Re: OpenVPN antwortet nicht
Hi Ingo,
> > Es ist eine Firewall da. Die ist gekürzt unten angehängt.
> > Interessanterweise funktioniert ssh ohne Probleme.
> ...
> > #Rules for services
> > iptables -A inet-in -p udp -i eth0 -o eth0 --dport 1194 -j ACCEPT
> > iptables -A inet-in -p udp --dport 1194 -j ACCEPT
>
> Also die obere der beiden Zeilen sieht seltsam aus. In der Regel müssen
> ja alle Bedingungen erfüllt sein. Hier schließen sich -i und -o aus.
> Selbst wenn iptables diese Regel so versteht, wie sie vermutlich gemeint
> ist, würde sie ja der unteren Zeile nichts hinzufügen. Übersehe ich
> etwas? Meiner Meinung nach kann die obere Zeile raus. Allerding hat das
> bestimmt keinen Einfluss auf Dein Problem.
Stimmt. Ist eben nur gekürzt. Obere Regel wird mit einem if abgefragt,
ob nur openvpn aus dem LAN erlaubt sein soll. Wenn ja wir die erste
Zeile ausgeführt. Zweite Zeile wird ausgeführt, wenn auch openvpn aus
dem Internet erlaubt sein soll.
> Ansonsten sehe ich in dem Auszug kein Problem. Sieh Dir doch mal die
> Ausgabe von "iptables -L -v -n" nach einem Connect-Versuch an. darin
> solltest Du an den Paketzählern erkennen, welche Regeln die Pakete
> genommen haben.
OK, aber ich werde darin nicht fündig, vielleicht du?
-----%<-----
Server:~# tcpdump -i eth1 port 1194
14:13:30.810055 IP port-83-236-180-106.static.qsc.de.openvpn >
192.168.1.2.openvpn: UDP, length 42
...
Server:~# iptables -L -v -n
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source
destination
216K 301M ACCEPT all -- lo * 0.0.0.0/0
0.0.0.0/0
15351 2651K ACCEPT all -- eth0 * 0.0.0.0/0
0.0.0.0/0
249K 288M inet-in all -- eth1 * 0.0.0.0/0
0.0.0.0/0
29628 3550K DROP all -- eth1 * 0.0.0.0/0
0.0.0.0/0 state INVALID,NEW
201K 283M ACCEPT all -- * * 0.0.0.0/0
0.0.0.0/0 state RELATED,ESTABLISHED
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source
destination
0 0 ACCEPT all -- * * 192.168.192.0/24
0.0.0.0/0
0 0 ACCEPT all -- * * 0.0.0.0/0
192.168.192.0/24
Chain OUTPUT (policy ACCEPT 377K packets, 316M bytes)
pkts bytes target prot opt in out source
destination
377K 316M inet-out all -- * * 0.0.0.0/0
0.0.0.0/0
Chain inet-in (1 references)
pkts bytes target prot opt in out source
destination
0 0 ACCEPT tcp -- eth0 eth0 0.0.0.0/0
0.0.0.0/0 tcp dpts:138:139
0 0 ACCEPT tcp -- eth0 eth0 0.0.0.0/0
0.0.0.0/0 tcp dpt:22
18946 1585K ACCEPT tcp -- * * 0.0.0.0/0
0.0.0.0/0 tcp dpt:22
0 0 ACCEPT all -- * * 131.211.28.48
0.0.0.0/0
0 0 LOG tcp -- * * 0.0.0.0/0
0.0.0.0/0 tcp dpt:2049 LOG flags 0 level 4
0 0 LOG udp -- * * 0.0.0.0/0
0.0.0.0/0 udp dpt:2049 LOG flags 0 level 4
0 0 DROP tcp -- * * 0.0.0.0/0
0.0.0.0/0 tcp dpt:2049
0 0 DROP udp -- * * 0.0.0.0/0
0.0.0.0/0 udp dpt:2049
0 0 LOG tcp -- * * 0.0.0.0/0
0.0.0.0/0 tcp dpt:5432 LOG flags 0 level 4
0 0 LOG udp -- * * 0.0.0.0/0
0.0.0.0/0 udp dpt:5432 LOG flags 0 level 4
0 0 DROP tcp -- * * 0.0.0.0/0
0.0.0.0/0 tcp dpt:5432
0 0 DROP udp -- * * 0.0.0.0/0
0.0.0.0/0 udp dpt:5432
0 0 LOG tcp -- * * 0.0.0.0/0
0.0.0.0/0 tcp dpts:5999:6003 LOG flags 0 level 4
0 0 LOG udp -- * * 0.0.0.0/0
0.0.0.0/0 udp dpts:5999:6003 LOG flags 0 level 4
0 0 DROP tcp -- * * 0.0.0.0/0
0.0.0.0/0 tcp dpts:5999:6003
0 0 DROP udp -- * * 0.0.0.0/0
0.0.0.0/0 udp dpts:5999:6003
0 0 LOG tcp -- * * 0.0.0.0/0
0.0.0.0/0 tcp dpt:7100 LOG flags 0 level 4
0 0 LOG udp -- * * 0.0.0.0/0
0.0.0.0/0 udp dpt:7100 LOG flags 0 level 4
0 0 DROP tcp -- * * 0.0.0.0/0
0.0.0.0/0 tcp dpt:7100
0 0 DROP udp -- * * 0.0.0.0/0
0.0.0.0/0 udp dpt:7100
0 0 LOG tcp -- * * 0.0.0.0/0
0.0.0.0/0 tcp dpt:31337 LOG flags 0 level 4
0 0 LOG udp -- * * 0.0.0.0/0
0.0.0.0/0 udp dpt:31337 LOG flags 0 level 4
0 0 DROP tcp -- * * 0.0.0.0/0
0.0.0.0/0 tcp dpt:31337
0 0 DROP udp -- * * 0.0.0.0/0
0.0.0.0/0 udp dpt:31337
0 0 LOG tcp -- * * 0.0.0.0/0
0.0.0.0/0 tcp dpts:12345:12346 LOG flags 0 level 4
0 0 LOG udp -- * * 0.0.0.0/0
0.0.0.0/0 udp dpts:12345:12346 LOG flags 0 level 4
0 0 DROP tcp -- * * 0.0.0.0/0
0.0.0.0/0 tcp dpts:12345:12346
0 0 DROP udp -- * * 0.0.0.0/0
0.0.0.0/0 udp dpts:12345:12346
Chain inet-out (1 references)
pkts bytes target prot opt in out source
destination
-----%<-----
Zumindest in der Chain inet-in hätte ich die 1194 erwartet. ssh steht ja
auch drin.
> Außerdem könntest Du noch einige Log-Einträge
> hinzufügen. z.B am Ende:
>
> iptables -A INPUT -j LOG --log-prefix "input-DROP"
>
> Würde in /var/log/kern.log Meldungen für alle ignorierten Pakete
> erzeugen. Das wird man in dieser Form nur ausnahmsweise einbauen. ;-)
Ich habe folgenden Befehl ausgeführt und dann mit dem Client einen
Verbindungsversuch gestartet:
-----%<-----
iptables -A INPUT -j LOG --log-prefix "input-DROP"
Server:/etc/openvpn# tail -f /var/log/kern.log
Jan 12 14:09:37 Server kernel: device eth1 left promiscuous mode
Jan 12 14:10:00 Server kernel: eth1: Promiscuous mode enabled.
Jan 12 14:10:00 Server kernel: device eth1 entered promiscuous mode
Jan 12 14:10:05 Server kernel: device eth1 left promiscuous mode
Jan 12 14:10:13 Server kernel: eth1: Promiscuous mode enabled.
Jan 12 14:10:13 Server kernel: device eth1 entered promiscuous mode
Jan 12 14:10:29 Server kernel: device eth1 left promiscuous mode
Jan 12 14:13:30 Server kernel: eth1: Promiscuous mode enabled.
-----%<-----
Hab allerdings keine Ahnung, was der mit dem promiscuous mode macht...
> Wenn alles darauf hin deutet, dass OpenVPN die Pakete bekommt, hilft
> vielleicht 'strace' zu sehen, ob dem wirklich so ist.
Ich schließe daraus, dass openvpn keine Pakete bekommt...
> Und dann sollten da noch OpenVPN-Logeinträge in /var/log/daemon.log
> sein.
Ne, den gibts bei mir nicht, die landen in der syslog. Aber selbst mit
verb=9 kommt da nichts hilfreiches rein...
Danke für deine Bemühungen.
Grüssle, Tobias
Reply to: