înregistrare Logare
Puncte:0
elbarna avatar Server

Openvpn de la Debian 10 la 11, opriți-vă la rutarea tuturor pachetelor mele

drapel pe
elbarna

Am făcut upgrade la Debian 11 de la 10. Cu Debian 10, openvpn funcționează bine, acum am avut această problemă, pot ajunge la serverul meu vpn, dar nu pot face ping sau acces la telecomandă lan, cu excepția serverului vpn. Aceasta este configurația firewall-ului pe partea de la distanță

iptables -L
INTRARE în lanț (politica ACCEPTĂ)
target prot opt ​​sursă destinație         
ACCEPT pe toate -- oriunde oriunde state RELATED,STABLISHED
ACCEPT pe toate -- oriunde oriunde            
ACCEPT tcp -- oriunde oriunde multiport dports 2991
ACCEPT udp -- oriunde oriunde multiport dports 2991
ACCEPT tcp -- oriunde oriunde tcp dpt:http-alt
ACCEPTĂ tcp -- 192.168.0.0/24 oriunde tcp dpt:cisco-sccp
ACCEPT tcp -- 192.168.0.0/24 oriunde tcp dpt:2004
ACCEPT tcp -- 192.168.0.0/24 oriunde tcp dpt:3000
ACCEPT tcp -- 192.168.0.0/24 oriunde tcp dpt:37890
ACCEPT tcp -- oriunde oriunde tcp dpt:2124
ACCEPT tcp -- oriunde oriunde tcp dpt:5861
ACCEPT tcp -- 192.168.0.0/24 oriunde tcp dpt:telnet
ACCEPT tcp -- oriunde oriunde tcp dpts:5900:5910
ACCEPT icmp -- oriunde oriunde icmp echo-reply
ACCEPT icmp -- oriunde oriunde icmp echo-request
ACCEPT pe toate -- oriunde oriunde            
ÎNREGISTRARE pe toate -- oriunde oriunde            
REJECT all -- oriunde oriunde respinge-cu icmp-gazdă-interzis

Lanț FORWARD (politica ACCEPT)
target prot opt ​​sursă destinație         
ACCEPT pe toate -- oriunde oriunde            
ACCEPT pe toate -- oriunde oriunde state RELATED,STABLISHED
NFLOG all -- oriunde oriunde            
REJECT all -- oriunde oriunde respinge-cu icmp-gazdă-interzis

Ieșire în lanț (politica ACCEPT)
target prot opt ​​sursă destinație         
ACCEPT icmp -- oriunde oriunde icmp echo-reply
ACCEPT icmp -- oriunde oriunde icmp echo-request

Jurnalul în lanț (1 referințe)
target prot opt ​​sursă destinație         
NFLOG all -- oriunde oriunde nflog-prefix „[iptables-drop]:” nflog-group 11
DROP all -- oriunde oriunde            
root@vpn:/etc/openvpn#

Aceasta este configurația de la distanță a Openvpn

portul 2991
proto tcp
dev tun
ca /etc/openvpn/certs/keys/ca.crt
cert /etc/openvpn/certs/keys/vpn.******.priv.crt
cheie /etc/openvpn/certs/keys/vpn.******.priv.key
dh /etc/openvpn/dh2048.pem
subrețea topologică
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist /var/log/openvpn/ipp.txt
apăsați „route 192.168.0.0 255.255.255.0”
de la client la client
menține în viață 10 120
tls-auth /etc/openvpn/certs/keys/ta.key 0
date-ciphers-fallback AES-256-CBC
utilizator openvpn
grup fără grup
cheie-persiste
persist-tun
stare /var/log/openvpn/openvpn-status.log
verbul 7
auth SHA512
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-256-CBC-SHA :TLS-DHE-RSA-CU-CAMELLIA-256-CBC-SHA:TLS-DHE-RSA-CU-AES-128-CBC-SHA:TLS-DHE-RSA-CU-CAMELLIA-128-CBC-SHA
auth-nocache

Aceasta este configurația openvpn în partea client (paravanul de protecție este identic cu telecomandă, așa că evit să postez)

client
dev tun
proto tcp
telecomanda ****** 2991
rezoluție-reîncercare infinit
nobind
utilizator nimeni
grupa pe nimeni
cheie-persiste
persist-tun
cert /etc/openvpn/certs/keys/vpn.******.priv.crt
cheie /etc/openvpn/certs/keys/vpn.******.priv.key
dh /etc/openvpn/dh2048.pem
server remote-cert-tls
tls-auth /etc/openvpn/certs/ta.key 1
date-ciphers-fallback AES-256-CBC
auth SHA512
auth-nocache
subrețea topologică
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-256-CBC-SHA :TLS-DHE-RSA-CU-CAMELLIA-256-CBC-SHA:TLS-DHE-RSA-CU-AES-128-CBC-SHA:TLS-DHE-RSA-CU-CAMELLIA-128-CBC-SHA
verbul 7

Singura eroare pe care am gasit-o pe server este aceasta...

acum 21 00:56:23 vpn ovpn-server[3791]: ******/*****:24545 OBȚINE INST BY VIRT: 192.168.0.12 [eșuat]

192.168.0.12 este IP-ul serverului openvpn și pot ajunge la el, dar fiecare ip din lan 192.168.0.02/24 este blocat (fără ping, fără ssh, nimic).

de exemplu..

$ ping 192.168.0.1
PING 192.168.0.1 (192.168.0.1) 56(84) octeți de date.
^C
--- 192.168.0.1 statistici ping ---
6 pachete transmise, 0 primite, 100% pierdere de pachete, timp 5133 ms

$ ping 192.168.0.12
PING 192.168.0.12 (192.168.0.12) 56(84) octeți de date.
64 de octeți de la 192.168.0.12: icmp_seq=1 ttl=64 time=166 ms
64 de octeți de la 192.168.0.12: icmp_seq=2 ttl=64 time=164 ms
64 de octeți de la 192.168.0.12: icmp_seq=3 ttl=64 time=84,9 ms
^C
--- 192.168.0.12 statistici ping ---
3 pachete transmise, 3 primite, 0% pierdere de pachete, timp 2002 ms
rtt min/avg/max/mdev = 84,924/138,389/166,113/37,814 ms
292
1 + 0
Puncte:1
elbarna avatar Server
drapel pe
elbarna

Soluție găsită. Pe Debian 11 au avut o idee proastă (imho) să redenumească eth0 clasic la un nume lung de 16 caractere! Acest lucru face imposibilă utilizarea interfeței în iptables sau bridgge-utils (lungimea maximă a interfeței de rețea permisă este de 15), altfel va apărea această eroare „numele interfeței are mai mult de 15 caractere” Deci nat-ul meu merge la un dispozitiv inexistent (eth0 a dispărut). Dar, din fericire, există o soluție ușoară:

vim /etc/udev/rules.d/70-persistent-net.rules

#/etc/udev/rules.d/70-persistent-net.rules
SUBSYSTEM=="net", ACTION=="add", DRIVERS=="?*", ATTR{address}=="YO:UR:MA:CA:DD:RES", ATTR{type}=="1 ", KERNEL=="eth*", NAME="eth0"

Desigur, înlocuiți „YO:UR:MA:CA:DD:RES”

După o repornire, văd vechiul nume bun eth0 și toate revin la lucru

0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.