Eu tenho um servidor raiz e dois clientes. O servidor raiz possui um endereço IP estático e executa o Debian Linux. Meus clientes são o Mac OS X e o Debian Linux com endereços IP dinâmicos.
De meus clientes posso abrir uma conexão vpn, mas o tráfego é bloqueado pelo Shorewall. O log do Shorewall me disse que o tráfego vem da zona da rede para a zona fw (fw é a zona do servidor, eu não tenho uma zona local porque é apenas uma máquina) mas deveria ser da zona vpn para fw zone ou não?
Esta é uma linha do log:
net-fw:DROP:IN=tun0 OUT= SRC=10.8.0.3 DST=10.8.0.1 PROTO=TCP SPT=37744 DPT=3000
E estes são meus arquivos de configuração:
openvpn server.conf:
port 1194
proto udp
dev tun
ca ca.crt
cert me.crt
key me.key
dh dh2048.pem
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
openvpn client.con:
client
dev tun
proto udp
remote xx.xx.xx.xx 1194
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
ca ca.crt
cert debian.crt
key debian.key
remote-cert-tls server
comp-lzo
verb 3
interfaces shorewall:
net all physical=+
vpn tun+
zonas shorewall:
fw firewall
net ip
vpn ipv4
política shorewall:
$FW net ACCEPT
vpn $FW ACCEPT info
net all DROP info
all all REJECT info
regras da shorewall:
Invalid(DROP) net $FW tcp
ACCEPT:info net $FW udp 1194
ACCEPT:info vpn $FW
ACCEPT:info $FW vpn
túneis de paredes de terra:
openvpnserver:1194 net 0.0.0.0/0
Eu não encontrei a opção physical para uma interface antes, mas com base na leitura da% man_de% manpage, não tenho certeza de que isso está fazendo o que você pode pensar:
net all physical=+
Tente alterá-lo para
net eth+
Em seguida, veja se o tráfego proveniente da VPN está classificado corretamente como proveniente da zona VPN.