UFW & VPN: Comment autoriser la reconnexion
Voici les règles de mon pare-feu:
deny outgoing
deny incoming
allow out from any to any on tun0 (alow just the traffic from the VPN)
Cependant, je suis obligé de désactiver ufw lorsque je veux démarrer ma connexion vpn à partir de gnome-network manager. Pourtant, j'ai essayé quelque chose comme:
allow out from any to any on wlan0 port 1194
Mais ça ne marche pas.
Aucune suggestion ?
SOLUTION :
Ces lignes suivantes vous permettent de bloquer tout le trafic sortant non-VPN. En d'autres termes, seul le trafic VPN est autorisé. De plus, en cas d'échec de votre connexion VPN, vous pourrez vous reconnecter sans désactiver votre pare-feu.
1 - Exécutez la commande suivante dans un terminal:
Sudo tail -f /var/log/ufw.log
2 - Essayez de vous connecter à votre VPN
3 - Regardez toutes les lignes de "[UFW BLOCK]" avec une adresse IP Dans mon cas, j'ai deux adresses IP avec DST = . .. 240 et DST = " ... 241 .
Ensuite, j'ai l'IP donné par mon VPN qui est également bloqué.
3 - Autoriser les ip dans votre pare-feu:
To Action From
-- ------ ----
***.**.**.240 ALLOW OUT Anywhere
***.**.**.241 ALLOW OUT Anywhere
**.***.0.0/18 (VPN) ALLOW OUT Anywhere
Anywhere ALLOW OUT Anywhere on tun0
22/tcp ALLOW OUT Anywhere
Anywhere (v6) ALLOW OUT Anywhere (v6) on tun0
22/tcp (v6) ALLOW OUT Anywhere (v6)
Basé sur port 1194 Je suppose que vous utilisez OpenVPN. Documentation OpenVpn dans la FAQ recommandation suivante
Quels ports dois-je ouvrir dans mon pare-feu pour Access Server?
Réponse courte: TCP 443, TCP 943, UDP 1194 Réponse longue: Par défaut, OpenVPN Access Server exécute 2 démons OpenVPN. L'un d'eux sur le port UDP 1194 et l'autre sur TCP 443. Nous vous recommandons d'utiliser le port UDP car il fonctionne mieux pour un tunnel OpenVPN. Cependant, de nombreux emplacements publics bloquent toutes sortes de ports, à l'exception des ports très courants tels que http, https, ftp, pop3, etc. Par conséquent, nous avons également TCP 443 en option. TCP le port 443 est le port par défaut pour le trafic https: // (SSL). Il est donc généralement autorisé via l'emplacement de l'utilisateur. TCP le port 943 est le port sur lequel l'interface du serveur Web écoute par défaut. Vous pouvez soit aborder ceci directement en utilisant une URL telle que https: // yourserverhostnamehere: 943 / ou en l’appuyant via le protocole standard https: // port TCP 443, depuis le démon OpenVPN En interne, le trafic du navigateur sera automatiquement acheminé vers TCP 943 par défaut. ( https: // yourserverhostnamehere / ).
Mais ma recommandation, de champ de bataille, est d'autoriser tout le trafic de l'adresse IP du serveur VPN
Sudo ufw allow from ip_address_of_vpn_server
Ne spécifiez pas proto car OpenVPN utilise à la fois tcp et udp
Modifier 1
Vous pouvez également créer un script pour vous reconnecter automatiquement lorsque tun0 est down.
Ajouter un script simple à caled tun-upin /etc/network/if-down.d/ dont le contenu est
#!/bin/sh
# filename: tun-up
if [ "$IFACE" = tun0 ]; then
Sudo ifup tun0
fi
le rendre exécutable
Sudo chmod +x /etc/network/if-up.d/tun-up
Modifier 2
Ok, nous permettons une mauvaise adresse. Nous devons d’abord attraper une adresse IP correcte pour permettre le trafic.
Démarrer terminal et exécuter la commande
tail -f /var/log/system | grep UFW
puis essayez de vous connecter au serveur VPN. Dans le terminal, vous verrez bloc
May 25 08:18:22 xxx kernel: [259789.025019] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:23:cd:f4:8c:29:08:00 SRC=XXX.XXX.XXX.XXX
Dans block find SRC=XXX.XXX.XXX.XXX, il s'agit de l'adresse qui vous envoie le trafic. Dans la plupart des cas, il s'agit de l'adresse IP publique du serveur VPN.
Cette adresse IP doit ajouter dans ufw règles en premier lieu, car vous parlez et échangez du trafic avec cette adresse avant que tun0 up.
La règle est
Sudo ufw insert 1 allow from XXX.XXX.XXX.XXX