bekomme keine passenden regel für openvpn hin

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
raichu09
Beiträge: 13
Registriert: 09.03.2015 00:31:04

bekomme keine passenden regel für openvpn hin

Beitrag von raichu09 » 09.03.2015 00:44:38

Guten Morgen, Ich bekomme keine passenden Regeln für Openvpn hin

Hier erstmal meine server.conf
ca ./easy-rsa2/keys/ca.crt
cert ./easy-rsa2/keys/server.crt
key ./easy-rsa2/keys/server.key # Diese Datei geheim halten.
dh ./easy-rsa2/keys/dh2048.pem # Diffie-Hellman-Paramete

dev tun
proto udp
port 1194
user nobody
group nogroup
server 10.8.0.0 255.255.255.0
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3
client-to-client
push "redirect-gateway def1 bypass-dhcp"
#set the dns servers
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
log-append /var/log/openvpn
comp-lzo
duplicate-cn
keepalive 10 120
Meine wunderbare client.conf
ca /etc/openvpn/ca.crt
cert /etc/openvpn/ersterclient.crt
key /etc/openvpn/ersterclient.key

remote VOLL.GEHEIM.X.X 1194

dev tun
client
proto udp

resolv-retry infinite
nobind
persist-key
persist-tun
comp-lzo
verb 3
Ich versteh selber nicht warum aber irgendwie hatte ich es Heute geschafft mit der config erfolgreich zu surfen. Nunja da hatte mein VServer auch alle mögliche iptable Regeln noch drin die ich aus Dokus und anderen Siten zusammen kopiert hatte :roll: Egal aber was ich jetzt versuche ich bekomme die richtigen Regeln nicht mehr rein 8O

Das ist alles offen bei meiner wunderbaren Firewall.
root@46040:/home/cseipel# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:50013
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT udp -- anywhere anywhere udp dpt:openvpn
ACCEPT all -- anywhere anywhere

Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- 10.9.8.0/24 anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Und hier sind die wunderbaren Befehle dazu
#!/bin/sh -e
/sbin/iptables -F
/sbin/ip6tables -F


##Weiterleitung Police Stop
/sbin/iptables -P FORWARD DROP

#INPUT Police Stop
/sbin/iptables -P INPUT DROP

#AUFPASSEN!!!!!!!!!!!!!!!!!!!!!!!!!!!!
/sbin/iptables -A INPUT -p tcp --dport 50013 -j ACCEPT

/sbin/iptables -A INPUT -p tcp --dport 443 -j ACCEPT


/sbin/iptables -A INPUT -p udp --dport 1194 -j ACCEPT



#Öffnet Input für selbst aufgebaute Verbindungen Stateful Inspection
/sbin/iptables -I INPUT 1 -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/ip6tables -I INPUT 1 -m state --state RELATED,ESTABLISHED -j ACCEPT


#Akzeptiert INPUT für Localhost
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/ip6tables -A INPUT -i lo -j ACCEPT


#IPv6 INPUT POLICE WIRD GESTOPT
/sbin/ip6tables -P INPUT DROP

#IPv6 WEITERLEITUNG STOP
/sbin/ip6tables -P FORWARD DROP
+ der Kram ausdem debian wiki https://wiki.debian.org/OpenVPN
iptables -A FORWARD -i eth0 -o tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s 10.9.8.0/24 -o eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.9.8.0/24 -o eth0 -j MASQUERADE
Das tun Modul ist übrigens auf Server und Client aktiviert :-)

Benutzeravatar
ThorstenS
Beiträge: 2875
Registriert: 24.04.2004 15:33:31

Re: bekomme keine passenden regel für openvpn hin

Beitrag von ThorstenS » 09.03.2015 07:23:53

Hast du das hier gemacht?

Code: Alles auswählen

echo 1 > /proc/sys/net/ipv4/ip_forward

raichu09
Beiträge: 13
Registriert: 09.03.2015 00:31:04

Re: bekomme keine passenden regel für openvpn hin

Beitrag von raichu09 » 09.03.2015 09:17:28

Ja :cry:

TomL

Re: AW: bekomme keine passenden regel für openvpn hin

Beitrag von TomL » 09.03.2015 10:06:47

Moin

Darf ich mal fragen, was du in welcher Umgebung (logisch und physisch) erreichen möchtest...?... mich interessiert das Thema ebenfalls, ich nutze nämlich auch OpenVPN.

raichu09
Beiträge: 13
Registriert: 09.03.2015 00:31:04

Re: bekomme keine passenden regel für openvpn hin

Beitrag von raichu09 » 09.03.2015 12:30:59

Ich möchte das bei meinem Laptop und Smartphone(später) der ganze Internet Traffic über ein VPN Tunnel zu meinem Vserver abläuft.
Gestern habe ich es einmal geschafft mit der Config nur, leider weiß ich nicht wie meine iptable Regeln zur Zeit genau da waren.
Da hab ich nämlich erstmal try and error versucht :-)

Oh mir ist was in den Logs aufgefallen. Entweder ist meine Config doch nicht so perfekt oder die Fehlermeldungen kommen durch das fehlen der richtigen iptable Regeln zustande.
Mon Mar 9 13:25:18 2015 ersterclient/217.224.18.178:33979 [ersterclient] Inactivity timeout (--ping-restart), restarting
Mon Mar 9 13:25:18 2015 ersterclient/217.224.18.178:33979 SIGUSR1[soft,ping-restart] received, client-instance restarting
Mon Mar 9 13:31:18 2015 event_wait : Interrupted system call (code=4)
Mon Mar 9 13:31:18 2015 TCP/UDP: Closing socket
Mon Mar 9 13:31:18 2015 /sbin/route del -net 10.8.0.0 netmask 255.255.255.0
SIOCDELRT: Operation not permitted
Mon Mar 9 13:31:18 2015 ERROR: Linux route delete command failed: external program exited with error status: 7
Mon Mar 9 13:31:18 2015 Closing TUN/TAP interface
Mon Mar 9 13:31:18 2015 /sbin/ifconfig tun0 0.0.0.0
SIOCSIFADDR: Permission denied
SIOCSIFFLAGS: Permission denied

Mon Mar 9 13:31:18 2015 Linux ip addr del failed: external program exited with error status: 255
Mon Mar 9 13:31:18 2015 SIGTERM[hard,] received, process exiting
Mon Mar 9 13:31:19 2015 OpenVPN 2.2.1 x86_64-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Dec 1 2014
Mon Mar 9 13:31:19 2015 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Mon Mar 9 13:31:19 2015 Diffie-Hellman initialized with 2048 bit key
Mon Mar 9 13:31:19 2015 TLS-Auth MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Mar 9 13:31:19 2015 Socket Buffers: R=[133120->131072] S=[133120->131072]
Mon Mar 9 13:31:19 2015 ROUTE: default_gateway=UNDEF
Mon Mar 9 13:31:19 2015 TUN/TAP device tun0 opened
Mon Mar 9 13:31:19 2015 TUN/TAP TX queue length set to 100
Mon Mar 9 13:31:19 2015 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Mon Mar 9 13:31:19 2015 /sbin/ifconfig tun0 10.8.0.1 pointopoint 10.8.0.2 mtu 1500
Mon Mar 9 13:31:19 2015 /sbin/route add -net 10.8.0.0 netmask 255.255.255.0 gw 10.8.0.2
Mon Mar 9 13:31:19 2015 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Mar 9 13:31:19 2015 GID set to nogroup
Mon Mar 9 13:31:19 2015 UID set to nobody
Mon Mar 9 13:31:19 2015 UDPv4 link local (bound): [undef]
Mon Mar 9 13:31:19 2015 UDPv4 link remote: [undef]
Mon Mar 9 13:31:19 2015 MULTI: multi_init called, r=256 v=256
Mon Mar 9 13:31:19 2015 IFCONFIG POOL: base=10.8.0.4 size=62, ipv6=0
Mon Mar 9 13:31:19 2015 Initialization Sequence Completed

EDIT 2:

Hier sind mal alle Regeln die ich schon probiert hatte :mrgreen:
/sbin/iptables -A INPUT -p udp --dport 1194 -j ACCEPT

iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A INPUT -i tap+ -j ACCEPT
iptables -A FORWARD -i tap+ -j ACCEPT


iptables -A FORWARD -i eth0 -o tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s 10.9.8.0/24 -o eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.9.8.0/24 -o eth0 -j MASQUERADE


iptables -I FORWARD -i tun0 -o eth0 -s 10.8.0.0/24 -m conntrack --ctstate NEW -j ACCEPT
iptables -I FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

TomL

Re: bekomme keine passenden regel für openvpn hin

Beitrag von TomL » 09.03.2015 15:02:41

Moin

Im Moment tue ich mich schwer damit, Deinen Lösungsansatz zu verstehen.....es sieht so aus, als wären Deinen Gedanken "grundsätzlich ist alles verboten, was nicht ausdrücklich erlaubt ist". Ich glaube, dass Du es Dir mit diesem Gedanken unnötig schwer machst, OpenVPN ans Rennen zu kriegen. Ich erinnere mich da an meine Vista-Zeit, als MS die Firewall in ein neues Modell/Konzept migriert hat.... da war es eine totale Katastrophe OpenVPN ordentlich in Betrieb zu nehmen. Mir hat ausserdem vor einigen Tagen jemand gesagt "Für OpenVPN sind Nat-Regeln kontraproduktiv." Und ohne Regeln hab ich es danach auch ans Laufen bekommen.
Im Moment weisst Du anscheinend nicht, wo die Probleme bestehen. Deshalb würde ich jetzt erst mal auf alle Regeln verzichten und die iptables für die Testphase sogar komplett leeren. Und dann schauen, ob OpenVPN eine ordentliche Verbindung aufbaut. Erst mal zusehen, das es grundsätzlich und stabil funktioniert, und dann wieder alle Türen nacheinander schließen. Und nach jeder geschlossenen Tür erstmal wieder prüfen, ob der Connect und die Verbindung immer noch klappt.

Mein Rat wäre folgendes Vorgehen
1. Alle lokalen Regeln am VPN-Server zuerst mal entfernen
2. Kontrolle, ob eine "Freigabe" für den UDP-Port am Router zum VPN-Server eingerichtet ist.
3. Kontrolle, ob am Router eine statische Route des VPN-Netzes zum VPN-Server des lokalen Netzes eingerichtet ist
4. Den Verbindungstest unbedingt über eine fremde Leitung via DynDNS-Dienst durchführen, also nicht inhouse und nicht Client und Server über den gleichen Router.

Und wenn es klappt, würde ich nochmal darüber nachdenken, welche von Deinen bisherigen Regeln unbedingt empfehlenswert sind.... oder ob die vielleicht auch verzichtbar sind. Gerade an dieser Frage bzw. die Antworten darauf hätte ich auch brennendes Interesse.

raichu09
Beiträge: 13
Registriert: 09.03.2015 00:31:04

Re: bekomme keine passenden regel für openvpn hin

Beitrag von raichu09 » 09.03.2015 17:49:46

Scheinbar hatte ich sogar zwei Probleme. Ist mir nur nicht aufgefallen da ich Gestern sehr sehr sehr viele Befehle ausprobiert hatte. Hier erstmal zur Config.

client.conf
ca /etc/openvpn/ca.crt
cert /etc/openvpn/ersterclient.crt
key /etc/openvpn/ersterclient.key

remote 62.141.46.40 1194

dev tun
client
proto udp

resolv-retry infinite
nobind
persist-key
persist-tun
comp-lzo
verb 3
up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-conf
server.conf
ca ./easy-rsa2/keys/ca.crt
cert ./easy-rsa2/keys/server.crt
key ./easy-rsa2/keys/server.key # Diese Datei geheim halten.
dh ./easy-rsa2/keys/dh2048.pem # Diffie-Hellman-Paramete

dev tun
proto udp
port 1194
user nobody
group nogroup
server 10.8.0.0 255.255.255.0
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3
client-to-client
push "redirect-gateway def1 bypass-dhcp"
#set the dns servers
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
log-append /var/log/openvpn
comp-lzo
duplicate-cn
keepalive 10 120

Nun zu den iptable Regeln. NICHT EINFACH KOPIEREN UND ANMERKUNG LESEN!!!
# OpenVPN (depending on the port you run OpenVPN)
/sbin/iptables -A INPUT -i venet0 -m state --state NEW -p udp --dport 1194 -j ACCEPT

# Allow TUN interface connections to OpenVPN server
/sbin/iptables -A INPUT -i tun+ -j ACCEPT

# Allow TUN interface connections to be forwarded through other interfaces
/sbin/iptables -A FORWARD -i tun+ -j ACCEPT
/sbin/iptables -A FORWARD -i tun+ -o venet0 -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A FORWARD -i venet0 -o tun+ -m state --state RELATED,ESTABLISHED -j ACCEPT

# NAT the VPN client traffic to the internet
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o venet0 -j MASQUERADE

iptables -A OUTPUT -o tun+ -j ACCEPT
Anmerkung:
Falls ihr kein OpenVZ nutzt müsst ihr eth0 anstatt venet0 in die Regeln schreiben.
Und jetzt kommt auch noch eine wichtige Anmerkung damit die Config überhaupt funktioniert bei euch Ubuntu/Mint Nutzern. Glaube beim Rest der Welt sieht es unter Linux aber fast gleich aus.
Ihr braucht eine resolv.conf

Die könnt ihr euch mit
aptitude install resolvconf
besorgen

Die resolvconf braucht ihr damit
up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-conf
von der Client.conf funktioniert. Sonst könnt ihr später nur wie ich IP anpingen aber keine DNS Anfragen nutzen.

Benutzeravatar
seemax1991
Beiträge: 5
Registriert: 09.03.2015 16:22:14
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Kiel

Re: bekomme keine passenden regel für openvpn hin

Beitrag von seemax1991 » 10.03.2015 14:43:54

Fehlt in deiner client.conf nicht redirect-gateway?

Meine habe ich etwas simpler gehalten:

Code: Alles auswählen

dev tun
tls-client
remote ULTRAMEGAUEBERGEHEIM 1194
float
#redirect-gateway
#dhcp-option DNS
pull
proto tcp-client
script-security 2
ca ca.crt
comp-lzo
reneg-sec 0
auth-user-pass
redirect-gateway besagt das der client sich zuerst am VPN-Site einwählt und von dort ins Internet geht über das lokale Gateway.
Android -> OpenVpn -> Site -> Gateway -> Internet
forking sucks - forking is great

raichu09
Beiträge: 13
Registriert: 09.03.2015 00:31:04

Re: bekomme keine passenden regel für openvpn hin

Beitrag von raichu09 » 11.03.2015 17:02:59

seemax1991 hat geschrieben:Fehlt in deiner client.conf nicht redirect-gateway?

Meine habe ich etwas simpler gehalten:

Code: Alles auswählen

dev tun
tls-client
remote ULTRAMEGAUEBERGEHEIM 1194
float
#redirect-gateway
#dhcp-option DNS
pull
proto tcp-client
script-security 2
ca ca.crt
comp-lzo
reneg-sec 0
auth-user-pass
redirect-gateway besagt das der client sich zuerst am VPN-Site einwählt und von dort ins Internet geht über das lokale Gateway.
Android -> OpenVpn -> Site -> Gateway -> Internet
Funktioniert bei mir auch ohne :)
Hab eben nochmal extra Chromium meinen ganzen Cache gelöscht und hier http://www.whatismyip.com/ überprüft

Antworten