Не могу подключиться к VPN-серверу через ssh (putty)

iptables

На FreeBSD? Сильно сомневаюсь.

sshd не только в локалку слушает?

Да, собственно, ipfw. Включила его в автозапуск, перезапустила - теперь и по локальному адресу не коннектится.

вот sshd_config:
Port 22
Protocol 2
PermitRootLogin yes
PasswordAuthentication yes
AllowUsers root
Subsystem sftp /usr/libexec/sftp-server

ipfw show

00100 0 0 allow ip from any to any via lo0
00200 0 0 deny ip from any to 127.0.0.0/8
00300 0 0 deny ip from 127.0.0.0/8 to any
00400 0 0 deny ip from any to ::1
00500 0 0 deny ip from ::1 to any
00600 2 160 allow ipv6-icmp from :: to ff02::/16
00700 0 0 allow ipv6-icmp from fe80::/10 to fe80::/10
00800 1 96 allow ipv6-icmp from fe80::/10 to ff02::/16
00900 0 0 allow ipv6-icmp from any to any ip6 icmp6types 1
01000 0 0 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136
65535 117 8493 deny ip from any to any

ну правильно, нет разрашающего правила для ssh

ListenAddress 0.0.0.0
и отключи ipfw пока

putty по-прежнему ругается

openvpn сервер является и ssh сервером?
если да, то по какому ip хочешь коннектиться?

добавила правила, но результата не дало:

00010 0 0 allow tcp from any to me dst-port 22
00020 0 0 allow tcp from me 22 to any
00100 0 0 allow ip from any to any via lo0
00200 0 0 deny ip from any to 127.0.0.0/8
00300 0 0 deny ip from 127.0.0.0/8 to any
00400 0 0 deny ip from any to ::1
00500 0 0 deny ip from ::1 to any
00600 0 0 allow ipv6-icmp from :: to ff02::/16
00700 0 0 allow ipv6-icmp from fe80::/10 to fe80::/10
00800 0 0 allow ipv6-icmp from fe80::/10 to ff02::/16
00900 0 0 allow ipv6-icmp from any to any ip6 icmp6types 1
01000 0 0 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136
65535 334 51475 deny ip from any to any

Сначала вообще выключи фаер ко всем чертям. Убедись, что проблема ТОЛЬКО в фаере. Потом уже его крути.

да, хочу по VPN'овскому соединению зайти на сервер через putty или например через WinSCP. C сервером под Debian такой фокус благополучно проходит с этого же клиента.

без фаера по локальному ip коннектится, а по vpn'овскому - нет

ListenAddress 0.0.0.0

думаю, что не в фаере дело, раз даже при его отключении не пашет

И да, логи ssh в студию.

а может дело в hosts.allow ?

Добавила в sshd_config строку ListenAddress 0.0.0.0, перезапустила sshd - бесполезно.

покажи вывод netstat при подключенном впн

Aug 8 16:27:57 FreeBSD_Host sshd[1222]: Server listening on :: port 22.
Aug 8 16:27:57 FreeBSD_Host sshd[1222]: Server listening on 0.0.0.0 port 22.
Aug 8 16:29:07 FreeBSD_Host login: login on ttyv0 as root
Aug 8 16:29:07 FreeBSD_Host login: ROOT LOGIN (root) ON ttyv0
Aug 8 16:29:48 FreeBSD_Host sshd[1342]: Invalid user \352\371\371\345 from 192.168.249.1
Aug 8 16:29:50 FreeBSD_Host sshd[1342]: error: PAM: authentication error for illegal user \352\371\371\345 from 192.168.249.1
Aug 8 16:29:50 FreeBSD_Host sshd[1342]: Failed keyboard-interactive/pam for invalid user \352\371\371\345 from 192.168.249.1 port 63050 ssh2
Aug 8 16:30:15 FreeBSD_Host sshd[1346]: Accepted keyboard-interactive/pam for root from 192.168.249.1 port 63052 ssh2
Aug 8 16:30:15 FreeBSD_Host sshd[1346]: subsystem request for sftp by user root
Aug 8 16:58:30 FreeBSD_Host sshd[1222]: Received signal 15; terminating.
Aug 8 16:58:30 FreeBSD_Host sshd[1435]: Server listening on 0.0.0.0 port 22.
Aug 8 17:27:29 FreeBSD_Host sshd[1435]: Received signal 15; terminating.
Aug 8 17:27:29 FreeBSD_Host sshd[1600]: Server listening on 0.0.0.0 port 22.

Маршруты в VPN'овские сети есть на клиенте и сервере?

Вывод netstat:

Active Internet connections
Proto Recv-Q Send-Q Local Address Foreign Address (state)
tcp4 0 0 192.168.249.131.callbo 192.168.249.1.63465 ESTABLISHED
tcp4 0 0 192.168.249.131.ssh 192.168.249.1.63052 ESTABLISHED
Active UNIX domain sockets
Address Type Recv-Q Send-Q Inode Conn Refs Nextref Addr
fffffe00027eec30 stream 0 0 fffffe000282a960 0 0 0 /var/run/devd.pipe
fffffe00027eed20 dgram 0 0 0 fffffe00027ee870 0 fffffe00027eee10
fffffe00027ef000 dgram 0 0 0 fffffe00027ee780 0 0
fffffe00027eee10 dgram 0 0 0 fffffe00027ee870 0 fffffe00027ee960
fffffe00027ee960 dgram 0 0 0 fffffe00027ee870 0 0
fffffe00027ee870 dgram 0 0 fffffe0002744d20 0 fffffe00027eed20 0 /var/run/logpriv
fffffe00027ee780 dgram 0 0 fffffe0002986000 0 fffffe00027ef000 0 /var/run/log

Конфиг клиента:

client
dev tun
proto tcp
remote 192.168.249.131
port 2000
resolv-retry infinite
ca ca.crt
cert yuki-client.crt
key yuki-client.key
tls-client
tls-auth ta.key 1
cipher BF-CBC
comp-lzo
persist-key
persist-tun
;log openvpn.log
verb 6

Конфиг сервера:

port 2000
proto tcp
dev tun0
ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/yuki-host.crt
key /usr/local/etc/openvpn/keys/yuki-host.key
dh /usr/local/etc/openvpn/keys/dh1024.pem
server 10.12.0.0 255.255.255.0
route 10.12.0.0 255.255.255.0
push «route 10.12.0.0 255.255.255.0»
tls-server
tls-auth /usr/local/etc/openvpn/keys/ta.key 0
tls-timeout 120
cipher BF-CBC
keepalive 10 120
comp-lzo
max-clients 100
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 3

вот так запусти

netstat -i 4 -a | grep LIST

netstat -r

Aug 8 16:29:48 FreeBSD_Host sshd[1342]: Invalid user \352\371\371\345 from 192.168.249.1

wtf

Логин кириллицей? :)

замени

push "route 10.12.0.0 255.255.255.0"

push "route 192.168.249.0 255.255.255.0"

а что, кроме меня это никто не замечает?:)

Ну судя по этой строке логин идет на адрес локалки, а не vpn'а, и нас это по идее не сильно должно интересовать.

хотя бы поскань nmap-ом через впн

ну и надо разобраться, что у тебя там за такой интересный логин

неправильно

remote 192.168.249.131

из конфига vpn, что она указала

Ну. Адрес сервера, к которому надо цепляться. Адрес в локалке, ведь

Фактически они находятся в одной локальной сети, но в целях обучения нужно было настроить между ними впн.

VPN'овские адреса у нее находятся в подсети 10.12.0.0/24, судя по конфигам.

прошу прощения, не туда посмотрел :)

Это я видимо не глядя на раскладку набрала и жмакнула enter)) вообще от рута пытаюсь заходить

По команде

netstat -i 4 -a | grep LIST

наглухо виснет.

Вывожу netstat -r:
Routing tables
Internet:
Destination Gateway Flags Refs Use Netif Expire
default 192.168.249.2 UGS 0 0 em0
10.12.0.0 10.12.0.2 UGS 0 0 tun0
10.12.0.1 link#6 UHS 0 0 lo0
10.12.0.2 link#6 UH 0 0 tun0
localhost link#5 UH 0 0 lo0
192.168.249.0 link#2 U 0 981 em0
192.168.249.131 link#2 UHS 0 0 lo0

Internet6:
Destination Gateway Flags Netif Expire
:: localhost UGRS lo0
localhost localhost UH lo0
::ffff:0.0.0.0 localhost UGRS lo0
fe80:: localhost UGRS lo0
fe80::%lo0 link#5 U lo0
fe80::1%lo0 link#5 UHS lo0
fe80::20c:29ff:fe2 link#6 UHS lo0
ff01::%lo0 localhost U lo0
ff01::%tun0 fe80::20c:29ff:fe2 U tun0
ff02:: localhost UGRS lo0
ff02::%lo0 localhost U lo0
ff02::%tun0 fe80::20c:29ff:fe2 U tun0

наглухо виснет.

netstat -i 4 -a -n | grep LIST

Подскажите, пожалуйста, а с сервера впн-шлюз 10.12.0.2 должен пинговаться? Почему-то пинга нет