shorewall deskundoloog ? (lange email)

To: debian-user-dutch@lists.debian.org
Subject: shorewall deskundoloog ? (lange email)
From: Gijs Hillenius <gijs@hillenius.net>
Date: Fri, 23 Oct 2015 11:36:31 +0200
Message-id: <[🔎] 87r3kmlye8.fsf@hillenius.net>

Hier iemand met verstand van shorewall/shorewall6?

Ik probeer shorewall & shorewall6 te combineren met openvp. Dat laatste
werkt (denk ik), alleen zitten de twee shorewalls in de weg.

Gewenste situatie: openvpn server moet het verkeer van de "road warrior
laptop" verder leiden, het Internet op..

Ik voegde op drie plaatsen in /etc/shorewall regels toe:

In het bestand 'zones', voegde ik toe:
ovpn    ipv4

In het bestand 'interfaces', staat/stond
ovpn    tun-hillenius   detect          routeback

in 'policy', is dit erbij gekomen

# From OpenVPN Policy
ovpn      ovpn     ACCEPT
ovpn      net      ACCEPT
ovpn      $FW       DROP     info

en hetzelfde zette ik in gelijkgenaamde files in /etc/shorewall6

Dit is verkeerd, of onvoldoende: dmesg toont vele regels met:
Shorewall:ovpn-fw:DROP:IN=tun-hillenius OUT= MAC= SRC=2a01....

                                                        ^^ ipv6 adressen

ik vind zelf deze regel raar:

ovpn      $FW       DROP     info

Ik haal die uit deze handleiding:
http://www.geeklk.com/2013/09/installing-openvpn-with-shorewall-in-ubuntu-part-2/

en die legt uit:
,----
| Traffic from the ovpn (OpenVPN network) to:
| 
| another vpn client is permitted
| the internet is permitted
| the firewall is denied
`----

De meest-veelbelovende hint in de logs lijkt te wezen dat ipv6 forwarding
disabled is. Ik test shorewall immers met:

shorewall6 try /etc/shorewall6 60s
en zie ondermeer

,----
| Compiling...
| Processing /etc/shorewall6/params ...
| 
| [...]
| 
| Starting Shorewall6....
| Initializing...
| Preparing ip6tables-restore input...
| Running /sbin/ip6tables-restore...
| IPv6 Forwarding Disabled!
`----

Op dit punt raak ik de weg kwijt - het woud is reusachtig, welke boom
moet ik hebben?


Doe ik

echo 1 >   /proc/sys/net/ipv6/conf/all/forwarding

dan gaat een deel van het ipv6 verkeer goed. Ik kan bijvoorbeeld
http://whatismyv6.com/ bereiken, en Google Maps. Maar ik kom niet bij
Twitter (gelukkig maar, wellicht :-) ). Of komt dat omdat Twitter geen
ipv6 doet en ik ip4 forwarding nog niet aan heb staan?

in /etc/sysctl.conf staat forwarding uit..

,----
| # Uncomment the next line to enable packet forwarding for IPv4
| #net.ipv4.ip_forward=1
| 
| # Uncomment the next line to enable packet forwarding for IPv6
| #  Enabling this option disables Stateless Address Autoconfiguration
| #  based on Router Advertisements for this host
| #net.ipv6.conf.all.forwarding=1
`----

in shorewall6.conf
staat

IP_FORWARDING=Off

en

in shorewall.conf staat IP_FORWARDING=Keep



-- 
BOFH excuse #279:

The static electricity routing is acting up...

Reply to:

Follow-Ups:
- Re: shorewall, shorewall6 & openvpn
  - From: Geert Stappers <stappers@stappers.nl>
- opgelost Re: shorewall deskundoloog ? (lange email)
  - From: Gijs Hillenius <gijs@hillenius.net>

Prev by Date: Re: kernel meldingen op console tijdens boot
Next by Date: Re: Ontvanger
Previous by thread: Re: kernel meldingen op console tijdens boot
Next by thread: Re: shorewall, shorewall6 & openvpn
Index(es):
- Date
- Thread