Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

OpenVPN e Chain INPUT DROP

 
Nuovo argomento   Rispondi    Indice del forum -> VPN
Precedente :: Successivo  
Autore Messaggio
ilNebbioso



Registrato: 31/03/09 01:36
Messaggi: 76

MessaggioInviato: Lun Set 17, 2012 2:06 pm    Oggetto: OpenVPN e Chain INPUT DROP Rispondi citando

Ciao a tutti.
Ho un problema con la chain INPUT quando la default policy è DROP (FORWARD e OUTPUT hanno default policy ACCEPT). O meglio, non capisco dove io sto sbagliando.

In pratica ho ZS 1.0b15 con quella default policy e le seguenti regole (non da me impostate... lasciamo perdere!):

Citazione:
1 ETH01 * ACCEPT all opt -- in ETH01 out * 0.0.0.0/0 -> 0.0.0.0/0 no
2 * * ACCEPT all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 state RELATED,ESTABLISHED


ETH00 è la red, ETH01 è la green.

Avrei bisogno di connettermi da remoto tramite OpenVPN (come ho fatto in altre installazioni) e ci riesco solo se aggiungo la seguente regola:

Citazione:
ACCEPT all opt -- in ETH00 out * 0.0.0.0/0 -> 0.0.0.0/0


Mi aspettavo bastasse aggiungere sulla ETH00 un accept sulla porta UDP (o TCP?) 1194 -ovviamente salvando il tutto-, ma non funziona.

Cosa sbaglio?

Grazie per l'aiuto!
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 767

MessaggioInviato: Lun Set 17, 2012 8:34 pm    Oggetto: Rispondi citando

La configurazione OpenVPN di default , pone il vpn server in ascolto sulla 1194 tcp , quindi dovresti avere , nella chain di input, una regola che permetta le connessioni in ingresso su tale porta , nel tuo caso qualcosa del genere
Codice:
ETH00    *    ACCEPT tcp opt -- in ETH00 out * 0.0.0.0/0 -> 0.0.0.0/0 tcp dpt:1194
avendo "solo" 2 interfacce fisiche e drop come default policy , la chain di input potrebbe essere
Codice:

ETH00    *    ACCEPT all opt -- in ETH00 out * 0.0.0.0/0 -> 0.0.0.0/0 state RELATED,ESTABLISHED
ETH00    *    ACCEPT tcp opt -- in ETH00 out * 0.0.0.0/0 -> 0.0.0.0/0 tcp dpt:1194 state NEW
ETH01    *    ACCEPT all opt -- in ETH00 out * 0.0.0.0/0 -> 0.0.0.0/0
VPN99    *    ACCEPT all opt -- in VPN99 out * 0.0.0.0/0 -> 0.0.0.0/0
con la forward ad accept ( Rolling Eyes Rolling Eyes ) dovresti riuscire a raggiungere ( in L3) dalla vpn , gli hosts della lan e viceversa .
Volendo , data la flessibilità di iptables , si potrebbe essere molto piu' "granulari" nel controllo del traffico ( .....quella forward ad accept ... Rolling Eyes Rolling Eyes )
Nella config della vpn , puoi aggiungere lato client
Codice:
remote-cert-eku 'TLS Web Server Authentication'
dovrebbe evitare il warning per possibili MITM.
ciao
Top
Profilo Invia messaggio privato
ilNebbioso



Registrato: 31/03/09 01:36
Messaggi: 76

MessaggioInviato: Mar Set 18, 2012 9:30 am    Oggetto: Rispondi citando

Redfive, ciao.
Il mio (stupido) errore era che avevo impostato la 1194 come porta Source e non, come è ovvio, la Destination port.

Me ne sono accorto con quel "dpt" nella tua risposta.

Codice:
ETH00    *    ACCEPT tcp opt -- in ETH00 out * 0.0.0.0/0 -> 0.0.0.0/0 tcp dpt:1194


Grazie Exclamation Exclamation Exclamation Exclamation
Top
Profilo Invia messaggio privato
maverick



Registrato: 18/03/14 17:25
Messaggi: 531

MessaggioInviato: Gio Apr 14, 2016 2:13 pm    Oggetto: Rispondi citando

Ciao a tutti.

Volevo approfondire questo post.
Io ho configurato open vpn ma quando tento connessione verso zs mi dice ritenta la connessione ogni 5 secondi fino a quando poi decade il tutto.

Ho aperto la porta sul router 1194 mettendo come IP l'indirizzo della eth01 (wan).

Ma non si collega. Funziona solo se mi colgo con un cavo di rete sul router e di conseguenza facendo parte della stessa rete openvpn si connette, ma se voglio collegarmi a zs con un'altra rete di connessione non va.

Chi mi può aiutare?
Cosa devo fare?

Grazie mille
Top
Profilo Invia messaggio privato
ilNebbioso



Registrato: 31/03/09 01:36
Messaggi: 76

MessaggioInviato: Gio Apr 14, 2016 6:47 pm    Oggetto: Rispondi citando

maverick, ciao!
Purtroppo non ci dai dettagli per capire che succede. Ti faccio un po' di domande, ti prego di rispondere punto per tutto.
1) la rete "remota" e la rete a cui ti vuoi collegare devono NON appartenere alla stessa classe di indirizzi (es entrambe 192.168.1.x). E' cosi? Che IP hanno?
2) la rete a cui ti colleghi quanti IP pubblici ha? Il router è configurato con Bridged o Router (NAT)?
3) OpenVPN ti mostra un log. Ce ne posti le ultime 30/50 righe?
4) quale versione di ZS stai usando?

Grazie.

ps ti consiglio di aprire un nuovo post al posto di continuare in questo che c'entra poco e nulla con la tua problematica. Ti aiuterò ben volentieri.
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 767

MessaggioInviato: Gio Apr 14, 2016 7:16 pm    Oggetto: Rispondi citando

Credo che il problema sia nella chain di input, devi permettere le nuove connessioni in ingresso dalla wan, sulla porta utilizzata da openvpn (1194 di default).
ciao
Top
Profilo Invia messaggio privato
maverick



Registrato: 18/03/14 17:25
Messaggi: 531

MessaggioInviato: Sab Apr 16, 2016 7:11 am    Oggetto: Rispondi citando

buon giorno a tutti e grazie per il vostro interessamento.

Non ho aperto altri post perchè questa era gia aperta e per non creare altri "casini", e la configurazione che cerco è la stessa chain input a drop e vpn.

ciao red

redfive ha scritto:
Credo che il problema sia nella chain di input, devi permettere le nuove connessioni in ingresso dalla wan, sulla porta utilizzata da openvpn (1194 di default).
ciao


riguardo il tuo quesito ho seguito questo post e configurato la chain input come da tue indicazioni sopra, perchè con le mie non funzionava ma, neanche con i tuoi preziosi suggerimenti non funziona visto che i log di openvpn sono gli stessi, sia con la mia configurazione che con la tua.

Ciao Nebbioso, e grazie anche a te.

ilNebbioso ha scritto:
maverick, ciao!
Purtroppo non ci dai dettagli per capire che succede. Ti faccio un po' di domande, ti prego di rispondere punto per tutto.
1) la rete "remota" e la rete a cui ti vuoi collegare devono NON appartenere alla stessa classe di indirizzi (es entrambe 192.168.1.x). E' cosi? Che IP hanno?
2) la rete a cui ti colleghi quanti IP pubblici ha? Il router è configurato con Bridged o Router (NAT)?
3) OpenVPN ti mostra un log. Ce ne posti le ultime 30/50 righe?
4) quale versione di ZS stai usando?
Grazie.

ps ti consiglio di aprire un nuovo post al posto di continuare in questo che c'entra poco e nulla con la tua problematica. Ti aiuterò ben volentieri.


allora cerco di darti tutte le info che chiedi:
1) le due reti non appartengono alla stessa classe di indirizzi una (zs) è :192.168.1.xx (wan eth01), l'atra è connessa con chiavetta mobile.
l'ip della wan è fisso e non ricordo bene l'ip ma è un 79.qualcosa ma non me lo ricordo.
l'ip chiavetta mobile fa parte di una rete 10. qualcosa

2) router configurato come router

3) Log openvpn:
Sat Apr 16 07:44:23 2016 us=351000 Current Parameter Settings:
Sat Apr 16 07:44:23 2016 us=351000 config = 'zeroshell.ovpn'
Sat Apr 16 07:44:23 2016 us=351000 mode = 0
Sat Apr 16 07:44:23 2016 us=351000 show_ciphers = DISABLED
Sat Apr 16 07:44:23 2016 us=351000 show_digests = DISABLED
Sat Apr 16 07:44:23 2016 us=351000 show_engines = DISABLED
Sat Apr 16 07:44:23 2016 us=351000 genkey = DISABLED
Sat Apr 16 07:44:23 2016 us=351000 key_pass_file = '[UNDEF]'
Sat Apr 16 07:44:23 2016 us=351000 show_tls_ciphers = DISABLED
Sat Apr 16 07:44:23 2016 us=351000 Connection profiles [default]:
Sat Apr 16 07:44:23 2016 us=351000 proto = tcp-client
Sat Apr 16 07:44:23 2016 us=351000 local = '[UNDEF]'
Sat Apr 16 07:44:23 2016 us=351000 local_port = 0
Sat Apr 16 07:44:23 2016 us=351000 remote = '192.168.1.xx'
Sat Apr 16 07:44:23 2016 us=351000 remote_port = 1194
Sat Apr 16 07:44:23 2016 us=351000 remote_float = DISABLED
Sat Apr 16 07:44:23 2016 us=351000 bind_defined = DISABLED
Sat Apr 16 07:44:23 2016 us=351000 bind_local = DISABLED
Sat Apr 16 07:44:23 2016 us=351000 connect_retry_seconds = 5
Sat Apr 16 07:44:23 2016 us=351000 connect_timeout = 10
Sat Apr 16 07:44:23 2016 us=351000 NOTE: --mute triggered...
Sat Apr 16 07:44:23 2016 us=351000 253 variation(s) on previous 20 message(s) suppressed by --mute
Sat Apr 16 07:44:23 2016 us=351000 OpenVPN 2.2.2 Win32-MSVC++ [SSL] [LZO2] [PKCS11] built on Dec 15 2011
Sat Apr 16 07:44:30 2016 us=153000 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Sat Apr 16 07:44:30 2016 us=480000 LZO compression initialized
Sat Apr 16 07:44:30 2016 us=480000 Control Channel MTU parms [ L:1576 D:140 EF:40 EB:0 ET:0 EL:0 ]
Sat Apr 16 07:44:30 2016 us=496000 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sat Apr 16 07:44:30 2016 us=496000 Data Channel MTU parms [ L:1576 D:1450 EF:44 EB:135 ET:32 EL:0 AF:3/1 ]
Sat Apr 16 07:44:30 2016 us=496000 Local Options String: 'V4,dev-type tap,link-mtu 1576,tun-mtu 1532,proto TCPv4_CLIENT,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Sat Apr 16 07:44:30 2016 us=496000 Expected Remote Options String: 'V4,dev-type tap,link-mtu 1576,tun-mtu 1532,proto TCPv4_SERVER,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Sat Apr 16 07:44:30 2016 us=496000 Local Options hash (VER=V4): '31fdf004'
Sat Apr 16 07:44:30 2016 us=496000 Expected Remote Options hash (VER=V4): '3e6d1056'
Sat Apr 16 07:44:30 2016 us=496000 Attempting to establish TCP connection with 192.168.1.xx:1194
Sat Apr 16 07:44:51 2016 us=525000 TCP: connect to 192.168.1.xx:1194 failed, will try again in 5 seconds: Connection timed out (WSAETIMEDOUT)
...
...
...
mute trigged

4)versione zs 3.3.2

apertura porte su router:
virtual server; porta 1194; porto ALL; ip l'ip wan eth01 di zs Crying or Very sad Crying or Very sad Crying or Very sad Rolling Eyes
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 767

MessaggioInviato: Sab Apr 16, 2016 1:05 pm    Oggetto: Rispondi citando

Hai provato con la 2.3.10 ? I log del client cosa dicono ? Se, sempre nella config. del client ( e anche volendo, in ZS) aggiungi, o setti --verb 7 sono piu' dettagliati...
ciao
Top
Profilo Invia messaggio privato
maverick



Registrato: 18/03/14 17:25
Messaggi: 531

MessaggioInviato: Sab Apr 16, 2016 2:11 pm    Oggetto: Rispondi citando

ciao red in zs ho inserito --verb7 ma non ho la possibilità di estrapolarti i log perchè non ho la macchina a disposizione al momento.

la versione di openvpn non ho provato quella che mi dici te ma non penso che cambi molto.. non capisco perchè non voglia connettersi sto affare.. è veramente una lotta dura.
Rolling Eyes
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 767

MessaggioInviato: Sab Apr 16, 2016 7:04 pm    Oggetto: Rispondi citando

I log sopra si riferiscono ad una connessione tentata dal client mentre è connesso nella rete che per ZS è la wan, 192.168.1.0/24 ?
Codice:
Sat Apr 16 07:44:51 2016 us=525000 TCP: connect to 192.168.1.xx:1194 failed, will try again in 5 seconds: Connection timed out (WSAETIMEDOUT)

Se sei da chiavetta, dovrebbe esserci l'ip pubblico ...
ciao
Top
Profilo Invia messaggio privato
maverick



Registrato: 18/03/14 17:25
Messaggi: 531

MessaggioInviato: Dom Apr 17, 2016 12:37 pm    Oggetto: Rispondi citando

Ciao Red,
Quindi cosa dovrei fare? Scusa ma non ho capito bene

Grazie mille ancora
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 767

MessaggioInviato: Dom Apr 17, 2016 12:48 pm    Oggetto: Rispondi citando

Nella config. del client, và inserito l'ip pubblico del sito remoto, tipo
Codice:
remote 79.10.100.12 1194

non l'ip della wan di ZS, 192.168.1.x
ciao
Top
Profilo Invia messaggio privato
maverick



Registrato: 18/03/14 17:25
Messaggi: 531

MessaggioInviato: Dom Apr 17, 2016 3:00 pm    Oggetto: Rispondi citando

Ah non lo sapevo provo e vi agguorno.

Grazie mille
Top
Profilo Invia messaggio privato
maverick



Registrato: 18/03/14 17:25
Messaggi: 531

MessaggioInviato: Dom Apr 17, 2016 6:43 pm    Oggetto: Rispondi citando

ciao red.

allora grazie al tuo consiglio sono riuscito a far connettere openvpn led verde connessione stabilita.

una domanda, nella banda dell'indirizzi di explorer ho inserito l'ip di zs remoto ma non riesco a collegarmi mi restituisce l'errore tempo esaurito per la connessione. come mai?
devo abilitare altre cose o come posso fare per collegarmi alla macchina remota?

grazie mille
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 767

MessaggioInviato: Dom Apr 17, 2016 6:54 pm    Oggetto: Rispondi citando

Ci possono essere svariati motivi .... dalla chain di input (devi permettere le connessioni in ingresso dalla VPN99 per alcuni servizi) a quella di forward, se vuoi raggiungere risorse nella rete, oppure la configurazione WEB, in Setup (da dove hai permesso il web management ?), alla config. della vpn stessa, è di default (quindi con il redirect-gateway) o con lo split-tunnel ( hai dichiarato le reti da raggiungere via vpn con il tasto net ?), e per finire, openvpn và eseguita come amm.re, altrimenti non cambia le config. di rete nel client...
ciao
Top
Profilo Invia messaggio privato
maverick



Registrato: 18/03/14 17:25
Messaggi: 531

MessaggioInviato: Lun Apr 18, 2016 8:50 am    Oggetto: Rispondi citando

ciao red

allora io ho fatto delle prove; ho messo la chai input a accept e non cambia niente. la chain di forward è in accept.
nella sezione web è impostata l'interfaccia vpn99 e anche in ssh.

open vpn è eseguito come admin.

ma non capisco perchè quando inserisco nel browser con open vpn in stato green (connesso) l'ip di zeroshell remoto mi scade la connessione.

c'e qualche passaggio che sicuramente non ho fatto ma non so dove, visto che con le vpn non ne ho mai conosciute e mi sto inoltrando adesso per la prima volta.

grazie mille a tutti Wink
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 767

MessaggioInviato: Lun Apr 18, 2016 6:46 pm    Oggetto: Rispondi citando

Mmm .... un sacco di cose che non vanno ... proviamo in un altro modo, vediamo cosa funziona ....
Dall host con il quale ti connetti in vpn, prima di connetterti, apri il prompt dei comandi, e posta l'output (solo la parte relativa all instradamento IPv4, IPv4 Tabella route) di
Codice:
netstat -r

Poi collegati in vpn, e quando connesso, ridai il comando dal prompt e posta ancora l'output.
Quando sei connesso, che ip ti viene asseganto ? Riesci a pingare 192.168.250.254 ? Se nella barra degli indirizzi del browser digiti 192.168.250.254, vedi la pagina di ZS ?
Ma, prima di tutto, aggiorna openvpn alla 2.3.10 ....
ciao
Top
Profilo Invia messaggio privato
maverick



Registrato: 18/03/14 17:25
Messaggi: 531

MessaggioInviato: Lun Apr 18, 2016 6:56 pm    Oggetto: Rispondi citando

ciao red,

non e possibile adesso inserendo l'indirizzo ip della vpn 192.168.250.254

riesco a collegarmi alla macchina remota.

si e sistemato da solo??? mistero. fino a 3 ore fa niente da fare.. ma non e possibile, diveni scemo e poi va da solo?

adesso sono riuscito a collegarmi Rolling Eyes Rolling Eyes Rolling Eyes
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> VPN Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it