abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 07:00 | Nová verze

Google Chrome 84 byl prohlášen za stabilní (YouTube). Nejnovější stabilní verze 84.0.4147.89 přináší řadu oprav a vylepšení. Vylepšeny byly také nástroje pro vývojáře. Opraveno bylo 38 bezpečnostních chyb.

Ladislav Hagara | Komentářů: 0
včera 21:55 | Zajímavý článek

Vláda v pondělí 13. července projednala Výroční zprávu o stavu otevřených dat za rok 2019. Ke stažení je na Portálu otevřených dat (pdf).

Ladislav Hagara | Komentářů: 0
včera 16:22 | Komunita

MojeFedora.cz informuje, že FESCo schválilo návrh, aby se jako výchozí editor v terminálu od Fedory 33 používalo GNU nano. Fedora doteď žádný výchozí editor pro terminál nastavený neměla a nechávala to na jednotlivých programech. Ty často používané, jako třeba git, ale ve výchozím stavu používaly editor vi, který autor návrhu nepovažuje za příliš intuitivní.

Ladislav Hagara | Komentářů: 15
včera 14:22 | Komunita

Dlouhodobá LTS podpora Debianu 8 Jessie vydaného 26. dubna 2015 skončila k 30. červnu 2020. K dispozici je placená rozšířená dlouhodobá podpora ELTS do 30. června 2022. Poslední opravné vydání Debianu 9 Stretch uvolněného 17. června 2017 bude vydáno 18. července 2020. Jeho dlouhodobá podpora je plánována do 30. června 2022. Plánujete-li ji využívat, vývojáři ocení vyplnění dotazníku ohledně této LTS podpory.

Ladislav Hagara | Komentářů: 4
včera 06:00 | Nová verze

Byla vydána nová verze 1.26.0 sady nástrojů pro správu síťových připojení NetworkManager. Novinkám se v příspěvku svém na blogu věnuje Thomas Haller.

Ladislav Hagara | Komentářů: 2
13.7. 13:00 | Zajímavý software

Laboratoře CZ.NIC zveřejnily software DNS Probe. Jeho úkolem je zachycovat DNS provoz na síťovém rozhraní (UDP i TCP), párovat DNS dotazy s příslušnými odpověďmi a exportovat konsolidované záznamy o každé jednotlivé DNS transakci, která se v síťovém provozu vyskytla.

Ladislav Hagara | Komentářů: 0
13.7. 08:00 | Nová verze

Byla vydána verze 2.2.0 svobodného softwaru HAProxy (The Reliable, High Performance TCP/HTTP Load Balancer; Wikipedie) řešícího vysokou dostupnost, vyvažování zátěže a reverzní proxy. Detailní přehled novinek v příspěvku na blogu společnosti HAProxy Technologies.

Ladislav Hagara | Komentářů: 2
13.7. 01:11 | Nová verze

Správce oken IceWM (Wikipedie) byl vydán ve verzi 1.7.0. Přehled novinek, vylepšení a oprav na GitHubu.

Ladislav Hagara | Komentářů: 9
12.7. 01:22 | Komunita

Před dvěma lety se Andrew Kelley rozhodl naplno věnovat se svému koníčku, tj. vývoji open source programovacího jazyka Zig (GitHub). Opustil své dobře placené místo v OkCupid a vytvořil si účet na Patreonu. Včera představil nadaci Zig Software Foundation zastřešující propagaci a další vývoj tohoto programovacího jazyka. Podpořit ji lze na GitHub Sponsors (aktuálně 66 % z měsíčního cíle 8 600 $).

Ladislav Hagara | Komentářů: 3
11.7. 22:11 | Nová verze

Byla vydána verze 2.0.10 multiplatformního integrovaného vývojového prostředí (IDE) pro rychlý vývoj aplikaci (RAD) ve Free Pascalu Lazarus (Wikipedie). Nově využívá nedávno vydaný Free Pascal Compiler (FPC) 3.2.0.

Ladislav Hagara | Komentářů: 14
Používáte některé open-source řešení [protokol] pro šifrovaný instant messaging?
 (22%)
 (31%)
 (4%)
 (11%)
 (17%)
 (5%)
 (13%)
 (24%)
Celkem 350 hlasů
 Komentářů: 39, poslední včera 00:13
Rozcestník

Dotaz: po aktivaci fw nejde pripojit openvpn

24.6. 15:16 gepard
po aktivaci fw nejde pripojit openvpn
Přečteno: 430×

Ahoj, resim takovou zahadu. Kdyz mam vypnuty fw iptables (nebo kolega ufv), tak se k openvpn serveru pripojim. Ziskam tun0. Pokud aktivuju fw (iptables nebo ufv), tak pripojeni k openvpn prestane fungovat s logem

Wed Jun 24 15:04:07 2020 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Jun 24 15:04:07 2020 TLS Error: TLS handshake failed

iptables je:

# Generated by iptables-save v1.6.1 on Tue Feb 19 22:31:45 2019
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
#-A INPUT -d 127.0.0.0/8 ! -i lo -j REJECT --reject-with icmp-port-unreachable
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
#-A INPUT -j REJECT --reject-with icmp-port-unreachable
#-A FORWARD -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -j ACCEPT
COMMIT
# Completed on Tue Feb 19 22:31:45 2019

Co muze byt blbe? Na iptables to zkousim az ted, tak nevim, jak se to chovalo drive, ale ufv tady byl dva roky a cca. pred 14-ti dny pripojeni k openvpn prestalo fungovat. Nevypada to, ze by se neco zmenilo. Po vypnuti ufv nebo iptables se openvpn pripoji.

Diky za echo.

Odpovědi

24.6. 17:50 ZAH | skóre: 42 | blog: ZAH
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
Nějak tam nevidím povolené navázání spojení NEW.
24.6. 18:24 PetebLazar | skóre: 19
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
Podle formulace to vypadá, že tazatel hovoří o pravidlech FW na klientu(openvpn), ne na serveru(openvpn)?
BWPOW avatar 24.6. 18:33 BWPOW | skóre: 23 | Kosice
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
Ja som to tiez tak pochopil a nevidim tam chybu. OUTPUT je povoleny cely a INPUT established a related, cize ono by to malo bezat.
Prisiel som, videl som, hmm ... bwpow.eu
24.6. 19:35 PetebLazar | skóre: 19
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
Není třeba povolit FORWARD na tun0?
25.6. 16:20 alkoholik | skóre: 38 | blog: Alkoholik
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
Jemu selze uz navazovani spojeni.
25.6. 09:26 Karlosek
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
Já myslím, že jsem musel povolovat INPUT pro 1194 i pro klienta, no za zkoušku nic nedáš
25.6. 15:30 gepard
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
U kolegy na ufv jsme zkouseli povolit 1194 pro input, take nic. Ale do ufv zas az tak moc nevidim. A na iptables jsem to nezkousel. Pro me tam je podstatne, ze povoluju mnou vyzadane spojeni. Jediny rozdil mezi touto openvpn (co ma problemy) a jinyma (co problemy nemaji) je v tom, ze tato openvpn je soucasne server ke kteremu se pripojuju (a jde to jen bez fw) a take klient pripojujici se dale do jine pobocky. A tu jinou pobocku zpristupnuje pred forward.
25.6. 13:34 Petr
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
A co třeba tam nechat -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7 a kouknout se, jestli tam něco neblokuje.
25.6. 15:19 gepard
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
Zajimave je, ze na jine openvpn-ky se s fw bez problemu pripojim, dela to jen u jedne, kde musim fw vypnout, abych se pripojil. A to to dva roky bezelo bez problemu. Fakt nevim, co se zmenilo. V pondeli jak tam budu mrknu na ten ...--log-level 7
25.6. 16:19 alkoholik | skóre: 38 | blog: Alkoholik
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
Vidis odchozi spojeni v /proc/net/nf_conntrack?
25.6. 16:50 GeorgeWH | skóre: 40
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
Alebo este lepsie pustit rovno tcpdump.
2.7. 12:34 gepard
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
nf_conntrack neexistuje, zkusim ten tcpdump
2.7. 13:41 alkoholik | skóre: 38 | blog: Alkoholik
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
Stary kernel? Co /proc/net/ip_conntrack?
2.7. 13:52 gepard
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn

Nemyslim, ze bych mel stary kernel

uname -a

Linux E560 5.4.0-40-generic #44-Ubuntu SMP Tue Jun 23 00:01:04 UTC 2020 x86_64 x86_64 x86_64 GNU/Linux

kazdopadne ip_conntrack take neexistuje

2.7. 14:39 alkoholik | skóre: 38 | blog: Alkoholik
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
Pripadne modprobe nf_conntrack.
2.7. 12:37 gepard
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
sudo tcpdump dst 192.168.102.228 or dst 192.168.102.199
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on wlp1s0, link-type EN10MB (Ethernet), capture size 262144 bytes
12:31:26.974392 IP E560.38697 > 192.168.102.228.openvpn: UDP, length 86
12:31:28.225262 IP E560.38697 > 192.168.102.228.openvpn: UDP, length 86
12:31:32.162464 ARP, Request who-has 192.168.102.228 tell E560, length 28
12:31:32.165613 ARP, Reply E560 is-at e4:a7:a0:1a:1e:54 (oui Unknown), length 28
12:31:33.227837 IP E560.38697 > 192.168.102.228.openvpn: UDP, length 86
12:31:41.401538 IP E560.38697 > 192.168.102.228.openvpn: UDP, length 86
12:31:57.357699 IP E560.38697 > 192.168.102.228.openvpn: UDP, length 86
12:32:01.603897 ARP, Reply E560 is-at e4:a7:a0:1a:1e:54 (oui Unknown), length 28
^C

sudo tcpdump -vv dst 192.168.102.228 or dst 192.168.102.199
tcpdump: listening on wlp1s0, link-type EN10MB (Ethernet), capture size 262144 bytes
12:33:09.891214 IP (tos 0x0, ttl 64, id 21331, offset 0, flags [DF], proto UDP (17), length 114)
    E560.51109 > 192.168.102.228.openvpn: [udp sum ok] UDP, length 86
12:33:11.907760 IP (tos 0x0, ttl 64, id 21805, offset 0, flags [DF], proto UDP (17), length 114)
    E560.51109 > 192.168.102.228.openvpn: [udp sum ok] UDP, length 86
12:33:15.074466 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.102.228 tell E560, length 28
12:33:15.077588 ARP, Ethernet (len 6), IPv4 (len 4), Reply E560 is-at e4:a7:a0:1a:1e:54 (oui Unknown), length 28
12:33:15.941797 IP (tos 0x0, ttl 64, id 22627, offset 0, flags [DF], proto UDP (17), length 114)
    E560.51109 > 192.168.102.228.openvpn: [udp sum ok] UDP, length 86
12:33:23.438562 IP (tos 0x0, ttl 64, id 22954, offset 0, flags [DF], proto UDP (17), length 114)
    E560.51109 > 192.168.102.228.openvpn: [udp sum ok] UDP, length 86
12:33:40.229957 IP (tos 0x0, ttl 64, id 26219, offset 0, flags [DF], proto UDP (17), length 114)
    E560.51109 > 192.168.102.228.openvpn: [udp sum ok] UDP, length 86
12:33:45.282488 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.102.228 tell E560, length 28
^C
25.6. 17:34 alkoholik | skóre: 38 | blog: Alkoholik
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
Nejsou ciste nahodou ostatni pres TCP a tahle pres UDP?
2.7. 12:38 gepard
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
vsechny vpn mam na udp
25.6. 21:20 Karlosek
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
Může ještě blbnout DNS. Nebo pokud je zadaná jen IP, tak propingnout se zapnutým FW, jestli vůbec projde. A koukat na tcpdump jak radí výše.
2.7. 12:40 gepard
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
se zapnutym fw ping prochazi
2.7. 12:47 gepard
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn

Dneska jsem narazil na dalsi problem.

po tydnu jsem se k tomu dostal. V konfiguraci se nic nezmenilo, ale tentokrat se nepripojim ani bez fw. Pise to toto:

Options error: --ca fails with '/home/tomas/data/vpn/vpn_11_olomouc/ca.crt': No such file or directory (errno=2)
Options error: --cert fails with '/home/tomas/data/vpn/vpn_11_olomouc/tomas.crt': No such file or directory (errno=2)
Thu Jul  2 09:26:55 2020 WARNING: cannot stat file '/home/tomas/data/vpn/vpn_11_olomouc/tomas.key': No such file or directory (errno=2)
Options error: --key fails with '/home/tomas/data/vpn/vpn_11_olomouc/tomas.key': No such file or directory (errno=2)
Thu Jul  2 09:26:55 2020 WARNING: cannot stat file '/home/tomas/data/vpn/vpn_11_olomouc/ta.key': No such file or directory (errno=2)
Options error: --tls-auth fails with '/home/tomas/data/vpn/vpn_11_olomouc/ta.key': No such file or directory (errno=2)
Options error: Please correct these errors.
Use --help for more information.
Thu Jul  2 09:26:56 2020 OpenVPN 2.4.7 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Sep  5 2019
Thu Jul  2 09:26:56 2020 library versions: OpenSSL 1.1.1f  31 Mar 2020, LZO 2.10
Options error: --ca fails with '/home/tomas/data/vpn/vpn_11_olomouc/ca.crt': No such file or directory (errno=2)
Options error: --cert fails with '/home/tomas/data/vpn/vpn_11_olomouc/tomas.crt': No such file or directory (errno=2)
Thu Jul  2 09:27:00 2020 WARNING: cannot stat file '/home/tomas/data/vpn/vpn_11_olomouc/tomas.key': No such file or directory (errno=2)
Options error: --key fails with '/home/tomas/data/vpn/vpn_11_olomouc/tomas.key': No such file or directory (errno=2)
Thu Jul  2 09:27:00 2020 WARNING: cannot stat file '/home/tomas/data/vpn/vpn_11_olomouc/ta.key': No such file or directory (errno=2)
Options error: --tls-auth fails with '/home/tomas/data/vpn/vpn_11_olomouc/ta.key': No such file or directory (errno=2)
Options error: Please correct these errors.
Use --help for more information.
Thu Jul  2 09:27:03 2020 Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
Thu Jul  2 09:27:03 2020 Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
Thu Jul  2 09:27:03 2020 TCP/UDP: Preserving recently used remote address: [AF_INET]192.168.102.228:1194
Thu Jul  2 09:27:03 2020 Socket Buffers: R=[212992->212992] S=[212992->212992]
Thu Jul  2 09:27:03 2020 UDP link local: (not bound)
Thu Jul  2 09:27:03 2020 UDP link remote: [AF_INET]192.168.102.228:1194
Thu Jul  2 09:27:03 2020 NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
Thu Jul  2 09:27:05 2020 TCP/UDP: Incoming packet rejected from [AF_INET]192.168.102.199:1194[2], expected peer address: [AF_INET]192.168.102.228:1194 (allow this incoming source address/port by removing --remote or adding --float)
Thu Jul  2 09:27:05 2020 TCP/UDP: Incoming packet rejected from [AF_INET]192.168.102.199:1194[2], expected peer address: [AF_INET]192.168.102.228:1194 (allow this incoming source address/port by removing --remote or adding --float)
Options error: --ca fails with '/home/tomas/data/vpn/vpn_11_olomouc/ca.crt': No such file or directory (errno=2)
Options error: --cert fails with '/home/tomas/data/vpn/vpn_11_olomouc/tomas.crt': No such file or directory (errno=2)
Thu Jul  2 09:27:06 2020 WARNING: cannot stat file '/home/tomas/data/vpn/vpn_11_olomouc/tomas.key': No such file or directory (errno=2)
Options error: --key fails with '/home/tomas/data/vpn/vpn_11_olomouc/tomas.key': No such file or directory (errno=2)
Thu Jul  2 09:27:06 2020 WARNING: cannot stat file '/home/tomas/data/vpn/vpn_11_olomouc/ta.key': No such file or directory (errno=2)
Options error: --tls-auth fails with '/home/tomas/data/vpn/vpn_11_olomouc/ta.key': No such file or directory (errno=2)
Options error: Please correct these errors.
Use --help for more information.
Zarazi me tam radek
Thu Jul  2 09:27:05 2020 TCP/UDP: Incoming packet rejected from [AF_INET]192.168.102.199:1194[2], expected peer address: [AF_INET]192.168.102.228:1194

IP 192.168.102.199 tam nema co delat.

Take me zarazi ten no such file or directory, kdyz soubor existuje a pred tydnem to fungovalo.

RESENI:

Server ma dve ip adresy uz od startu, takze po navazani kontaktu na prvni ip .228 odpovida ta druha .199

Docasne jsem vyresil parametrem --float

I kdyz se to pripojim, hlasi no such file or directory. Nevim, co si o tom mam myslet.

S fw se stale nepripojim, bez fw ano.

2.7. 14:09 PetebLazar | skóre: 19
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
Nespouští se to pod uživatelem, který nemá k požadovanému souboru dostatečná práva?
2.7. 14:31 gepard
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
Poustim vpn pod svym uzivatelem jako sudo, jak ja, tak root ma pristup a soubory existuji, overeno, cesta je spravne
2.7. 14:40 PetebLazar | skóre: 19
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
A jaký uživatel/skupina je uvedena v /etc/openvpn/server.conf v direktivach user/group?

2.7. 14:41 PetebLazar | skóre: 19
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
Beru zpět, zde jde vlastně o klienta?
2.7. 14:44 PetebLazar | skóre: 19
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
2.7. 14:47 PetebLazar | skóre: 19
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
Ten downgrade práv je až po "Inicializaci" (spojení?). Takže to tím nejspíš nebude.
2.7. 15:23 PetebLazar | skóre: 19
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
Podle chybové hlášky by to taky mohlo jít na vrub aktivního ProtectHome v definici v systemd. https://bbs.archlinux.org/viewtopic.php?id=224741
2.7. 16:00 gepard
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
Diky, prostuduju

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.