LINUX.ORG.RU
решено ФорумAdmin

OpenVpn не подключается никакому порту кроме tcp 443

 


0

1

Всем доброго дня! Сразу говорю я новичок в настройке опенвпн, да и вообще в линуксе в целом. Так вот, я поднял OpenVpn сервер скриптом Nyr’а на CentOS 7 в Google Cloud. Все установилось норм, НО к серверу клиенты подключаются успешно только на 443 порту tcp. Остальными портами не удается подключиться так и по tcp так и по udp. Со стороны хостера файрвол открыт по всем портам и протоколам и ip forwarding включён. Вот настройки сервера

local 10.132.0.12
port 1195
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
auth SHA512
tls-crypt tc.key
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 169.254.169.254"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3
crl-verify crl.pem
explicit-exit-notify
 

и клиента

client
dev tun
proto udp
remote 35.233.122.171 1195
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
auth SHA512
cipher AES-256-CBC
ignore-unknown-option block-outside-dns
block-outside-dns
verb 3 

А вот и лог с ios девайса

2020-01-31 8:33:05 PM 1

2020-01-31 8:33:05 PM ----- OpenVPN Start -----
OpenVPN core 3.git::2ae73415 ios arm64 64-bit PT_PROXY built on Dec  2 2019 14:44:28

2020-01-31 8:33:05 PM OpenVPN core 3.git::2ae73415 ios arm64 64-bit PT_PROXY built on Dec  2 2019 14:44:28

2020-01-31 8:33:05 PM Frame=512/2048/512 mssfix-ctrl=1250

2020-01-31 8:33:05 PM UNUSED OPTIONS
4 [resolv-retry] [infinite] 
5 [nobind] 
6 [persist-key] 
7 [persist-tun] 
11 [ignore-unknown-option] [block-outside-dns] 
12 [block-outside-dns] 
13 [verb] [3] 

2020-01-31 8:33:05 PM EVENT: RESOLVE

2020-01-31 8:33:05 PM Contacting [35.233.122.171]:1195/UDP via UDP

2020-01-31 8:33:05 PM EVENT: WAIT

2020-01-31 8:33:05 PM Connecting to [35.233.122.171]:1195 (35.233.122.171) via UDPv4

2020-01-31 8:33:16 PM Server poll timeout, trying next remote entry...

2020-01-31 8:33:16 PM EVENT: RECONNECTING

2020-01-31 8:33:16 PM EVENT: RESOLVE

2020-01-31 8:33:16 PM EVENT: CONNECTION_TIMEOUT [ERR]

2020-01-31 8:33:16 PM Raw stats on disconnect:
  BYTES_OUT : 540
  PACKETS_OUT : 10
  CONNECTION_TIMEOUT : 1
  N_RECONNECT : 1

2020-01-31 8:33:16 PM Performance stats on disconnect:
  CPU usage (microseconds): 414345
  Network bytes per CPU second: 1303
  Tunnel bytes per CPU second: 0

2020-01-31 8:33:16 PM EVENT: DISCONNECTED

2020-01-31 8:33:16 PM Raw stats on disconnect:
  BYTES_OUT : 540
  PACKETS_OUT : 10
  CONNECTION_TIMEOUT : 1
  N_RECONNECT : 1

2020-01-31 8:33:16 PM Performance stats on disconnect:
  CPU usage (microseconds): 428129
  Network bytes per CPU second: 1261
  Tunnel bytes per CPU second: 0
 

Помогите пожалуйста, куда копать. Ах да, думал провайдер блочит порт/трафик, но нет другие конфиги с интернет работают отлично по tcp и по udp с разными портами.

local 10.132.0.12

Похоже вариант амазона с прокидыванием. Погуглите емним и тут было описание.

push «dhcp-option DNS 169.254.169.254»

Сильно. пушить link local адрес.

anc ★★★★★ ()
Ответ на: комментарий от zolden

Вот ответы на команды ip -br a:

lo               UNKNOWN        127.0.0.1/8 ::1/128
eth0             UP             10.132.0.12/32 fe80::4001:aff:fe84:c/64
tun0             UNKNOWN        10.8.0.1/24 fe80::ff15:6ce8:fb18:844e/64 

ip r :

default via 10.132.0.1 dev eth0 proto dhcp metric 100
10.8.0.0/24 dev tun0 proto kernel scope link src 10.8.0.1
10.132.0.1 dev eth0 proto dhcp scope link metric 100
10.132.0.12 dev eth0 proto kernel scope link src 10.132.0.12 metric 100

ip ru:

0:      from all lookup local
32766:  from all lookup main
32767:  from all lookup default

iptables-save :

# Generated by iptables-save v1.4.21 on Sat Feb  1 09:35:02 2020
*nat
:PREROUTING ACCEPT [1750:75372]
:INPUT ACCEPT [1750:75372]
:OUTPUT ACCEPT [4664:313098]
:POSTROUTING ACCEPT [4664:313098]
:OUTPUT_direct - [0:0]
:POSTROUTING_ZONES - [0:0]
:POSTROUTING_ZONES_SOURCE - [0:0]
:POSTROUTING_direct - [0:0]
:POST_trusted - [0:0]
:POST_trusted_allow - [0:0]
:POST_trusted_deny - [0:0]
:POST_trusted_log - [0:0]
:PREROUTING_ZONES - [0:0]
:PREROUTING_ZONES_SOURCE - [0:0]
:PREROUTING_direct - [0:0]
:PRE_trusted - [0:0]
:PRE_trusted_allow - [0:0]
:PRE_trusted_deny - [0:0]
:PRE_trusted_log - [0:0]
-A PREROUTING -j PREROUTING_direct
-A PREROUTING -j PREROUTING_ZONES_SOURCE
-A PREROUTING -j PREROUTING_ZONES
-A OUTPUT -j OUTPUT_direct
-A POSTROUTING -j POSTROUTING_direct
-A POSTROUTING -j POSTROUTING_ZONES_SOURCE
-A POSTROUTING -j POSTROUTING_ZONES
-A POSTROUTING_ZONES -o eth0 -j POST_trusted
-A POSTROUTING_ZONES -j POST_trusted
-A POSTROUTING_ZONES_SOURCE -d 10.8.0.0/24 -j POST_trusted
-A POSTROUTING_direct -s 10.8.0.0/24 ! -d 10.8.0.0/24 -j SNAT --to-source 10.132.0.12
-A POST_trusted -j POST_trusted_log
-A POST_trusted -j POST_trusted_deny
-A POST_trusted -j POST_trusted_allow
-A PREROUTING_ZONES -i eth0 -j PRE_trusted
-A PREROUTING_ZONES -j PRE_trusted
-A PREROUTING_ZONES_SOURCE -s 10.8.0.0/24 -j PRE_trusted
-A PRE_trusted -j PRE_trusted_log
-A PRE_trusted -j PRE_trusted_deny
-A PRE_trusted -j PRE_trusted_allow
COMMIT
# Completed on Sat Feb  1 09:35:02 2020
# Generated by iptables-save v1.4.21 on Sat Feb  1 09:35:02 2020
*mangle
:PREROUTING ACCEPT [41425:131250010]
:INPUT ACCEPT [41425:131250010]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [49834:5988220]
:POSTROUTING ACCEPT [49834:5988220]
:FORWARD_direct - [0:0]
:INPUT_direct - [0:0]
:OUTPUT_direct - [0:0]
:POSTROUTING_direct - [0:0]
:PREROUTING_ZONES - [0:0]
:PREROUTING_ZONES_SOURCE - [0:0]
:PREROUTING_direct - [0:0]
:PRE_trusted - [0:0]
:PRE_trusted_allow - [0:0]
:PRE_trusted_deny - [0:0]
:PRE_trusted_log - [0:0]
-A PREROUTING -j PREROUTING_direct
-A PREROUTING -j PREROUTING_ZONES_SOURCE
-A PREROUTING -j PREROUTING_ZONES
-A INPUT -j INPUT_direct
-A FORWARD -j FORWARD_direct
-A OUTPUT -j OUTPUT_direct
-A POSTROUTING -j POSTROUTING_direct
-A PREROUTING_ZONES -i eth0 -j PRE_trusted
-A PREROUTING_ZONES -j PRE_trusted
-A PREROUTING_ZONES_SOURCE -s 10.8.0.0/24 -j PRE_trusted
-A PRE_trusted -j PRE_trusted_log
-A PRE_trusted -j PRE_trusted_deny
-A PRE_trusted -j PRE_trusted_allow
COMMIT
# Completed on Sat Feb  1 09:35:02 2020
# Generated by iptables-save v1.4.21 on Sat Feb  1 09:35:02 2020
*security
:INPUT ACCEPT [43777:154616677]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [52007:6211266]
:FORWARD_direct - [0:0]
:INPUT_direct - [0:0]
:OUTPUT_direct - [0:0]
-A INPUT -j INPUT_direct
-A FORWARD -j FORWARD_direct
-A OUTPUT -j OUTPUT_direct
COMMIT
# Completed on Sat Feb  1 09:35:02 2020
# Generated by iptables-save v1.4.21 on Sat Feb  1 09:35:02 2020
*raw
:PREROUTING ACCEPT [41425:131250010]
:OUTPUT ACCEPT [49834:5988220]
:OUTPUT_direct - [0:0]
:PREROUTING_ZONES - [0:0]
:PREROUTING_ZONES_SOURCE - [0:0]
:PREROUTING_direct - [0:0]
:PRE_trusted - [0:0]
:PRE_trusted_allow - [0:0]
:PRE_trusted_deny - [0:0]
:PRE_trusted_log - [0:0]
-A PREROUTING -j PREROUTING_direct
-A PREROUTING -j PREROUTING_ZONES_SOURCE
-A PREROUTING -j PREROUTING_ZONES
-A OUTPUT -j OUTPUT_direct
-A PREROUTING_ZONES -i eth0 -j PRE_trusted
-A PREROUTING_ZONES -j PRE_trusted
-A PREROUTING_ZONES_SOURCE -s 10.8.0.0/24 -j PRE_trusted
-A PRE_trusted -j PRE_trusted_log
-A PRE_trusted -j PRE_trusted_deny
-A PRE_trusted -j PRE_trusted_allow
COMMIT
# Completed on Sat Feb  1 09:35:02 2020
# Generated by iptables-save v1.4.21 on Sat Feb  1 09:35:02 2020
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [49832:5988122]
:FORWARD_IN_ZONES - [0:0]
:FORWARD_IN_ZONES_SOURCE - [0:0]
:FORWARD_OUT_ZONES - [0:0]
:FORWARD_OUT_ZONES_SOURCE - [0:0]
:FORWARD_direct - [0:0]
:FWDI_trusted - [0:0]
:FWDI_trusted_allow - [0:0]
:FWDI_trusted_deny - [0:0]
:FWDI_trusted_log - [0:0]
:FWDO_trusted - [0:0]
:FWDO_trusted_allow - [0:0]
:FWDO_trusted_deny - [0:0]
:FWDO_trusted_log - [0:0]
:INPUT_ZONES - [0:0]
:INPUT_ZONES_SOURCE - [0:0]
:INPUT_direct - [0:0]
:IN_trusted - [0:0]
:IN_trusted_allow - [0:0]
:IN_trusted_deny - [0:0]
:IN_trusted_log - [0:0]
:OUTPUT_direct - [0:0]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -j INPUT_direct
-A INPUT -j INPUT_ZONES_SOURCE
-A INPUT -j INPUT_ZONES
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i lo -j ACCEPT
-A FORWARD -j FORWARD_direct
-A FORWARD -j FORWARD_IN_ZONES_SOURCE
-A FORWARD -j FORWARD_IN_ZONES
-A FORWARD -j FORWARD_OUT_ZONES_SOURCE
-A FORWARD -j FORWARD_OUT_ZONES
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -j OUTPUT_direct
-A FORWARD_IN_ZONES -i eth0 -j FWDI_trusted
-A FORWARD_IN_ZONES -j FWDI_trusted
-A FORWARD_IN_ZONES_SOURCE -s 10.8.0.0/24 -j FWDI_trusted
-A FORWARD_OUT_ZONES -o eth0 -j FWDO_trusted
-A FORWARD_OUT_ZONES -j FWDO_trusted
-A FORWARD_OUT_ZONES_SOURCE -d 10.8.0.0/24 -j FWDO_trusted
-A FWDI_trusted -j FWDI_trusted_log
-A FWDI_trusted -j FWDI_trusted_deny
-A FWDI_trusted -j FWDI_trusted_allow
-A FWDI_trusted -j ACCEPT
-A FWDO_trusted -j FWDO_trusted_log
-A FWDO_trusted -j FWDO_trusted_deny
-A FWDO_trusted -j FWDO_trusted_allow
-A FWDO_trusted -j ACCEPT
-A INPUT_ZONES -i eth0 -j IN_trusted
-A INPUT_ZONES -j IN_trusted
-A INPUT_ZONES_SOURCE -s 10.8.0.0/24 -j IN_trusted
-A IN_trusted -j IN_trusted_log
-A IN_trusted -j IN_trusted_deny
-A IN_trusted -j IN_trusted_allow
-A IN_trusted -j ACCEPT
-A IN_trusted_allow -p udp -m udp --dport 1195 -m conntrack --ctstate NEW,UNTRACKED -j ACCEPT
COMMIT
# Completed on Sat Feb  1 09:35:02 2020

Googler ()
Ответ на: комментарий от Dima_228

Да да я в курсе. Эти порты открыты если ты разрешаешь http и https, а не по умолчанию. Но я сделал по другому. Файрволле создал новое правило которое разрешает не только 80/tcp и 443/tcp, а открыл все порту для всех протоколов и подключил это правило к своей VM… Об этом я в самом начале писал. Вот я понять не могу, что я не так сделал?!

Googler ()
Ответ на: комментарий от Googler

Вам два раза повторять? Пишите в саппорт. Ничего сложного же. Именно с полными выкладками «я пытаюсь из вне подключиться к IP 1195/udp. Но до меня не долетает ни одного пакета согласно tcpdump. Проблема явно на вашей стороне»

PS Как решат отпишите здесь. Многим после вас будет полезно.

PSS И не стесняйтесь обращаться в саппорт. Вся эта вэбня постоянно меняется и вполне возможно вы тут не причем. Так звезды сложились. Я серьезно. Подобные конторы в случае возникновения «не понимания» имею только через саппорт. Смысла гуглить и так далее, ровно ноль. Найдеш старую инструкцию, а тебе легче?

anc ★★★★★ ()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anc

Всем доброго дня! Проблема с файрволлом Google Cloud решилась. Ответа от тех поддержки не дождался и читал офф. документацию про файрволл G Cloud. Так вот, оказывается чтобы разрешить все протоколы и порты надо создать ВНУТРЕННИЙ СТАТИЧЕСКИЙ IP. Внешнего статического ip недостаточно. Темы можно считать закрытой… Всем спасибо за помощь и отзывчивость. Будьте всегда здоровы!

Googler ()