web-dev-qa-db-fra.com

UFW & VPN: Comment autoriser la reconnexion

Voici les règles de mon pare-feu:

deny outgoing
deny incoming
allow out from any to any on tun0 (alow just the traffic from the VPN)

Cependant, je suis obligé de désactiver ufw lorsque je veux démarrer ma connexion vpn à partir de gnome-network manager. Pourtant, j'ai essayé quelque chose comme:

allow out from any to any on wlan0 port 1194

Mais ça ne marche pas.

Aucune suggestion ?

SOLUTION :

Ces lignes suivantes vous permettent de bloquer tout le trafic sortant non-VPN. En d'autres termes, seul le trafic VPN est autorisé. De plus, en cas d'échec de votre connexion VPN, vous pourrez vous reconnecter sans désactiver votre pare-feu.

1 - Exécutez la commande suivante dans un terminal:

Sudo tail -f /var/log/ufw.log

2 - Essayez de vous connecter à votre VPN

3 - Regardez toutes les lignes de "[UFW BLOCK]" avec une adresse IP Dans mon cas, j'ai deux adresses IP avec DST = . .. 240 et DST = " ... 241 .

Ensuite, j'ai l'IP donné par mon VPN qui est également bloqué.

3 - Autoriser les ip dans votre pare-feu:

To                         Action      From
--                         ------      ----
***.**.**.240              ALLOW OUT   Anywhere
***.**.**.241              ALLOW OUT   Anywhere
**.***.0.0/18  (VPN)            ALLOW OUT   Anywhere
Anywhere                   ALLOW OUT   Anywhere on tun0
22/tcp                     ALLOW OUT   Anywhere
Anywhere (v6)              ALLOW OUT   Anywhere (v6) on tun0
22/tcp (v6)                ALLOW OUT   Anywhere (v6)
2
firewall_new

Basé sur port 1194 Je suppose que vous utilisez OpenVPN. Documentation OpenVpn dans la FAQ recommandation suivante

Quels ports dois-je ouvrir dans mon pare-feu pour Access Server?

Réponse courte: TCP 443, TCP 943, UDP 1194 Réponse longue: Par défaut, OpenVPN Access Server exécute 2 démons OpenVPN. L'un d'eux sur le port UDP 1194 et l'autre sur TCP 443. Nous vous recommandons d'utiliser le port UDP car il fonctionne mieux pour un tunnel OpenVPN. Cependant, de nombreux emplacements publics bloquent toutes sortes de ports, à l'exception des ports très courants tels que http, https, ftp, pop3, etc. Par conséquent, nous avons également TCP 443 en option. TCP le port 443 est le port par défaut pour le trafic https: // (SSL). Il est donc généralement autorisé via l'emplacement de l'utilisateur. TCP le port 943 est le port sur lequel l'interface du serveur Web écoute par défaut. Vous pouvez soit aborder ceci directement en utilisant une URL telle que https: // yourserverhostnamehere: 943 / ou en l’appuyant via le protocole standard https: // port TCP 443, depuis le démon OpenVPN En interne, le trafic du navigateur sera automatiquement acheminé vers TCP 943 par défaut. ( https: // yourserverhostnamehere / ).

Mais ma recommandation, de champ de bataille, est d'autoriser tout le trafic de l'adresse IP du serveur VPN

Sudo ufw allow from ip_address_of_vpn_server

Ne spécifiez pas proto car OpenVPN utilise à la fois tcp et udp

Modifier 1

Vous pouvez également créer un script pour vous reconnecter automatiquement lorsque tun0 est down.

Ajouter un script simple à caled tun-upin /etc/network/if-down.d/ dont le contenu est

#!/bin/sh
# filename: tun-up

if [ "$IFACE" = tun0 ]; then
  Sudo ifup tun0
fi

le rendre exécutable

Sudo chmod +x /etc/network/if-up.d/tun-up

Modifier 2

Ok, nous permettons une mauvaise adresse. Nous devons d’abord attraper une adresse IP correcte pour permettre le trafic.

Démarrer terminal et exécuter la commande

tail -f /var/log/system | grep UFW

puis essayez de vous connecter au serveur VPN. Dans le terminal, vous verrez bloc

May 25 08:18:22 xxx kernel: [259789.025019] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:23:cd:f4:8c:29:08:00 SRC=XXX.XXX.XXX.XXX 

Dans block find SRC=XXX.XXX.XXX.XXX, il s'agit de l'adresse qui vous envoie le trafic. Dans la plupart des cas, il s'agit de l'adresse IP publique du serveur VPN.

Cette adresse IP doit ajouter dans ufw règles en premier lieu, car vous parlez et échangez du trafic avec cette adresse avant que tun0 up.

La règle est

Sudo ufw insert 1 allow from XXX.XXX.XXX.XXX
3
2707974