UFW & VPN: как разрешить переподключение
Вот правила моего брандмауэра:
deny outgoing
deny incoming
allow out from any to any on tun0 (alow just the traffic from the VPN)
Однако я вынужден отключить ufw, когда хочу запустить соединение vpn из менеджера сети gnome. Тем не менее, я попробовал что-то вроде:
allow out from any to any on wlan0 port 1194
Но это не работает.
Есть предложения?
РЕШЕНИЕ:
Эти следующие строки позволяют блокировать весь исходящий трафик NON-VPN. Другими словами, разрешен только трафик VPN. Кроме того, в случае сбоя VPN-подключения вы сможете восстановить соединение без отключения брандмауэра.
1 - Запустите следующую команду в терминале:
sudo tail -f /var/log/ufw.log
2 - Попробуйте подключиться к VPN
3 - Посмотрите на все «[UFW BLOCK]» линии с IP-адресом В моем случае у меня есть два IP-адреса с DST = . . .240 и DST = ". . ] .241.
Тогда у меня есть Ip, данный моей VPN, который также заблокирован.
3 - Разрешить эти ip в брандмауэре:
To Action From
-- ------ ----
***.**.**.240 ALLOW OUT Anywhere
***.**.**.241 ALLOW OUT Anywhere
**.***.0.0/18 (VPN) ALLOW OUT Anywhere
Anywhere ALLOW OUT Anywhere on tun0
22/tcp ALLOW OUT Anywhere
Anywhere (v6) ALLOW OUT Anywhere (v6) on tun0
22/tcp (v6) ALLOW OUT Anywhere (v6)
1 ответ
На основе port 1194 Я предполагаю, что Вы используете OpenVPN. Документация OpenVpn в FAQ рекомендовала парование
Какие порты я должен открыть в своем брандмауэре для Сервера доступа?
Короткий ответ: TCP 443, TCP 943, UDP 1194 ответ Long: По умолчанию Сервер доступа OpenVPN имеет 2 демонов OpenVPN, работающих. Один из них на порте UDP 1194 и другой на TCP 443. Мы рекомендуем использовать порт UDP, потому что это функционирует лучше для туннеля OpenVPN. Однако много общедоступных блоков местоположений все виды портов кроме очень общих как http, https, ftp, pop3, и так далее. Поэтому у нас также есть TCP 443 как опция. Порт TCP 443 является портом по умолчанию для https://(SSL) трафик и таким образом, это обычно позволяется через в местоположении пользователя. Порт TCP 943 является портом, где интерфейс веб-сервера слушает по умолчанию. Можно или приблизиться к этому непосредственно использование URL как https://yourserverhostnamehere:943/или путем приближения к нему через стандарт https://порт TCP 443, так как демон OpenVPN автоматически внутренне направит трафик браузера к TCP 943 по умолчанию. (https://yourserverhostnamehere/).
Но моя рекомендация, от поля битвы, состоит в том, чтобы позволить весь трафик от vpn IP-адреса сервера
sudo ufw allow from ip_address_of_vpn_server
Не указывайте первичный, потому что OpenVPN используют обоих, tcp и udp
Редактирование 1
Также можно создать сценарий к автоматическому, снова соединяются когда tun0 down.
Добавьте простой сценарий к названному tun-upв /etc/network/if-down.d/ который содержание
#!/bin/sh
# filename: tun-up
if [ "$IFACE" = tun0 ]; then
sudo ifup tun0
fi
сделайте это исполняемым файлом
sudo chmod +x /etc/network/if-up.d/tun-up
Редактирование 2
Хорошо, мы позволяем неправильный адрес. Сначала мы должны поймать корректный IP-адрес для разрешения трафика.
Запустить terminal и команда выполнения
tail -f /var/log/system | grep UFW
затем попытайтесь соединиться с vpn, разъединяют. В терминале Вы проводите блок
May 25 08:18:22 xxx kernel: [259789.025019] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:23:cd:f4:8c:29:08:00 SRC=XXX.XXX.XXX.XXX
В блоке находят SRC=XXX.XXX.XXX.XXX, это - адрес, кто отправляет трафик Вам, в большинстве случаев это будет общедоступным IP-адресом vpn сервера.
Этот IP-адрес должен включить ufw правила о первом, потому что Вы говорите и обмениваетесь трафиком с этим адресом прежде, tun0 .
Правило
sudo ufw insert 1 allow from XXX.XXX.XXX.XXX