Portál AbcLinuxu, 8. května 2025 02:50

Dotaz: po aktivaci fw nejde pripojit openvpn

24.6.2020 15:16 gepard
po aktivaci fw nejde pripojit openvpn
Přečteno: 597×
Odpovědět | Admin

Ahoj, resim takovou zahadu. Kdyz mam vypnuty fw iptables (nebo kolega ufv), tak se k openvpn serveru pripojim. Ziskam tun0. Pokud aktivuju fw (iptables nebo ufv), tak pripojeni k openvpn prestane fungovat s logem

Wed Jun 24 15:04:07 2020 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Jun 24 15:04:07 2020 TLS Error: TLS handshake failed

iptables je:

# Generated by iptables-save v1.6.1 on Tue Feb 19 22:31:45 2019
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
#-A INPUT -d 127.0.0.0/8 ! -i lo -j REJECT --reject-with icmp-port-unreachable
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
#-A INPUT -j REJECT --reject-with icmp-port-unreachable
#-A FORWARD -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -j ACCEPT
COMMIT
# Completed on Tue Feb 19 22:31:45 2019

Co muze byt blbe? Na iptables to zkousim az ted, tak nevim, jak se to chovalo drive, ale ufv tady byl dva roky a cca. pred 14-ti dny pripojeni k openvpn prestalo fungovat. Nevypada to, ze by se neco zmenilo. Po vypnuti ufv nebo iptables se openvpn pripoji.

Diky za echo.

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

24.6.2020 17:50 ZAH | skóre: 43 | blog: ZAH
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
Odpovědět | | Sbalit | Link | Blokovat | Admin
Nějak tam nevidím povolené navázání spojení NEW.
24.6.2020 18:24 PetebLazar | skóre: 34 | blog: l_eonardovo_odhodlani
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
Podle formulace to vypadá, že tazatel hovoří o pravidlech FW na klientu(openvpn), ne na serveru(openvpn)?
24.6.2020 18:33 billgates | skóre: 27
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
Ja som to tiez tak pochopil a nevidim tam chybu. OUTPUT je povoleny cely a INPUT established a related, cize ono by to malo bezat.
24.6.2020 19:35 PetebLazar | skóre: 34 | blog: l_eonardovo_odhodlani
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
Není třeba povolit FORWARD na tun0?
25.6.2020 16:20 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
Jemu selze uz navazovani spojeni.
25.6.2020 09:26 Karlosek
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
Já myslím, že jsem musel povolovat INPUT pro 1194 i pro klienta, no za zkoušku nic nedáš
25.6.2020 15:30 gepard
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
U kolegy na ufv jsme zkouseli povolit 1194 pro input, take nic. Ale do ufv zas az tak moc nevidim. A na iptables jsem to nezkousel. Pro me tam je podstatne, ze povoluju mnou vyzadane spojeni. Jediny rozdil mezi touto openvpn (co ma problemy) a jinyma (co problemy nemaji) je v tom, ze tato openvpn je soucasne server ke kteremu se pripojuju (a jde to jen bez fw) a take klient pripojujici se dale do jine pobocky. A tu jinou pobocku zpristupnuje pred forward.
25.6.2020 13:34 Petr
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
Odpovědět | | Sbalit | Link | Blokovat | Admin
A co třeba tam nechat -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7 a kouknout se, jestli tam něco neblokuje.
25.6.2020 15:19 gepard
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
Odpovědět | | Sbalit | Link | Blokovat | Admin
Zajimave je, ze na jine openvpn-ky se s fw bez problemu pripojim, dela to jen u jedne, kde musim fw vypnout, abych se pripojil. A to to dva roky bezelo bez problemu. Fakt nevim, co se zmenilo. V pondeli jak tam budu mrknu na ten ...--log-level 7
25.6.2020 16:19 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
Vidis odchozi spojeni v /proc/net/nf_conntrack?
25.6.2020 16:50 GeorgeWH | skóre: 42
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
Alebo este lepsie pustit rovno tcpdump.
2.7.2020 12:34 gepard
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
nf_conntrack neexistuje, zkusim ten tcpdump
2.7.2020 13:41 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
Stary kernel? Co /proc/net/ip_conntrack?
2.7.2020 13:52 gepard
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn

Nemyslim, ze bych mel stary kernel

uname -a

Linux E560 5.4.0-40-generic #44-Ubuntu SMP Tue Jun 23 00:01:04 UTC 2020 x86_64 x86_64 x86_64 GNU/Linux

kazdopadne ip_conntrack take neexistuje

2.7.2020 14:39 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
Pripadne modprobe nf_conntrack.
2.7.2020 12:37 gepard
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn 
sudo tcpdump dst 192.168.102.228 or dst 192.168.102.199
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on wlp1s0, link-type EN10MB (Ethernet), capture size 262144 bytes
12:31:26.974392 IP E560.38697 > 192.168.102.228.openvpn: UDP, length 86
12:31:28.225262 IP E560.38697 > 192.168.102.228.openvpn: UDP, length 86
12:31:32.162464 ARP, Request who-has 192.168.102.228 tell E560, length 28
12:31:32.165613 ARP, Reply E560 is-at e4:a7:a0:1a:1e:54 (oui Unknown), length 28
12:31:33.227837 IP E560.38697 > 192.168.102.228.openvpn: UDP, length 86
12:31:41.401538 IP E560.38697 > 192.168.102.228.openvpn: UDP, length 86
12:31:57.357699 IP E560.38697 > 192.168.102.228.openvpn: UDP, length 86
12:32:01.603897 ARP, Reply E560 is-at e4:a7:a0:1a:1e:54 (oui Unknown), length 28
^C

sudo tcpdump -vv dst 192.168.102.228 or dst 192.168.102.199
tcpdump: listening on wlp1s0, link-type EN10MB (Ethernet), capture size 262144 bytes
12:33:09.891214 IP (tos 0x0, ttl 64, id 21331, offset 0, flags [DF], proto UDP (17), length 114)
    E560.51109 > 192.168.102.228.openvpn: [udp sum ok] UDP, length 86
12:33:11.907760 IP (tos 0x0, ttl 64, id 21805, offset 0, flags [DF], proto UDP (17), length 114)
    E560.51109 > 192.168.102.228.openvpn: [udp sum ok] UDP, length 86
12:33:15.074466 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.102.228 tell E560, length 28
12:33:15.077588 ARP, Ethernet (len 6), IPv4 (len 4), Reply E560 is-at e4:a7:a0:1a:1e:54 (oui Unknown), length 28
12:33:15.941797 IP (tos 0x0, ttl 64, id 22627, offset 0, flags [DF], proto UDP (17), length 114)
    E560.51109 > 192.168.102.228.openvpn: [udp sum ok] UDP, length 86
12:33:23.438562 IP (tos 0x0, ttl 64, id 22954, offset 0, flags [DF], proto UDP (17), length 114)
    E560.51109 > 192.168.102.228.openvpn: [udp sum ok] UDP, length 86
12:33:40.229957 IP (tos 0x0, ttl 64, id 26219, offset 0, flags [DF], proto UDP (17), length 114)
    E560.51109 > 192.168.102.228.openvpn: [udp sum ok] UDP, length 86
12:33:45.282488 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.102.228 tell E560, length 28
^C
25.6.2020 17:34 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
Nejsou ciste nahodou ostatni pres TCP a tahle pres UDP?
2.7.2020 12:38 gepard
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
vsechny vpn mam na udp
25.6.2020 21:20 Karlosek
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
Odpovědět | | Sbalit | Link | Blokovat | Admin
Může ještě blbnout DNS. Nebo pokud je zadaná jen IP, tak propingnout se zapnutým FW, jestli vůbec projde. A koukat na tcpdump jak radí výše.
2.7.2020 12:40 gepard
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
se zapnutym fw ping prochazi
2.7.2020 12:47 gepard
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
Odpovědět | | Sbalit | Link | Blokovat | Admin

Dneska jsem narazil na dalsi problem.

po tydnu jsem se k tomu dostal. V konfiguraci se nic nezmenilo, ale tentokrat se nepripojim ani bez fw. Pise to toto:

Options error: --ca fails with '/home/tomas/data/vpn/vpn_11_olomouc/ca.crt': No such file or directory (errno=2)
Options error: --cert fails with '/home/tomas/data/vpn/vpn_11_olomouc/tomas.crt': No such file or directory (errno=2)
Thu Jul  2 09:26:55 2020 WARNING: cannot stat file '/home/tomas/data/vpn/vpn_11_olomouc/tomas.key': No such file or directory (errno=2)
Options error: --key fails with '/home/tomas/data/vpn/vpn_11_olomouc/tomas.key': No such file or directory (errno=2)
Thu Jul  2 09:26:55 2020 WARNING: cannot stat file '/home/tomas/data/vpn/vpn_11_olomouc/ta.key': No such file or directory (errno=2)
Options error: --tls-auth fails with '/home/tomas/data/vpn/vpn_11_olomouc/ta.key': No such file or directory (errno=2)
Options error: Please correct these errors.
Use --help for more information.
Thu Jul  2 09:26:56 2020 OpenVPN 2.4.7 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Sep  5 2019
Thu Jul  2 09:26:56 2020 library versions: OpenSSL 1.1.1f  31 Mar 2020, LZO 2.10
Options error: --ca fails with '/home/tomas/data/vpn/vpn_11_olomouc/ca.crt': No such file or directory (errno=2)
Options error: --cert fails with '/home/tomas/data/vpn/vpn_11_olomouc/tomas.crt': No such file or directory (errno=2)
Thu Jul  2 09:27:00 2020 WARNING: cannot stat file '/home/tomas/data/vpn/vpn_11_olomouc/tomas.key': No such file or directory (errno=2)
Options error: --key fails with '/home/tomas/data/vpn/vpn_11_olomouc/tomas.key': No such file or directory (errno=2)
Thu Jul  2 09:27:00 2020 WARNING: cannot stat file '/home/tomas/data/vpn/vpn_11_olomouc/ta.key': No such file or directory (errno=2)
Options error: --tls-auth fails with '/home/tomas/data/vpn/vpn_11_olomouc/ta.key': No such file or directory (errno=2)
Options error: Please correct these errors.
Use --help for more information.
Thu Jul  2 09:27:03 2020 Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
Thu Jul  2 09:27:03 2020 Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
Thu Jul  2 09:27:03 2020 TCP/UDP: Preserving recently used remote address: [AF_INET]192.168.102.228:1194
Thu Jul  2 09:27:03 2020 Socket Buffers: R=[212992->212992] S=[212992->212992]
Thu Jul  2 09:27:03 2020 UDP link local: (not bound)
Thu Jul  2 09:27:03 2020 UDP link remote: [AF_INET]192.168.102.228:1194
Thu Jul  2 09:27:03 2020 NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
Thu Jul  2 09:27:05 2020 TCP/UDP: Incoming packet rejected from [AF_INET]192.168.102.199:1194[2], expected peer address: [AF_INET]192.168.102.228:1194 (allow this incoming source address/port by removing --remote or adding --float)
Thu Jul  2 09:27:05 2020 TCP/UDP: Incoming packet rejected from [AF_INET]192.168.102.199:1194[2], expected peer address: [AF_INET]192.168.102.228:1194 (allow this incoming source address/port by removing --remote or adding --float)
Options error: --ca fails with '/home/tomas/data/vpn/vpn_11_olomouc/ca.crt': No such file or directory (errno=2)
Options error: --cert fails with '/home/tomas/data/vpn/vpn_11_olomouc/tomas.crt': No such file or directory (errno=2)
Thu Jul  2 09:27:06 2020 WARNING: cannot stat file '/home/tomas/data/vpn/vpn_11_olomouc/tomas.key': No such file or directory (errno=2)
Options error: --key fails with '/home/tomas/data/vpn/vpn_11_olomouc/tomas.key': No such file or directory (errno=2)
Thu Jul  2 09:27:06 2020 WARNING: cannot stat file '/home/tomas/data/vpn/vpn_11_olomouc/ta.key': No such file or directory (errno=2)
Options error: --tls-auth fails with '/home/tomas/data/vpn/vpn_11_olomouc/ta.key': No such file or directory (errno=2)
Options error: Please correct these errors.
Use --help for more information.
Zarazi me tam radek 
Thu Jul  2 09:27:05 2020 TCP/UDP: Incoming packet rejected from [AF_INET]192.168.102.199:1194[2], expected peer address: [AF_INET]192.168.102.228:1194

IP 192.168.102.199 tam nema co delat.

Take me zarazi ten no such file or directory, kdyz soubor existuje a pred tydnem to fungovalo.

RESENI:

Server ma dve ip adresy uz od startu, takze po navazani kontaktu na prvni ip .228 odpovida ta druha .199

Docasne jsem vyresil parametrem --float

I kdyz se to pripojim, hlasi no such file or directory. Nevim, co si o tom mam myslet.

S fw se stale nepripojim, bez fw ano.

2.7.2020 14:09 PetebLazar | skóre: 34 | blog: l_eonardovo_odhodlani
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
Nespouští se to pod uživatelem, který nemá k požadovanému souboru dostatečná práva?
2.7.2020 14:31 gepard
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
Poustim vpn pod svym uzivatelem jako sudo, jak ja, tak root ma pristup a soubory existuji, overeno, cesta je spravne
2.7.2020 14:40 PetebLazar | skóre: 34 | blog: l_eonardovo_odhodlani
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
A jaký uživatel/skupina je uvedena v /etc/openvpn/server.conf v direktivach user/group?

2.7.2020 14:41 PetebLazar | skóre: 34 | blog: l_eonardovo_odhodlani
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
Beru zpět, zde jde vlastně o klienta?
2.7.2020 14:44 PetebLazar | skóre: 34 | blog: l_eonardovo_odhodlani
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
Client.conf tyto direktivy může mít také. https://github.com/OpenVPN/openvpn/blob/master/sample/sample-config-files/client.conf
2.7.2020 14:47 PetebLazar | skóre: 34 | blog: l_eonardovo_odhodlani
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
Ten downgrade práv je až po "Inicializaci" (spojení?). Takže to tím nejspíš nebude.
2.7.2020 15:23 PetebLazar | skóre: 34 | blog: l_eonardovo_odhodlani
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
Podle chybové hlášky by to taky mohlo jít na vrub aktivního ProtectHome v definici v systemd. https://bbs.archlinux.org/viewtopic.php?id=224741
2.7.2020 16:00 gepard
Rozbalit Rozbalit vše Re: po aktivaci fw nejde pripojit openvpn
Diky, prostuduju

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.