Skocz do zawartości
Desavil

OpenVPN - firewall

Polecane posty

Witam, jakiś czas temu skonfigurowałem sobie OpenVPN serwer i klient. Wszystko działało idealnie, aż do czasu kiedy zrobiłem restart maszyny, na której zainstalowany jest OpenVPN serwer. Niestety od tego czasu nie umiem w żaden sposób przywrócić komunikacji.

 

Jeżeli chodzi o samą konfigurację OpenVPN jestem pewny, że tutaj jest wszystko dobrze, a problem występuje na etapie samego firewalla na serwerze. OpenVPN serwer nie ma umożliwiać klientowi komunikacji po jego adresie IP, tylko służy do nawiązania samego, bezpiecznego połączenia z serwerem.

 

Obecna konfiguracja:

/etc/sysctl.conf
net.ipv4.conf.all.forwarding = 1
net.ipv4.ip_forward = 1

W firewallu mam:

iptables -P FORWARD ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A INPUT -p tcp --dport 1194 -j ACCEPT

Przypuszczam, że przedtem metodą prób i błędów musiałem coś dodać do iptables i po restarcie serwera się to usunęło (zapomniałem uaktualnić plik z firewallem). Co tutaj jest ew. źle, co zmienić w iptables?

 

ifconfig z serwera:

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.1.0.1  P-t-P:10.1.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

Jeszcze logi z klienta:

Thu Jan 15 19:56:33 2015 OpenVPN 2.3.6 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Dec  1 2014
Thu Jan 15 19:56:33 2015 library versions: OpenSSL 1.0.1j 15 Oct 2014, LZO 2.08
Thu Jan 15 19:56:33 2015 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Thu Jan 15 19:56:33 2015 Need hold release from management interface, waiting...
Thu Jan 15 19:56:34 2015 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Thu Jan 15 19:56:34 2015 MANAGEMENT: CMD 'state on'
Thu Jan 15 19:56:34 2015 MANAGEMENT: CMD 'log all on'
Thu Jan 15 19:56:34 2015 MANAGEMENT: CMD 'hold off'
Thu Jan 15 19:56:34 2015 MANAGEMENT: CMD 'hold release'
Thu Jan 15 19:56:34 2015 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Thu Jan 15 19:56:34 2015 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jan 15 19:56:34 2015 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jan 15 19:56:34 2015 Socket Buffers: R=[8192->8192] S=[8192->8192]
Thu Jan 15 19:56:34 2015 MANAGEMENT: >STATE:1421348194,RESOLVE,,,
Thu Jan 15 19:56:34 2015 Attempting to establish TCP connection with [AF_INET]x.x.x.x:1194 [nonblock]
Thu Jan 15 19:56:34 2015 MANAGEMENT: >STATE:1421348194,TCP_CONNECT,,,
Thu Jan 15 19:56:44 2015 TCP: connect to [AF_INET]x.x.x.x:1194 failed, will try again in 5 seconds: System próbowa³ sprzêgn¹æ dysk z katalogiem na dysku sprzêgniêtym.  
Thu Jan 15 19:56:49 2015 MANAGEMENT: >STATE:1421348209,RESOLVE,,,
Thu Jan 15 19:56:49 2015 MANAGEMENT: >STATE:1421348209,TCP_CONNECT,,,
Thu Jan 15 19:56:59 2015 TCP: connect to [AF_INET]x.x.x.x:1194 failed, will try again in 5 seconds: System próbowa³ sprzêgn¹æ dysk z katalogiem na dysku sprzêgniêtym.  
Thu Jan 15 19:57:04 2015 MANAGEMENT: >STATE:1421348224,RESOLVE,,,
Thu Jan 15 19:57:04 2015 MANAGEMENT: >STATE:1421348224,TCP_CONNECT,,,
Thu Jan 15 19:57:14 2015 TCP: connect to [AF_INET]x.x.x.x:1194 failed, will try again in 5 seconds: System próbowa³ sprzêgn¹æ dysk z katalogiem na dysku sprzêgniêtym.  
Thu Jan 15 19:57:19 2015 MANAGEMENT: >STATE:1421348239,RESOLVE,,,
Thu Jan 15 19:57:19 2015 MANAGEMENT: >STATE:1421348239,TCP_CONNECT,,,

Edytowano przez Desavil (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Wyczyść firewalla

 

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
i zobacz, czy działa. Jak chcesz tylko połącznenie do serwera, to nie potrzebujesz NAT-ów i innych bajerów.

 

W logu po stronie serwera coś widać?

Edytowano przez blfr (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Sprawdzę. Generalnie chodzi mi o to, aby była komunikacja również pomiędzy klientami OpenVPN - do tego też nic nie potrzebuję (przedtem oczywiście działało)?

 

@ Edit

W logach po stronie serwera pusto, żadnych prób połączenia, błędów itp. Tak jakby nie dochodziło w ogóle do niego.

 

@ Edit 2

Po całkowitym zrestartowaniu firewalla i wszystko na ACCEPT, to samo.

Edytowano przez Desavil (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Już znalazłem źródło problemu. :)

Usługodawca po ostatnich mocnych atakach na mój serwer musiał zablokować port, na którym mam ustawiony OpenVPN (chyba zapomniałem przekazać do wyjątków, hmm).

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×