Du må være registrert og logget inn for å kunne legge ut innlegg på freak.no
X
LOGG INN
... eller du kan registrere deg nå
Dette nettstedet er avhengig av annonseinntekter for å holde driften og videre utvikling igang. Vi liker ikke reklame heller, men alternativene er ikke mange. Vær snill å vurder å slå av annonseblokkering, eller å abonnere på en reklamefri utgave av nettstedet.
AbonnerSkjul
Host1.no - Webhotell fra 29,-, virtuell server fra 249,-. 15% rabatt med rabattkode "nFF". Besøk oss på Host1.no!
  10 5705
0xFF
War room
0xFF's Avatar
Donor
2.408 1.141
29. juni 2014
Hei!

Jeg har konfigurert en OpenVPN server og satt opp brannmur regler (iptables) på serveren. Alt fungerer utmerket, utgående trafikk mot internet blir forwardet på de tillate portene, men trafikken internt i VPN nettverket fungerer ikkje. Selv om jeg har satt opp regel for forwarding av trafikk fra tap0 til tap0. Jeg legger med den delen av shell scriptet som har med dette å gjøre.

Kode

$IPT=/sbin/iptables

$IPT -P FORWARD DROP
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
[...]
$IPT -A FORWARD -i tap0 -o tap0 -j ACCEPT
[...]
$IPT -A FORWARD -j DROP
$IPT -A INPUT -j DROP
$IPT -A OUTPUT -j DROP
De tre siste linjene er vel ikkje nødvendige siden policyen er satt til DROP på chain? Men hvorfor fungerer ikkje den regelen om å forwarde all trafikk fra tap0 til tap0?

Jeg har også sjekket at det ikkje ligger drop regler før de 3 siste linjene.
vidarlo
Trigonoceps occipita
vidarlo's Avatar
Donor
27.682 31.077
29. juni 2014
Skru på IP-forwarding /proc/sys/net/ipv4/conf/tap0/forwarding), og sett opp openvpn til å tillate vpn-vpn trafikk.
0xFF
War room
0xFF's Avatar
Trådstarter Donor
2.408 1.141
29. juni 2014
Takker, det var client-to-client jeg hadde glemt å sette i konfigurasjonsfilen.
nudo
Avventende
nudo's Avatar
1.819 129
30. juni 2014
Husk å sette opp ccd
▼ ... over en måned senere ... ▼
0xFF
War room
0xFF's Avatar
Trådstarter Donor
2.408 1.141
11. august 2014
Hei, jeg bruker samme tråden da problemet er nokså likt.

Nå har det seg slik at vi har vært nødt til å bytte fra tap device til tun device siden 2 android enheter også skal brukes på nettverket og android har ikkje mulighet for tap devices. I brannmur reglene på serveren har jeg bare byttet fra tap0 til tun0 og alt fungerer utmerket som før.

Men dette har ført til at jeg må ha satt alle chains i ACCEPT mode på Linux klientene for å få det til å fungere. Med engang jeg aktiverer brannmuren så mister jeg all kommunikasjon med internet. Jeg kan fortsatt ping'e serveren og OpenVPN tunnelen er aktiv, men ingen trafikk går igjennom den.

Jeg har kun 2 regler i brannmuren som gjelder for OpenVPN tunnelen.

Kode

$IPT -A INPUT -p tcp -i eth0 --sport 1194 -s $VPN_SERVER -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -p tcp -o eth0 --dport 1194 -d $VPN_SERVER -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
Jeg har googlet og lest litt at man må aktivere ip_forwarding på klienten også? Men etter samtlige forsøk så står jeg fortsatt uten nett på Linux maskinene når brannmuren er aktiv. Jeg har også satt opp logging's regler på brannmuren for å debug'e den, og jeg ser i loggen at alle utgående pakker blir kastet. Men disse pakkene har IP-adressen til gateway'en på huset?

Legger med routings tabellen.

Kode

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.8.0.229      0.0.0.0         UG    0      0        0 tun0
10.8.0.0        10.8.0.229      255.255.255.0   UG    0      0        0 tun0
10.8.0.229      0.0.0.0         255.255.255.255 UH    0      0        0 tun0
xxx.xxx.xxx.xxx 172.16.130.254  255.255.255.255 UGH   0      0        0 eth0
172.16.130.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0
  • xxx.xxx.xxx.xxx = IP til VPN server
nudo
Avventende
nudo's Avatar
1.819 129
11. august 2014
Tap suger, tun funker til alt; FreeSWITCH, VNC, MSRDP, Android, iPhone, m m

Dersom du bytter til port 80 TCP kan du få tilgang fra alle mulige steder, flere flyplasser( Newark, JFK, Amsterdam ) har stengt port 1194

Har du satt opp ccd?
Sist endret av nudo; 11. august 2014 kl. 16:15.
▼ ... noen måneder senere ... ▼
flyznoz
29 0
6. januar 2015
viss du kjører dette på en dedikert ubuntu server da anbefaler jeg pritunl (www.pritunl.com) relativt nytt system som jeg prøvde i siste uke, funker dritbra med enkelt web if og lett å eksportere .ovpn filer og mulighet til å bruke google authenticator for 2-step-verification...
0xFF
War room
0xFF's Avatar
Trådstarter Donor
2.408 1.141
6. januar 2015
Sitat av nudo Vis innlegg
Tap suger, tun funker til alt; FreeSWITCH, VNC, MSRDP, Android, iPhone, m m

Dersom du bytter til port 80 TCP kan du få tilgang fra alle mulige steder, flere flyplasser( Newark, JFK, Amsterdam ) har stengt port 1194

Har du satt opp ccd?
Vis hele sitatet...
Ja, jeg har satt opp CCD. Jeg har også funnet løsningen på problemet mitt. Kan ta å skrive et mer utfyllende forklaring i kveld.

Sitat av flyznoz Vis innlegg
viss du kjører dette på en dedikert ubuntu server da anbefaler jeg pritunl (www.pritunl.com) relativt nytt system som jeg prøvde i siste uke, funker dritbra med enkelt web if og lett å eksportere .ovpn filer og mulighet til å bruke google authenticator for 2-step-verification...
Vis hele sitatet...
Jeg er ikkje på jakt etter ny VPN server.
Sist endret av 0xFF; 6. januar 2015 kl. 15:17.
▼ ... noen måneder senere ... ▼
Lunar
Direktør
Lunar's Avatar
437 74
23. mai 2015
Hvordan har du gjort det med /etc/resolv.conf ?
0xFF
War room
0xFF's Avatar
Trådstarter Donor
2.408 1.141
23. mai 2015
Jeg har satt i DHCP konfigurasjonfilen at den skal bruke google sine DNS servere.

Sitat av /etc/dhcp/dhclient.conf
prepend domain-name-servers 8.8.8.8, 8.8.4.4;
Vis hele sitatet...
Men det finnes sikkert bedre måter å gjøre dette på hvis du ønsker egen DNS server adresse for VPN tilkoblingen.
nudo
Avventende
nudo's Avatar
1.819 129
24. mai 2015
ccd er for å route en clients IP adresser til poolen som er tilgjengelig for routing tabellen man har tilgang til når man er innenfor VPN

La oss sia at LANet til en av klientene er 10.0.199.0/24: da vil man legge en fil i ccd mappen som ser slik ut:

client<<navnpåLAN>>, f eks clientUKLON
---
iroute 10.0.199.0 255.255.255.0
---