#1  2013-02-08 22:01:11

  machlo1 - Nowy użytkownik

Zarejestrowany: 2013-02-08

Problem z OpenVPN + Firewall.


Jestem nowy na forum więc na wstępie proszę o wyrozumiałość :)

Mam problem z połączeniem VPN.

Skonfigurowałem OpenVPN, niby klient łączy się z serwerem, jest jednak problem,
po nawiązaniu połączenia otrzymuję ip, niestety nie mogę spingować żadnego hosta, odpowiada tylko serwer(w puli adresów VPN).

Podejrzewam że problem leży w konfiguracji firewalla, jednak nie mogę sobie z tym poradzić i proszę o pomoc.

Mój config firewalla oparłem na tutku dostępnym tutaj:

(dokładniej zmieniłem tylko adres na swój -

Config mojego serwera VPN wygląda następująco:


dev tap0
port 5000
proto udp
status /tmp/openvpn-status.log
ping 15
ping-restart 45
verb 3
secret /etc/openvpn/static.key
inactive 3600
push "ping 10"
push "ping-restart 60"
push "route"

Proszę o pomoc...




#2  2013-02-08 22:14:51

  Jacekalex - Podobno człowiek...;)

Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Problem z OpenVPN + Firewall.

Skąd pewność, że to firewall, a nie brak przekazywania pakietów? (do włączenia w kernelu przez sysctl).
Pokaz wynik z konsoli serwera vpn:


 sysctl -a 2>/dev/null | grep 'net.ipv4.ip_forward'

Pokaż też swój skrypt do firewalla.

#3  2013-02-08 22:25:42

  machlo1 - Nowy użytkownik

Zarejestrowany: 2013-02-08

Re: Problem z OpenVPN + Firewall.

w dmesgu mam coś takiego


[14441795.028024] tap0: no IPv6 routers present
[14444014.506767] process `sysctl' is using deprecated sysctl (syscall) net.ipv6.neigh.default.retrans_time; Use net.ipv6.neigh.default.retrans_time_ms instead.

reguły które odpaliłem w iptables:


reguły które odpaliłem do iptables:
echo "1" > /proc/sys/net/ipv4/ip_forward
#forwardowanie pakietow
iptables -A INPUT -i tap0 -j ACCEPT
iptables -A FORWARD -o tap0 -j ACCEPT
#otwieranie portow dla serwera i klienta openvpn
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 5000 -j ACCEPT #openvpn
iptables -A INPUT -p udp -m state --state NEW -m udp --dport 5000 -j ACCEPT #openvpn
#routing dla adresu ip klienta
ip addr add dev eth0
#dodajamy translacje adresów i nat
iptables -t nat -A POSTROUTING -o eth0 -s -j SNAT --to
iptables -t nat -A PREROUTING -i eth0 -d -j DNAT --to
# przekazywanie pakietów z i do tunelu
iptables -A FORWARD -s -d 0/0 -j ACCEPT
iptables -A FORWARD -d -s 0/0 -j ACCEPT
# a to prewencyjnie
iptables -A INPUT -s -j ACCEPT
iptables -A OUTPUT -d -j ACCEPT

a wynik o który prosiłeś:


#4  2013-02-08 23:57:57

  Jacekalex - Podobno człowiek...;)

Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Problem z OpenVPN + Firewall.

Z pewnością nie ten wynik, pytałem o wynik polecenia:


sysctl -a 2>/dev/null | grep 'net.ipv4.ip_forward'

Prawidłowy wynik:


sysctl -a 2>/dev/null | grep 'net.ipv4.ip_forward'
net.ipv4.ip_forward = 1

A u Ciebie jest listing na pół metra, ale bez tej wartości, którą powinien odfiltrować grep, i w ogóle bez parametrów ipv4 kernela.

Zobacz też routing na serwerze i u klienta, bo jest możliwość, że OpenVPN nie ustawia tras routingu, jak trzeba.

Masz może konfig klienta Openvpn?

#5  2013-02-09 00:34:34

  ArnVaker - Kapelusznik

Skąd: Midgard
Zarejestrowany: 2009-05-06

Re: Problem z OpenVPN + Firewall.

Wystarczy sysctl net.ipv4.ip_forward zamiast tego grepa, że się tak wtrącę.



#6  2013-02-09 07:56:09

  paoolo - Oldtimer

Skąd: Kraków
Zarejestrowany: 2006-05-20

Re: Problem z OpenVPN + Firewall.

By klienci mogli się widzieć nawzajem potrzeba do konfiguracji serwera dopisać



Konfiguracja firewall czy przekazywania nie ma tutaj nic do rzeczy. Pakiety od klienta do klienta nie wychodzą poza interfejs tap0 (tj. nie powinno).

Zobacz jednak na to … s-in-openvpn/ być może nie możesz użyć trybu client-to-client, bo chcesz monitorować ruch pomiędzy klientami (to tak jakbyś faktycznie był routerem wtedy między nim, bo tak naprawdę jest, wszystko odbywa się na pulach o masce /30).

Zerknij też tutaj w poszukiwaniu client-to-client.

Tak BTW bezpieczeństwa oraz elastyczniejszego zarządzania klientami, zainteresuj się certyfikatami :) jako metodą uwierzytelniania.



#7  2013-02-10 16:09:15

  machlo1 - Nowy użytkownik

Nowy użytkownik
Zarejestrowany: 2013-02-08

Re: Problem z OpenVPN + Firewall.


jest tak jak napisałeś:


root@hanibal:~# sysctl -a 2>/dev/null | grep 'net.ipv4.ip_forward'
net.ipv4.ip_forward = 1

client to client zaraz obadam...


client to client nie jest mi do szczęścia potrzebne, ja nie chcę osiągnąć możliwości połączenia się z innym klientem vpn.

Założenie jest takie, że chciałbym po połączeniu się w tunelu między klientem(moim komputerem) a serwerem umieszczonym w jakiejśtam lokalizacji móc nawiązać połączenie z hostami lokalnymi(w podsieci W tym momencie przy w/w konfiguracji vpn mogę połączyć się z serwerem vpn, dostaję zadany adres ip z puli ip tunelu (, gdzie serwer ma i na tym kończy się zabawa. Pingując lokalny adres serwera nie mam odpowiedzi, natomast pingując adres vpnowski serwer odpowiada.

Dlatego właśnie podejrzewam problem z firewallem.

Generalne potrzebuję tunelu do pulpitów zdalnych i podobnych zabawek, nic skomplikowanego tam się dziać nie będzie.


config clienta:


dev tap
    proto udp
    remote adresip 5000 
ping 15
       ping-restart 45
push "ping 10"
push "ping-restart 60"
    resolv-retry infinite
    secret static.key
    verb 1

#8  2013-02-10 18:47:41

  Jacekalex - Podobno człowiek...;)

Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Problem z OpenVPN + Firewall.

Spróbuj debugować firewalla przez moduł TRACE użyty w tablicy RAW, wtedy w logach napisze dokładnie, co się dzieje z każdym pakietem.
Tylko nie próbuj włączać takiego debugowania na długo, bo w 2 godziny Ci cały dysk logi zeżrą.

Chociaż z drugiej strony piszesz, że to firewall, a to równie dobrze może być spartolony routing, który OpenVPN ustawia w sposób daleki od doskonałości.
Tu też może być błąd, i jest bardzo prawdopodobny.


#9  2013-07-12 15:44:10

  turbobaxMW82 - Nowy użytkownik

Nowy użytkownik
Zarejestrowany: 2013-07-12

Re: Problem z OpenVPN + Firewall.

Mam identyczną sytuację, czy coś udało się wyjaśnić?



#10  2013-07-12 15:50:40

  jurgensen - Użytkownik

Skąd: Wrocław
Zarejestrowany: 2010-01-26

Re: Problem z OpenVPN + Firewall.

Czy zrobiłeś bridge z interfejsem tap? Jeśli tak, to załącz konfigurację FW i interfejsów.



