: 5.0.77 Source distribution
Type 'help;' or '\h' for help. Type '\c' to clear the buffer.
mysql>
o ..
[root@server ~]# mysql -u  @localhost
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 16
Server version: 5.0.77 Source distribution
Type 'help;' or '\h' for help. Type '\c' to clear the buffer.
mysql>
Caraxo... entonces debemos eliminar tales registros inseguros correcto?
mysql> delete from user where (user="" and password="");
Query OK, 2 rows affected (0.00 sec)
mysql> delete from user where (user="root" and password="");
Query OK, 2 rows affected (0.00 sec)
Ahora, deshabilitamos el puerto tcp con skip-networking
 Finalmente, borrando algo de huellas del file system
[root@server ~]# rm /root/.mysql_history
rm: remove regular file `/root/.mysql_history'? y
[root@server ~]# service mysqld restart
Stopping MySQL:                                          [  OK  ]
Starting MySQL:                                            [  OK  ]
[root@server ~]#

9.21.2010

learning cisco tips

Buen site  http://www.petri.co.il/cisco.htm

rsync and all details

Conservar acls y permisos en una copia mediante rsync se logra con el comando indicado, considerar que lo ejecute con la version 3.x de rsync en el server destino y origen.

#!/bin/sh
rsync -e ssh -aApuvz /home/* 10.2.0.5:/home/
rsync -e ssh -aApuvz /data/* 10.2.0.5:/data/

9.02.2010

rhce successful

https://www.redhat.com/wapps/training/certification/verify.html?certNumber=805010296952814

rhct successful

8.16.2010

colaborative directory

Para crear un directorio colaborativo, comun para que cualquier usuario miembro de un grupo "sysusers", esto es que por ejemplo si andrew (miembre de sysusers) crea un "filex", luego susan (miembro tambien de sysusers) tambien puede editar el mismo archivo "filex"
Para crear tal directorio se tiene :
#chmod g+s -R /colaborative-dir
Pero este directorio debe tener el ownership de esta manera
#chown -R root.sysusers  /colaborative-dir

Ademas:
#usermod -G grupiyo   usuario_que_tendra_como_grupo_secundario_a_grupiyo 
Osea  -G  en mayuscula es para edicion de grupos secundarios


#chgrp -R  grupiyo  directory 
En este ejemplo, el grupo grupiyo sera el owner group del directorio directory en forma recursiva..


setquota example

Asignacion ejemplo de 30 Mb al usuario fujimori (como root) :
#setquota   fujimori   30000  30001   0   0   /ftp
Reportar el estado de las cuotas  con   repquota  -a
El tamaño es fijado en Kb
PD : No soy fujimorista y detesto la politica y cualquier forma de estupidez parecida

apoptosis in the world ?

[off topic]
Estuve revisando como se suicida una celula... realmente es maravilloso o perfecto.. el post el cual indico su fuente al final inicia ..
De la misma manera que para que una especie se perpetúe van naciendo nuevos individuos y muriendo los más viejos y/o enfermos, en nuestro cuerpo las células más viejas y enfermas deciden quitarse voluntariamente de en medio para que la vida del organismo persista.
La apoptosis es un fenómeno celular regulado con extremo detalle. Todo comienza con una determinada señal, que puede aparecer en el interior de la célula o en el exterior. Aunque estas señales son muy diversas vamos a mencionar dos situaciones muy características:
-Una célula, tras haber vivido plenamente durante unos meses, ha acumulado tal cantidad de mutaciones en su ADN (causados por rayos ultravioletas, por ejemplo) que no es capaz de repararlos por sí misma. Ante tal circunstancia, la célula prefiere cortar por lo sano antes que funcionar mal y causar problemas a sus compañeras y al organismo en el que se encuentra y, así, decide entrar en apoptosis.
fuente : http://medtempus.com/archives/apoptosis-el-suicidio-celular-que-nos-mantiene-con-vida-i/

human hardware

[off topic]
Viendo un programa en cable (discovery sciencie), me ha interesado mucho una linea de investigacion que quiza es la mas importante, esta linea es sobre regeneraciones de organos, regeneracion celular, el proyecto gnoma humano

Uno de los objetivos es conocer nuestra genetica o genoma de tal manera como conocemos nuestro grupo sanguineo, esto permitira conocer algo asi como en los cursos de pleneamiento le llamamos nuestro analisis FODA, y asi actuar en esta vida en forma "advertida" y poder prevenir por ejemplo un tipo de alimento por que sabremos que este es incompatible con nuestro genoma o genetica.
Aqui algo sobre genoma humano http://es.wikipedia.org/wiki/Proyecto_Genoma_Humano
http://aportes.educ.ar/biologia/nucleo-teorico/influencia-de-las-tic/podemos-leer-el-libro-de-la-vida-genetica-humana/proyecto_genoma_humano.php

Tambien hay proyectos interesantes sobre como regenerar partes humanas desde extremidades hasta organos !!, osea en algun momento uno podra comprar un higado construido y totalmente valido, como cambiar de ram a nuestro server, o talvez ampliar la fortalezas en nuestra bateria de laptop?. Para esto vi que este proceso se hace tal igual como se construye un edificio, con una "impresora celular", suena bien... raro.. pero supongo que investigare mas para al menos tener compender mejor de ese objetivo de mantener la juventud en un humano.

Hay ciertas celulas, como las de nuestra piel que si tienen un ciclo regenerativo cada 28 dias, pero hay ciertos insectos, algunos reptiles y hasta un raton los cuales pueden regenerar ciertas extremidades, por ejemplo, vi como a un raton que le perforaron su oreja ...esta volvio a reconstruirse por si misma... !
Aqui enlaces sobre regeneracion de organos 
http://news.softpedia.com/news/How-Could-Humans-Regenerate-Complex-Organs-43147.shtml
http://future.wikia.com/wiki/Replacement_organs

Aplaudir, pintarse la cara (lo que hacen las chicas), bañarse en perfumes, ciertos desodorantes, y cosas asi.. perjudican la piel y/o articulaciones.. osea.. esta en nosotros cuidar nuestra vida, y no suena muy dificil.

Creo abrire un blog para estos temas, de momento anoto estos sites con info muy interesante...realmente interesante 
- http://biologia-en-internet.com/
- http://temas-biologia.blogspot.com/

Se que mucho de los terminos cientificos sobre este tema no los entendere con precision pero al menos es alucinante poder comprender algo de estos buenos proyectos.

8.12.2010

service_disable_trans

Revisando los booleans para los servicios confinados se tiene que muchos booleans tienen esta forma *service*_disable_trans --> off por lo que estaba algo confundido en saber exactamente que significaba.
Pues bien, a continuación se indican que estos servicios SI estan corriendo en ambiente SELinux activo.
httpd_disable_trans --> off
portmap_disable_trans --> off
postfix_disable_trans --> off
postgresql_disable_trans --> off
postgrey_disable_trans --> off
cupsd_disable_trans --> off
xend_disable_trans --> off
En caso se necesite desactivar la protección SELinux para algun servicio se tendria que modificar a ON el boolean correspondiente, por ejemplo :
setsebool  -P xend_disable_trans  1
Donde -P define la persistencia del valor del boolean.
Conviene ovbiamente mantener un ambiente protegido con SElinux, esto es en lo posible conservar los valores OFF.

8.10.2010

swap vs ram

En mi fasttrack rhce tuve este detalle importante que define la diferencia en performance sobre swap y ram :
- ram opera a una velocidad de nano segundos
- swap opera a una velocidad de milisegundos

mount ntfs devices

Compre hace un rato un storage pequeño philips, el cual viene en ntfs, y al montarlo en mi file system RHEL no lo reconoce .. es necesario instalar entonces:yum install fuse-ntfs-3g (desde el repo rpmforge)
luego logre montar como cualquier device  :-)

6.29.2010

cisco vn-link and rhev

Al parecer se viene una temporada "nueva", para mi opinion atractiva ...muy atractiva :
En el site de RedHat :  http://www.redhat.com/about/news/prarchive/2010/cisco.html?sc_cid=70160000000IhLmAAK, parte de la noticia dice:
"As the Linux market grows, the integration between Cisco's VN-Link technology and Red Hat's KVM hypervisor represents a high-performance virtualization offering for the open source market from two industry leaders, and expands the choices for deploying virtualization on Linux platforms while enabling the same level of security and policy for virtual machines that exists for physical servers."
"With the tight integration between the Cisco Unified Computing System and Red Hat Enterprise Virtualization, we are offering our joint customers significantly enhanced virtualization performance capabilities," said Brian Stevens, chief technology officer and vice president, Engineering at Red Hat. "Today, Red Hat becomes the first Linux vendor to offer an integrated VN-Link virtualization solution with Cisco, marking another important step forward in Red Hat's virtualization and Linux technology leadership."
"The growth of virtualization in the datacenter and cloud computing, coupled with the adoption of Linux-based server infrastructures, has created a need for a simplified solution for virtualized server I/O," said Ed Bugnion, chief technology officer, Server Access and Virtualization business unit at Cisco. "The combination of the Cisco Unified Computing System and Red Hat Enterprise Virtualization means that organizations can take advantage of Cisco innovation backed by the momentum of the open source community, resulting in an open, integrated and tuned environment for virtual infrastructure deployment."
The integrated solution is expected to be available from Red Hat and Cisco later this year in line with the availability of Red Hat Enterprise Linux 6, including the Red Hat Enterprise Virtualization Hypervisor. 
For more information about Red Hat Enterprise Virtualization, visit www.redhat.com/rhev. For more information about Cisco VN-Link, visit www.cisco.com/go/vnlink.

6.28.2010

create print server

En el server creamos
[root@server etc]# lpadmin -p zerver-lp18 -v "lpd://localhost/dummy" -m textonly.ppd
[root@server etc]# lpadmin -p zerver-lp18  -E
[root@server etc]# lpadmin -d zerver-lp18 

Luego en el server, mediante la herramienta cups basada en web http://localhost:631 debemos compartir esta impresora zerver-lp18


De esta manera cualquier estacion puede imprimir mediante red sobre la impresora zserver-lp18 (en el servidor)

6.23.2010

date and time on swtiches

Para modelos Cisco 3560 WS-C2960 y WS-C3560G:
vir-prd-swi-80(config)#clock timezone PE -5
vir-prd-swi-80(config)#exit
vir-prd-swi-80#clock set 08:10:00 Jun 22 2010
vir-prd-swi-80#wr
Building configuration...
[OK]
vir-prd-swi-80#sh clock
08:10:07.826 PE Tue Jun 22 2010
vir-prd-swi-80#

6.15.2010

network interface in promisc

Es sumamente sencillo, notar que la palabra PROMISC:
[root@svrids01 ~]# ifconfig eth1 promisc
Revisar con :
[root@svrids01 ~]# ip l
1: lo: mtu 16436 qdisc noqueue 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: eth1: mtu 1500 qdisc noop qlen 1000
    link/ether 00:05:5d:8d:2a:c8 brd ff:ff:ff:ff:ff:ff
3: eth2: mtu 1500 qdisc noop qlen 1000
    link/ether 00:11:95:b9:73:12 brd ff:ff:ff:ff:ff:ff
4: eth0: mtu 1500 qdisc pfifo_fast qlen 1000
o tambien :
[root@svrids01 ~]# ifconfig eth1
eth1      Link encap:Ethernet  HWaddr 00:05:5D:8D:2A:C8  
          BROADCAST PROMISC MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)
          Interrupt:90 Base address:0x2000 
Util para recibir trafico y pasarlo a un ids por ejemplo.

6.14.2010

openvpn on rhel5 | memoria

Este no es precisamente un post sobre un servicio que dejo en produccion, este es un backup de los archivos de configuracion de un servidor openvpn (user to site) que implemente tiempo atras. Pero si espero me sirva de memoria para una nueva oportunidad:
Se tiene el paquete openvpn :
[root@svrvpn01 openvpn]# rpm -q openvpn
openvpn-2.1.1-2.1.el5.al
Lo instale desde los depositos de mi amigo Joel 
[AL-Server]
name=AL Server para Enterprise Linux 5
baseurl=http://www.alcancelibre.org/al/server/5/i386/
gpgcheck=0
gpgkey=http://www.alcancelibre.org/al/AL-RPM-KEY~
Estimo que las demas dependencias los instalo usando tambien mi repo local construido a partir de mi dvd.

cp /usr/share/openvpn/easy-rsa/2.0/openssl.cnf ./
cp /usr/share/openvpn/easy-rsa/2.0/whichopensslcnf ./
cp /usr/share/openvpn/easy-rsa/2.0/pkitool ./
cp /usr/share/openvpn/easy-rsa/2.0/vars ./


Recuerdo claramente (aunque no tengo la guia que use a la mano) que todo lo configurable para este servicio esta bajo /etc/openvpn/ ;  por ejemplo el archivo de configuracion /etc/openvpn/servidorvpn-udp-1194.conf tiene:
port 1194
proto udp
dev tun
#---- Seccion de llaves -----
ca keys/ca.crt
cert keys/viru.com.pe.crt
key keys/viru.com.pe.key
dh keys/dh1024.pem
#----------------------------
server 192.168.37.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status-servidorvpn-udp-1194.log
verb 3

Note que el segmento de red para clientes remotos es 192.168.192.0 255.255.255.0 
En /etc/openvpn/vars asegurar que al final se tenga las lineas :
# These are the default values for fields
# which will be placed in the certificate.
# Don't leave any of these fields blank.
export KEY_COUNTRY="PE"
export KEY_PROVINCE="LI"
export KEY_CITY="Trujillo"
export KEY_ORG="viru.com.pe"
export KEY_EMAIL="jgrados@viru.com.pe"
Luego cargar variables de entorno para estos datos con:
source /etc/openvpn/./vars
Ahora creamos los certificados para el usuario juaninf :
sh /usr/share/openvpn/easy-rsa/2.0/clean-all
sh /usr/share/openvpn/easy-rsa/2.0/build-ca
sh /usr/share/openvpn/easy-rsa/2.0/build-dh
sh /usr/share/openvpn/easy-rsa/2.0/build-key-server server
sh /usr/share/openvpn/easy-rsa/2.0/build-key juaninf
Donde juaninf es un primer usuario de prueba para el servicio 
Iniciar el servicio con service openvpn start
La configuracion de mi interfaces (2 interfaces fisicas) es :
root@svrvpn01 openvpn]# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:19:BB:39:0B:58  
          inet addr:20.37.20.252  Bcast:200.37.15.255  Mask:255.255.240.0
          inet6 addr: fe80::219:bbff:fe39:b58/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1507 errors:0 dropped:0 overruns:0 frame:0
          TX packets:10 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:207290 (202.4 KiB)  TX bytes:748 (748.0 b)
          Interrupt:169 Memory:fa000000-fa012800 

eth1      Link encap:Ethernet  HWaddr 00:11:95:D1:AD:32  
          inet addr:10.10.16.34  Bcast:10.10.19.255  Mask:255.255.252.0
          inet6 addr: fe80::211:95ff:fed1:ad32/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:6321 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1184 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:539518 (526.8 KiB)  TX bytes:213642 (208.6 KiB)
          Interrupt:90 Base address:0x2000 

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:192.168.192.1  P-t-P:192.168.192.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)
Tambien encontre que habilite el reenvio de paquetes.
Para crear 1 usuario (certificados y llaves) se tiene el procedimiento:
[root@svrvpn01 openvpn]# source ./vars
NOTE: If you run ./clean-all, I will be doing a rm -rf on /etc/openvpn/keys
[root@svrvpn01 openvpn]# sh /usr/share/openvpn/easy-rsa/2.0/build-key juaninf
Generating a 1024 bit RSA private key
........++++++
.............................................++++++
writing new private key to 'juaninf.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [PE]:  
State or Province Name (full name) [LI]:
Locality Name (eg, city) [Trujillo]:
Organization Name (eg, company) [viru.com.pe]:
Organizational Unit Name (eg, section) []:LNC   
Common Name (eg, your name or your server's hostname) [juaninf]:
Name []:Juan Grados Vasquez
Email Address [jgrados@viru.com.pe]:juaninf@lnc.com.br

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Using configuration from /etc/openvpn/openssl.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName           :PRINTABLE:'PE'
stateOrProvinceName   :PRINTABLE:'LI'
localityName          :PRINTABLE:'Trujillo'
organizationName      :PRINTABLE:'viru.com.pe'
organizationalUnitName:PRINTABLE:'LNC'
commonName            :PRINTABLE:'juaninf'
name                  :PRINTABLE:'Juan Grados Vasquez'
emailAddress          :IA5STRING:'juaninf@lnc.com.br'
Certificate is to be certified until Jun 11 16:12:48 2020 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

Notar que se crearon 03 archivos :
[root@svrvpn01 keys]# ls -l /etc/openvpn/keys/juaninf.*
-rw-r--r-- 1 root root 3956 Jun 14 11:12 /etc/openvpn/keys/juaninf.crt
-rw-r--r-- 1 root root  733 Jun 14 11:12 /etc/openvpn/keys/juaninf.csr
-rw------- 1 root root  891 Jun 14 11:12 /etc/openvpn/keys/juaninf.key

Hasta aquí se completo la generación de los certificados del usuario  juaninf, ahora para el
cliente se tiene que copiar en su desktop o laptop los archivos ca.crt, juaninf.crt, juaninf.csr,
juaninf.key y un quinto archivo adicional virunet1194.ovpn que se detalla en parrafo siguiente.

Del lado del cliente, se necesita 5 archivos que el cliente remoto debe siempre portar a fin de poder establecer sesión vpn con el servidor, 04 de estos archivos se obtienen desde el servidor, y el quinto archivo es genérico para todos los casos, este quinto archivo "virunet1194.ovpn" debe conservar su extensión .ovpn; esto es:
client


dev tun
proto udp
remote 20.37.20.252 1194
float
resolv-retry infinite
nobind
persist-key
persist-tun
route 10.10.16.0 255.255.252.0 
dhcp-option DNS 192.168.26.1
dhcp-option WINS 192.168.26.1
#------ SECCION DE LLAVES --------
ca "C:\\Archivos de Programa\\OpenVPN\\config\\ca.crt"
cert "C:\\Archivos de Programa\\OpenVPN\\config\\juaninf.crt"
key "C:\\Archivos de Programa\\OpenVPN\\config\\juaninf.key"
ns-cert-type server
#---------------------------------
comp-lzo
verb 3

En la maquina del usuario remoto se debe instalar el cliente openvpn  (bajarlo de internet segun sistema operativo)  Luego, en caso de los windows dentro de  C:|  Archivos de Programa  |  OpenVPN  |  client  ; poner los 05 archivos que se indicaron.




El usuario establecerá sesión vpn con solo iniciar el programa OpenVPN cliente instalado, sin embargo para que el usuario remoto pueda acceder a su desktop local (PC de oficina) por remote desktop por ejemplo, será necesario que en la desktop local se agrege un enrutamiento persistente que permita conectividad entre la red remota de usuarios VPN (192.168.192.0/24) y la red local 10.10.16.0/22 (lan nicolini).

En la PC (desktop de oficina) :
route  ADD  192.168.192.0  MASK  255.255.255.255.0  10.10.16.34  -p

Esta ruta debe siempre estar presente, por ejemplo mediante un tarea programada ejecutada al inicio de sesión de un desktop windows.

Esta memoria esta basada en