Desavil 88 Zgłoś post Napisano Styczeń 15, 2015 (edytowany) Witam, jakiś czas temu skonfigurowałem sobie OpenVPN serwer i klient. Wszystko działało idealnie, aż do czasu kiedy zrobiłem restart maszyny, na której zainstalowany jest OpenVPN serwer. Niestety od tego czasu nie umiem w żaden sposób przywrócić komunikacji. Jeżeli chodzi o samą konfigurację OpenVPN jestem pewny, że tutaj jest wszystko dobrze, a problem występuje na etapie samego firewalla na serwerze. OpenVPN serwer nie ma umożliwiać klientowi komunikacji po jego adresie IP, tylko służy do nawiązania samego, bezpiecznego połączenia z serwerem. Obecna konfiguracja: /etc/sysctl.conf net.ipv4.conf.all.forwarding = 1 net.ipv4.ip_forward = 1 W firewallu mam: iptables -P FORWARD ACCEPT iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE iptables -A INPUT -p tcp --dport 1194 -j ACCEPT Przypuszczam, że przedtem metodą prób i błędów musiałem coś dodać do iptables i po restarcie serwera się to usunęło (zapomniałem uaktualnić plik z firewallem). Co tutaj jest ew. źle, co zmienić w iptables? ifconfig z serwera: tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet addr:10.1.0.1 P-t-P:10.1.0.2 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) Jeszcze logi z klienta: Thu Jan 15 19:56:33 2015 OpenVPN 2.3.6 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Dec 1 2014 Thu Jan 15 19:56:33 2015 library versions: OpenSSL 1.0.1j 15 Oct 2014, LZO 2.08 Thu Jan 15 19:56:33 2015 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340 Thu Jan 15 19:56:33 2015 Need hold release from management interface, waiting... Thu Jan 15 19:56:34 2015 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340 Thu Jan 15 19:56:34 2015 MANAGEMENT: CMD 'state on' Thu Jan 15 19:56:34 2015 MANAGEMENT: CMD 'log all on' Thu Jan 15 19:56:34 2015 MANAGEMENT: CMD 'hold off' Thu Jan 15 19:56:34 2015 MANAGEMENT: CMD 'hold release' Thu Jan 15 19:56:34 2015 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file Thu Jan 15 19:56:34 2015 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication Thu Jan 15 19:56:34 2015 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication Thu Jan 15 19:56:34 2015 Socket Buffers: R=[8192->8192] S=[8192->8192] Thu Jan 15 19:56:34 2015 MANAGEMENT: >STATE:1421348194,RESOLVE,,, Thu Jan 15 19:56:34 2015 Attempting to establish TCP connection with [AF_INET]x.x.x.x:1194 [nonblock] Thu Jan 15 19:56:34 2015 MANAGEMENT: >STATE:1421348194,TCP_CONNECT,,, Thu Jan 15 19:56:44 2015 TCP: connect to [AF_INET]x.x.x.x:1194 failed, will try again in 5 seconds: System próbowa³ sprzêgn¹æ dysk z katalogiem na dysku sprzêgniêtym. Thu Jan 15 19:56:49 2015 MANAGEMENT: >STATE:1421348209,RESOLVE,,, Thu Jan 15 19:56:49 2015 MANAGEMENT: >STATE:1421348209,TCP_CONNECT,,, Thu Jan 15 19:56:59 2015 TCP: connect to [AF_INET]x.x.x.x:1194 failed, will try again in 5 seconds: System próbowa³ sprzêgn¹æ dysk z katalogiem na dysku sprzêgniêtym. Thu Jan 15 19:57:04 2015 MANAGEMENT: >STATE:1421348224,RESOLVE,,, Thu Jan 15 19:57:04 2015 MANAGEMENT: >STATE:1421348224,TCP_CONNECT,,, Thu Jan 15 19:57:14 2015 TCP: connect to [AF_INET]x.x.x.x:1194 failed, will try again in 5 seconds: System próbowa³ sprzêgn¹æ dysk z katalogiem na dysku sprzêgniêtym. Thu Jan 15 19:57:19 2015 MANAGEMENT: >STATE:1421348239,RESOLVE,,, Thu Jan 15 19:57:19 2015 MANAGEMENT: >STATE:1421348239,TCP_CONNECT,,, Edytowano Styczeń 15, 2015 przez Desavil (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
blfr 225 Zgłoś post Napisano Styczeń 15, 2015 (edytowany) Wyczyść firewalla iptables -F iptables -X iptables -t nat -F iptables -t nat -X iptables -t mangle -F iptables -t mangle -X iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT i zobacz, czy działa. Jak chcesz tylko połącznenie do serwera, to nie potrzebujesz NAT-ów i innych bajerów. W logu po stronie serwera coś widać? Edytowano Styczeń 15, 2015 przez blfr (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
Desavil 88 Zgłoś post Napisano Styczeń 15, 2015 (edytowany) Sprawdzę. Generalnie chodzi mi o to, aby była komunikacja również pomiędzy klientami OpenVPN - do tego też nic nie potrzebuję (przedtem oczywiście działało)? @ Edit W logach po stronie serwera pusto, żadnych prób połączenia, błędów itp. Tak jakby nie dochodziło w ogóle do niego. @ Edit 2 Po całkowitym zrestartowaniu firewalla i wszystko na ACCEPT, to samo. Edytowano Styczeń 15, 2015 przez Desavil (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
Desavil 88 Zgłoś post Napisano Styczeń 15, 2015 Już znalazłem źródło problemu. Usługodawca po ostatnich mocnych atakach na mój serwer musiał zablokować port, na którym mam ustawiony OpenVPN (chyba zapomniałem przekazać do wyjątków, hmm). Udostępnij ten post Link to postu Udostępnij na innych stronach
