LINUX.ORG.RU

Правильная настройка iptables и OpenVPN


0

1

Добрый день. Никак не удается настроить iptables на Centos дабы все заработало.

Настройки конфига OpenVPN на сервере следующие:

proto udp
dev tap
port 1194
tls-server
tls-auth ta.key 0
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
mode server
ifconfig 192.168.231.5 255.255.255.0
ifconfig-pool 192.168.231.6 192.168.231.200
push "route-gateway 192.168.231.5"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
cipher DES-EDE3-CBC
user nobody
group nobody
max-clients 2
duplicate-cn
persist-tun
persist-key
comp-lzo
keepalive 10 120
verb 3
tun-mtu 1500
fragment 1300
mssfix

ip-fowrwarding разрешен. В system-config-securitylevel-tui открыт порт 1194 (Other ports: openvpn:tcp openvpn:udp ).

Добавлены следующие правила в iptables:

iptables -I FORWARD 1 -i tap0 -p udp -j ACCEPT
iptables -I FORWARD 1 -i tap0 -p tcp -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.231.0/24 -o eth0 -j SNAT --to-source ВнешнийIPСервера

Вывод комманды iptables -L -n -v:

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
  434 50643 RH-Firewall-1-INPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     tcp  --  tap0   *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     udp  --  tap0   *       0.0.0.0/0            0.0.0.0/0
   19  1082 RH-Firewall-1-INPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT 268 packets, 40117 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain RH-Firewall-1-INPUT (2 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
   36  3783 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 255
    0     0 ACCEPT     esp  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     ah   --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            224.0.0.251         udp dpt:5353
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:631
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:631
  357 41439 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:1194
    1    70 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:1194
   59  6433 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Вывод комманды route -n:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
XX.XX.232.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0
XX.XX.234.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.231.0   0.0.0.0         255.255.255.0   U     0      0        0 tap0
169.254.0.0     0.0.0.0         255.255.0.0     U     0      0        0 eth0
0.0.0.0         XX.XX.232.2    0.0.0.0         UG    0      0        0 eth0

Клиент замечательно коннектиться, но сервер не пускает дальше. Не понимаю в чем проблема. Что я упустил?

Клиент замечательно коннектиться

Что это значит? Что клиенту отдаётся айпишник, днс и маршруты?

но сервер не пускает дальше

А это что значит? Что то, что должно быть доступно внутри, даже не пингуется? Сам интерфейс пингуется? Шлюз для этого интерфейсаа пингуется? Маршрутизация на сервере правильная?
Попробуй сначала с протоколом tcp.

imul ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.