Eu tenho o mesmo problema que o Mookey, mas posso confirmar que a solução 2707974 está funcionando para mim!
Vamos ver isso passo a passo.
Se o Gufw estiver configurado para incomming: deny e outgoing: permitir o login.
Então, se eu ligar a VPN, o primeiro contato para o meu provedor de VPN é permitido normalmente sem quaisquer regras. Quando o provedor de VPN está chamando de volta, sua chamada é bloqueada.
[BLOCO UFW] IN = wlan0 SAÍDA =
MAC = 49: ........: 10 SRC = yyy.yyy.yyy.yyy
DST = xxx.xxx.xxx.xxx LEN = 55 TOS = 0x00 PREC = 0x00 TTL = 49 ID = 33716 PROTO = 47
x = eu, y = meu provedor de vpn.
Ele é bloqueado por uma combinação de razões, ip de entrada e protocolo 47.
Agora, quando desligar Gufw novamente e iniciar a vpn.
netstat -nautp
vê:
tcp 0 0 xxx.xxx.xxx.xxx:50798 yyy.yyy.yyy.yyy: 1723 ESTABELECIDO -
A EDIÇÃO 1 de 2707974 está correta, mas deve ser inserida exatamente nesse local.
Isso cuidaria do protocolo 47 sendo permitido.
Depois disso, você pode adicionar uma regra para permitir a conexão de entrada do seu provador vpn. Você pode usar: sudo ufw allow yyy.yyy.yyy.yyy
e está funcionando.
Você pode até incluir portas (quando tiver certeza de que elas não são escolhidas aleatoriamente)
sudo insert 1 allow from yyy.yyy.yyy.yyy port 1723 to xxx.xxx.xxx.xxx port 50798
Isso também funciona.
Você pode pensar que está resolvido agora, mas há uma preocupação de segurança.
A regra do protocolo 47 é processada muito antes da regra de permissão ip.
Assim que houver um pacote de entrada do protocolo 47, isso é permitido. Não há como rejeitar se o endereço IP não se encaixa.
Você pode ver acontecendo quando você apaga a regra de IP do ufw.
sudo ufw delete 1
(não esqueça de desabilitar / habilitar o ufw novamente)
A VPN ainda estará funcionando.
Tenho certeza que você não quer que todos os pacotes de todos os hosts entrem em seu sistema apenas porque são do protocolo GRE. Mais seguro é incluir o IP do seu provedor de VPN para que ele seja o único.
Altere EDIT 1 para:
-A ufw-before-input -p 47 -s <your vpn provider> -j ACCEPT
-A ufw-before-output -p 47 -s <your vpn provider> -j ACCEPT
Isso está funcionando e é seguro. Você pode verificar isso mesmo, alterando o ip acima para um ip incorreto e vpn pára de funcionar.
A regra Gufw não é mais necessária, embora tenha sido essa a minha intenção. Eu apreciaria muito mais uma regra de Gufw.
Espero que tenha ajudado você.
Felicidades!