Допоможіть підняти OpenVPN

[pawel_chk]

При спробі пінгувати клієнта отримую :

Код: [Вибрати]

root@userv:/var/log# ping 10.8.0.6
PING 10.8.0.6 (10.8.0.6) 56(84) bytes of data.
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted
це фаервол блокує ?
0[/code]

Саме так!!!
 Як що в тебе iptables налаштовано з журналюванням,то все чудово можна побачити в логах, що і звідки блокується..

раджу на етапі тестування відрубати будьякі фаєрволи..

[Tomkat]

Як що в тебе iptables налаштовано з журналюванням,то все чудово можна побачити в логах, що і звідки блокується.

Ось що нарив в логі

Код: [Вибрати]

Dec  7 22:04:35 userv kernel: [14174.989376] OUTPUT packet died: IN= OUT=tun0 SRC=10.8.0.1 DST=10.8.0.6 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=57368 SEQ=1
Dec  7 22:04:36 userv kernel: [14176.004229] OUTPUT packet died: IN= OUT=tun0 SRC=10.8.0.1 DST=10.8.0.6 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=57368 SEQ=2
Dec  7 22:04:37 userv kernel: [14177.004253] OUTPUT packet died: IN= OUT=tun0 SRC=10.8.0.1 DST=10.8.0.6 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=57368 SEQ=3
по команді
iptables -nL
та
iptables -nL -t nat  
щодо icmp отримав

Код: [Вибрати]

icmp_packets  icmp --  0.0.0.0/0            0.0.0.0/0          
DROP       icmp --  0.0.0.0/0            0.0.0.0/0           state INVALID
Chain icmp_packets (1 references)
LOG        icmp -f  0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 4 prefix `ICMP Fragment: '
DROP       icmp -f  0.0.0.0/0            0.0.0.0/0          
DROP       icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 8
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 11
RETURN     icmp --  0.0.0.0/0            0.0.0.0/0          


[Tomkat]

включив прийом ICMP

Код: [Вибрати]

$IPT -A icmp_packets -p ICMP -s 10.8.0.0/24 --icmp-type 8 -j ACCEPT
але пінг всеж там - не проходить , тепер просто мовчить

Код: [Вибрати]

ping 10.8.0.6
PING 10.8.0.6 (10.8.0.6) 56(84) bytes of data.............................
...............

 , а TCPDUMP рапортує

Код: [Вибрати]

01:29:40.976691 IP 10.8.0.1 > 10.8.0.6: ICMP echo request, id 48429, seq 9, length 64
01:29:41.976687 IP 10.8.0.1 > 10.8.0.6: ICMP echo request, id 48429, seq 10, length 64
01:29:42.976691 IP 10.8.0.1 > 10.8.0.6: ICMP echo request, id 48429, seq 11, length 64


[pawel_chk]

В твому випадку фаєрвол блокує по виходу tun0.. про що свідчать записи в логах...

тра добавити щось на зразок того:

Код: [Вибрати]

iptables -A OUTPUT -p ALL -o tun0  -j ACCEPT
iptables -A OUTPUT -p ALL -s 10.8.0.0/24 -j ACCEPT


100500-й раз кажу-Для відкатки такий речей,на початках тра відключати всі фаєрволи..

[Tomkat]

Для відкатки такий речей,на початках тра відключати всі фаєрволи..

якось "стрьомновато", але спробую ....
машина одним кінцем торчить у світ і в SYSLOG сила записів блокування ....

[pawel_chk]

ТОЖ не вінда....  відритий лінукс так швидко не поламають ,як шо не хочеш відключати фв,то допиши те що я порадив з урахуванням твоєї специфіки ...

[Tomkat]

відритий лінукс так швидко не поламають

коли SSH висів на стандартному порту фіксував брутфорс десь з місяць .. яких тільки варіантів логінів не бачив  
Перевісив на інший порт - тиша .....Зараз в SYSLOG тільки BAD PAKAGE відкидає, але теж багато ...
то ехо - виклики ?

[Tomkat]

так, дійсно ...влаштував сквозняк у фаерволлі типа

Код: [Вибрати]

# Reset Default Policies
$IPT -P INPUT ACCEPT
$IPT -P FORWARD ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -t nat -P PREROUTING ACCEPT
$IPT -t nat -P POSTROUTING ACCEPT
$IPT -t nat -P OUTPUT ACCEPT
$IPT -t mangle -P PREROUTING ACCEPT
$IPT -t mangle -P OUTPUT ACCEPT

# Flush all rules
$IPT -F
$IPT -t nat -F
$IPT -t mangle -F

# Erase all non-default chains
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X

# Set Policies

$IPT -P INPUT ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD ACCEPT
і все запрацювало

тепер питання риторичне - де в фаерволі дірку для tun0 зробить ?
просто $IPT -A OUTPUT -p ALL -s 10.8.0.0/24  -j ACCEPT
не достатньо

виключу все і буду вмикати по одному . ДЯКУЮ !

[Tomkat]

ВСЕ !
проблему вирішено шляхом налаштування правил в IPTABLES
VPN_NET="10.8.0.0/24"
VPN_IFACE=tun0
$IPT -A INPUT  -p ALL -s $VPN_NET   -j ACCEPT
$IPT -A OUTPUT p ALL -s $VPN_NET   -j ACCEPT
$IPT -A FORWARD -p tcp -i $VPN_IFACE -j tcp_outbound

Всим дякую !