UFW & VPN: Como permitir a reconexão

Navegue suas respostas
2

Aqui estão as regras do meu firewall: 

deny outgoing
deny incoming
allow out from any to any on tun0 (alow just the traffic from the VPN)

No entanto, sou forçado a desabilitar o ufw quando quero iniciar minha conexão vpn a partir do gerenciador de redes gnome. No entanto, tentei algo como: 

allow out from any to any on wlan0 port 1194

Mas isso não funciona.

Alguma sugestão?

SOLUÇÃO:

As seguintes linhas permitem que você bloqueie todo o tráfego de saída não-VPN. Em outras palavras, somente o tráfego da VPN é permitido. Além disso, caso sua conexão VPN falhe, você poderá se reconectar sem desabilitar seu firewall.

1 - Execute o seguinte comando em um terminal: 

sudo tail -f /var/log/ufw.log

2 - Tente se conectar à sua VPN

3 - Veja todas as linhas "[UFW BLOCK]" com um endereço IP No meu caso, tenho dois endereços IP com DST = . . .240 e DST=". . .241.

Então eu tenho o Ip dado pela minha VPN que também está bloqueada.

3 - Permita aqueles ip no seu firewall: 

To                         Action      From
--                         ------      ----
***.**.**.240              ALLOW OUT   Anywhere
***.**.**.241              ALLOW OUT   Anywhere
**.***.0.0/18  (VPN)            ALLOW OUT   Anywhere
Anywhere                   ALLOW OUT   Anywhere on tun0
22/tcp                     ALLOW OUT   Anywhere
Anywhere (v6)              ALLOW OUT   Anywhere (v6) on tun0
22/tcp (v6)                ALLOW OUT   Anywhere (v6)
    
por firewall_new 24.05.2015 / 11:40

1 resposta

3

Baseado em port 1194 , acho que você usa o OpenVPN. Documentação OpenVpn no FAQ recomendado seguinte

  

Quais portas eu preciso abrir no meu firewall para o Access Server?

     

Resposta curta: TCP 443, TCP 943, UDP 1194 Resposta longa: por padrão   O OpenVPN Access Server tem 2 daemons do OpenVPN em execução. Um deles em   Porta UDP 1194 e outra no TCP 443. Recomendamos que você use o   Porta UDP porque isso funciona melhor para um túnel OpenVPN. Contudo,   muitos locais públicos bloqueiam todos os tipos de portas, exceto as muito comuns   como http, https, ftp, pop3 e assim por diante. Portanto, também temos TCP 443   como uma opção. A porta TCP 443 é a porta padrão para https: // (SSL)   tráfego e, portanto, isso geralmente é permitido através da localização do usuário.   A porta TCP 943 é a porta em que a interface do servidor da web está escutando   por padrão. Você pode abordar isso diretamente usando um URL como    link ou abordando-o através do   padrão https: // porta TCP 443, já que o daemon OpenVPN   automaticamente rotear internamente o tráfego do navegador para TCP 943 por padrão.   ( link ).

Mas minha recomendação, do campo de batalha, é permitir todo o tráfego do endereço IP do servidor vpn 

sudo ufw allow from ip_address_of_vpn_server

Não especifique proto porque o OpenVPN usa ambos, tcp e udp

Editar 1

Você também pode criar um script para reconectar automaticamente quando tun0 for down .

Adicione um script simples ao chamado tun-up em /etc/network/if-down.d/ , cujo conteúdo é 

#!/bin/sh
# filename: tun-up

if [ "$IFACE" = tun0 ]; then
  sudo ifup tun0
fi

torne-o executável 

sudo chmod +x /etc/network/if-up.d/tun-up

Editar 2

Ok, permitimos endereço errado. Primeiro precisamos pegar o endereço ip correto para permitir o tráfego.

Iniciar terminal e executar o comando 

tail -f /var/log/system | grep UFW

tente conectar-se ao vpn sever. No terminal, você verá o bloco off 

May 25 08:18:22 xxx kernel: [259789.025019] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:23:cd:f4:8c:29:08:00 SRC=XXX.XXX.XXX.XXX

No bloco encontrar SRC=XXX.XXX.XXX.XXX , este é o endereço que envia o tráfego para você, na maioria dos casos, este será o endereço IP público do servidor vpn.

Esse endereço IP deve adicionar as regras ufw primeiro, porque você fala e troca tráfego com este endereço antes de tun0 up.

A regra é 

sudo ufw insert 1 allow from XXX.XXX.XXX.XXX
    
por 2707974 24.05.2015 / 19:30
Executando 12.04, mas instalado a partir do Vivid Vervet PPA por engano O lugar mais seguro para obter o Apache e o PHP mais recentes ou mudar para o debian?