Consulta sobre OpenVPN y Shorewall

To: debian-user-spanish <debian-user-spanish@lists.debian.org>
Subject: Consulta sobre OpenVPN y Shorewall
From: OddieX <oddiex@gmail.com>
Date: Tue, 29 Aug 2017 01:24:03 -0300
Message-id: <[🔎] CAHA0Ex48KxsP+y45ASaNRYMYtRBWKq-TGt9zbzvFSafAsRKsAg@mail.gmail.com>

Estimados, hace tiempo me estoy volviendo loco y no puedo lograr hacer
que shorewall me filtre los clientes de OpenVPN!!

Les cuento como viene la cosa:

Tengo mi OpenVPN con la siguiente configuracion:

#### server.cfg ####
script-security 2
port 1194
proto udp
dev tun0
management localhost 7794
crl-verify /etc/openvpn/easy-rsa/keys/crl.pem
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh2048.pem
plugin /usr/lib/openvpn/openvpn-auth-ldap.so auth/auth-ldap.conf
username-as-common-name
auth-user-pass-verify auth/auth.pl via-env
server 10.21.0.0 255.255.0.0
ifconfig 10.21.0.1 255.255.0.0
client-config-dir /etc/openvpn/ccd
ifconfig-pool-persist ipp.txt
client-to-client
keepalive 10 120
comp-lzo
max-clients 200
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log         /var/log/openvpn/openvpn.log
log-append  /var/log/openvpn/openvpn.log
verb 5
ping-restart 0
################

El archivo ccd de mi usuario es:

#### marc.ccd ####
ifconfig-push 10.21.44.85 10.21.44.86
push "route 192.168.0.0 255.255.255.0"
push "route 172.16.0.0 255.255.0.0"
push "route 192.168.254.0 255.255.255.0"


Hasta aqui todo bien, llego bien a la LOC (asi llame a mi red local en
shorewall) y a la DMZ.
Si pongo en las rules de shorewall:
DROP      vpn:10.21.44.85     dmz     all
Me bloquea perfectamente!

Pero si pongo:
DROP     vpn:10.21.44.85     loc     all
No surte efecto, y de echo agregue info en todas las polices y no
tengo informacion de nada sobre ese IP en los logs!!!


En el shorewall lo tengo configurado asi:

#### tunnels ####
openvpnserver:1194  dmz            0.0.0.0/0
###############

#### interfaces ####
-    tun0            detect          tcpflags
#################

#### hosts ####
vpn     tun0:10.21.0.0/16
#############

#### zones ####
vpn     ipv4
#############


Intente agregar un host que sea vpn44 con el rango de mi IP, ya que
uso multiples subnets porque uso la topology vieja de OpenVPN net30 y
me quedaba corto con los hosts, agregue las polices en DROP, reglas y
demas, y sigue pasando lo mismo!


Alguien sabe que puede ser lo que este sucediendo? Ya me estoy
comiendo la cabeza y no logro hacerlo funcionar!!!


Desde ya agradezco toda informacion que sea util!!!


Saludos!
MarC

Reply to:

Prev by Date: Re: problema con script apt
Next by Date: media server
Previous by thread: Re: Dnsmasq cache local
Next by thread: media server
Index(es):
- Date
- Thread