conectado ao Centos openvpn mas sem acesso externo à internet

Navegue suas respostas
4

Estou usando o Windows 7 para conectar-me a um servidor VPS executando o CentOS 6.4

Primeiro, eu li todos os posts e simplesmente não consigo encontrar a solução para o meu problema

Eu configurei meu servidor VPN com o openvpn e finalmente consegui que ele funcionasse depois de ativado e desativado por 4 meses ...

então eu tenho que me conectar ao meu servidor, que é uma pausa no entanto, eu não tenho acesso à internet :( Não tenho certeza do que todos vocês precisam ver para poder ajudar, mas vou postar o que sei que pode ser relevante

até onde eu entendi, eu configurei o openvpn corretamente desde que eu consegui conectar com sucesso ao servidor

Eu não sei qual firewall estou usando, eu acho que é chamado de iptables 

iptables

# Generated by iptables-save v1.4.7 on Thu Feb 13 17:10:07 2014
*nat
:PREROUTING ACCEPT [721:50130]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Thu Feb 13 17:10:07 2014
# Generated by iptables-save v1.4.7 on Thu Feb 13 17:10:07 2014
*filter
:INPUT DROP [886:120871]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [1209:156538]
-A INPUT -p udp --dport 1194 -j ACCEPT
-A INPUT -i tun+ -j ACCEPT
-A FORWARD -i tun+ -j ACCEPT
-A OUTPUT -m state --state NEW -o eth0 -j ACCEPT
-A FORWARD -m state --state NEW -o eth0 -j ACCEPT
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m comment --comment "SSH" -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5252 -m comment --comment "SecureSSH" -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -m state --state NEW,RELATED,ESTABLISHED$
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 0 -m state --state RELATED,ESTABLISHED -j$
COMMIT
# Completed on Thu Feb 13 17:10:07 2014

e 

ifconfig

eth0      Link encap:Ethernet  HWaddr 00:1D:D8:B7:22:17
          inet addr:41.185.26.95  Bcast:41.185.26.255  Mask:255.255.255.0
          inet6 addr: fe80::21d:d8ff:feb7:2217/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:6598 errors:0 dropped:0 overruns:0 frame:0
          TX packets:464 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:545682 (532.8 KiB)  TX bytes:51265 (50.0 KiB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:141 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:7352 (7.1 KiB)  TX bytes:0 (0.0 b)

se alguém precisar de mais alguma coisa, apenas pergunte, estou realmente lutando aqui, não sei mais o que fazer ...

se alguém tiver uma sugestão, eu ainda sou um novato no Linux, então, por favor, explique o que eu preciso fazer e também forneça o código, se necessário, eu realmente aprecio isso

obrigado antecipadamente

editei meu iptables:) 

# Generated by iptables-save v1.4.7 on Thu Feb 13 17:10:07 2014
*nat
:PREROUTING ACCEPT [721:50130]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Thu Feb 13 17:10:07 2014
# Generated by iptables-save v1.4.7 on Thu Feb 13 17:10:07 2014
*filter
:INPUT DROP [886:120871]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [1209:156538]
-A INPUT -p tcp --dport 443 -j ACCEPT
-A INPUT -i tun0 -j ACCEPT
-A FORWARD -i tun0 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -o tun0 -j ACCEPT
-A OUTPUT -m state --state NEW -o eth0 -j ACCEPT
-A FORWARD -m state --state NEW -o eth0 -j ACCEPT
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m comment --comment "SSH" -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5252 -m comment --comment "SecureSSH" -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -m state --state NEW,RELATED,ESTABLISHED -j A$
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 0 -m state --state RELATED,ESTABLISHED -j ACCE$
COMMIT
# Completed on Thu Feb 13 17:10:07 2014

TRABALHANDO !!!

    
por Charlie Dyason 13.02.2014 / 19:15

3 respostas

0

Bom dia a todos,

ESTOU ESCREVENDO O TUTORIAL PARA QUEM ESTÁ BUSCANDO AJUDA COM IPTABLES

Eu tenho experimentado com regras diferentes e depois de muitos “hearaches” e “flushes” do iptables eu descobri e também entendi porque eu não tinha acesso à internet / throughput do tun0 para a interface eth0

/ etc / sysconfig / iptables 

# Generated by iptables-save v1.4.7 on Thu Feb 13 17:10:07 2014

// Eu falo sob correção mas o NAT simplesmente roteia quaisquer pacotes ANTES de passar pelo firewall, então basicamente, já que TODOS os pacotes estão indo para o servidor - assim ele precisa passar pelo firewall, entretanto você pode dizer ao servidor para "coloque" esses pacotes em interfaces diferentes (por exemplo, eth0, tun0, wlan0) 

*nat

:PREROUTING ACCEPT [721:50130]

// aceita todos os pacotes de qualquer fonte OUTSIDE e não encaminha para qualquer interface específica (o mesmo que o filtro INPUT) 

:POSTROUTING ACCEPT [0:0]

// aceita todos os pacotes de qualquer fonte INSIDE IP RANGE (10.8.0.0/24) e os encaminha para a interface eth0 como OUTPUT (o mesmo que o filtro FORWARD) 

:OUTPUT ACCEPT [0:0]

// aceita todos os pacotes de qualquer fonte INSIDE para o OUTSIDE e não encaminha para qualquer interface específica (o mesmo que o filtro OUTPUT) 

-A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

// acrescenta uma regra para enviar todo o tráfego pós-rota após o firewall, a partir de um dispositivo com um endereço IP no intervalo de 10.8.0.0/24 (incluindo todos os pacotes desde que nenhum --sport foi adicionado) para a interface eth0 (a interface com a conexão de internet ao vivo para o servidor) 

COMMIT

# Completed on Thu Feb 13 17:10:07 2014

# Generated by iptables-save v1.4.7 on Thu Feb 13 17:10:07 2014

*filter

// tudo o que o filtro faz é classificar os pacotes em grupos (com base nos números das portas) e permitir que certos pacotes com os números de porta adequados sejam acessados, além de permitir determinados pacotes a partir de determinados endereços IP

// OBSERVAÇÃO: o filtro funciona com uma política padrão de ACCEPT / DROP em resumo (as opções mais usadas), os pacotes serão descartados com base em sua origem / de onde eles vêm, MAS, assim como você tem regras para o NAT, então você também terá regras para o filtro 

:INPUT DROP [886:120871]

// Todos os pacotes que ENTRAM para o servidor serão descartados / ignorados 

:FORWARD DROP [0:0]

// Todos os pacotes que precisam ser encaminhados entre as interfaces do servidor serão descartados / ignorados 

:OUTPUT ACCEPT [1209:156538]

// O servidor sabe que deve eliminar todos os pacotes INPUT / incoming e FORWARD / transferring, MAS todas essas regras são exceções à política declarada, portanto, essas exceções serão listadas abaixo

// Todos os pacotes que saem do servidor serão aceitos / permitidos 

-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT

// Permitir todos os pacotes com os seguintes critérios: entrada da porta 443 (porta HTTPS) no protocolo TCP 

-A INPUT -i tun0 -j ACCEPT

// Permitir todos os pacotes com os seguintes critérios: entrada da interface tun0 (sua interface VPN) 

-A FORWARD -i tun0 -o eth0 -j ACCEPT

// Permitir todos os pacotes com os seguintes critérios: transferir todos os pacotes da interface tun0 para a interface eth0 

-A FORWARD -i eth0 -o tun0 -j ACCEPT

// Permitir todos os pacotes com os seguintes critérios: transferir todos os pacotes da interface eth0 para a interface tun0

// ESTAS 2 REGRAS SÃO MUITO MUITO IMPORTANTES para permitir que seus clientes se conectem ao seu servidor openvpn para ter acesso à internet, sem eles, você é capaz de se conectar, mas não terá acesso à internet usando o openvpn 

-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

// Permitir todos os pacotes com os seguintes critérios: todos os pacotes relacionados a conexões existentes e / ou conexões estabelecidas entre interfaces, aceitá-los 

-A INPUT -p tcp -m tcp --dport 22 -m comment --comment "SSH" -j ACCEPT

// Permitir todos os pacotes com os seguintes critérios: receber pacotes na porta tcp 22 e adicionar um comentário "SSH" 

-A INPUT -p tcp -m tcp --dport 5252 -m comment --comment "SecureSSH" -j ACCEPT

// Permitir todos os pacotes com os seguintes critérios: pacotes recebidos na porta tcp 5252 e adicionar um comentário "SecureSSH" 

-A INPUT -p icmp -m icmp --icmp-type 8 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

// Permitir todos os pacotes com os seguintes critérios: permitir todas as solicitações de echo / ping novas, relacionadas ou estabelecidas 

-A OUTPUT -p icmp -m icmp --icmp-type 0 -m state --state RELATED,ESTABLISHED -j ACCEPT

// Permitir todos os pacotes com os seguintes critérios: permitir todas as novas respostas echo / ping novas, relacionadas ou estabelecidas

// VEJA O LINK PARA A LISTA DE RESPOSTAS / TIPOS DE SOLICITAÇÃO / CÓDIGOS - link 

-A INPUT -i lo -j ACCEPT

// Permitir todos os pacotes com os seguintes critérios: entrada do localhost 

COMMIT

Concluído em Qui 13 de fevereiro 17:10:07 2014

Espero que isso ajude alguém e boa sorte a todos no futuro!

    
por 22.07.2014 / 21:25
4

Como você não mencionou, vale a pena ... você ativou o encaminhamento de ipv4? 

sysctl net.ipv4.ip_forward=1

e se isso funcionar, edite /etc/sysctl.conf e adicione ou edite 

# Controls IP packet forwarding
net.ipv4.ip_forward =1

Verifique também se você envia uma rota adequada do seu servidor, 

push "redirect-gateway"

ou 

push "redirect-gateway def1"
    
por 13.02.2014 / 19:31
0

Você pode dizer ao plug-in do Network Manager para não direcionar o tráfego pela VPN também. Há uma opção em IPv4 Settings - clique no botão Routes e marque a caixa ao lado de Use this connection only for resources on its network e veja se isso funciona.

Suranga

    
por 21.07.2014 / 14:23

Tags

Como agendar uma tarefa X minutos após o início do Windows Server 2003? É possível, via GPO ou outro método, desativar o modo de compatibilidade de intranet do Internet Explorer em um domínio?