Разрешение DNS перестало работать с UFW & OpenVPN (Сервер ProtonVPN)
У меня есть проблема, которую я пытался решить в течение нескольких дней теперь - я работаю над относительно новой установкой Ubuntu 18.04, я включил UFW и настроил его со следующими правилами.
sudo ufw status verbose
Status: active Logging: on (low) Default: deny (incoming), deny (outgoing), disabled (routed)
New profiles: skip
1.1.1.1 53/udp ALLOW OUT Anywhere on < interface >
1.1.1.1 53/tcp ALLOW OUT Anywhere on < interface >
80/tcp ALLOW OUT Anywhere on < interface >
443/tcp ALLOW OUT Anywhere on < interface >
1194/udp ALLOW OUT Anywhere on < interface >
500/tcp ALLOW OUT Anywhere on < interface >
500/udp ALLOW OUT Anywhere on < interface >
4500/udp ALLOW OUT Anywhere on < interface >
8.8.8.8 53/udp ALLOW OUT Anywhere on < interface >
8.8.4.4 53/udp ALLOW OUT Anywhere on < interface >
80/tcp (v6) ALLOW OUT Anywhere (v6) on < interface >
443/tcp (v6) ALLOW OUT Anywhere (v6) on < interface >
1194/udp (v6) ALLOW OUT Anywhere (v6) on < interface >
500/tcp (v6) ALLOW OUT Anywhere (v6) on < interface >
500/udp (v6) ALLOW OUT Anywhere (v6) on < interface >
4500/udp (v6) ALLOW OUT Anywhere (v6) on < interface >
Эта конфигурация UFW, кажется, хорошо работает при использовании 1.1.1.1 или 8.8.8.8 как мой ping DNS к DNS и к доменам (обычно google.com), оба успешны.
После того, как я закончил установку UFW, который я перешел на установку OpenVPN для соединения с серверами ProtonVPN - это когда моя начатая проблема DNS.
То, когда VPN соединена с UFW, ОТКЛЮЧИЛО ping на google.com, будет решать и работать.
Но когда VPN соединена, и UFW ВКЛЮЧАЮТ, ping к Google НЕ решит.
Я попытался использовать 1.1.1.1 и 8.8.8.8 как мой DNS, и проблема сохраняется с обоими.
У кого-либо есть какие-либо идеи о том, что может идти не так, как надо? Я полагаю, что проблема находится в моей конфигурации UFW, но я не вижу где.
2 ответа
Вот мое предположение:
- По умолчанию туннель VPN будет обычно предоставлять свой собственный сопоставитель DNS как часть, он - конфигурация DHCP. В случае ProtonVPN я полагаю, что это внутреннее 10.x.x.x адреса. Я думаю, что происходит, то, что независимо от того, что серверы DNS предоставляются, не часть Вашего белого списка UFW для порта 53, поэтому когда Вы соединяетесь с ProtonVPN, сервер DNS изменяется на тот, который не находится в Вашем белом списке, и транспортный наклон выходит.
Я никогда не делал этого прежде, но похоже, что можно переопределить конфигурацию DNS путем добавления:
script-security 2
push "dhcp-option DNS 1.1.1.1"
К Вашему конфигурационному файлу OpenVPN для ProtonVPN.
Issue решил, сказал, что я отправлю то, что зафиксировало его для меня, упаковывают кого-либо еще, сталкивается с той же проблемой.
Действительно простая фиксация задним числом.
Мне не удалось распознать, что интерфейс VPN потребовал, чтобы его собственные правила в UFW связались с сервером ProtonVPN DNS - таким образом, я добавил это правило.
10.8.0.1 53/tcp ALLOW OUT Anywhere on < VPN Interface >
Это правило позволило мне проверять с помощью ping-запросов 8.8.8.8, 10.8.0.1, И google.com whislt VPN был соединен, и UFW включил - но я мог получить доступ к страницам через браузер.
Для фиксации этого, я затем добавил следующие правила -
80/tcp ALLOW OUT Anywhere on < VPN Interface >
443/tcp ALLOW OUT Anywhere on < VPN Interface >
Everythings, хорошо работающий теперь.