Temat: OpenVPN problem z routingiem(?) firewallem(?) z/tun
witam
mam zrobiona instalacje openvpn wg tutoriali na openwrt.org
mam na tunie podsiec powiedzmy 2.1 (serwer openwrt) i 2.2 (klient)
normalny lan to np. 1.1 (serwer openwrt), inne urzadzenie ma np. 1.100
root@OpenWrt:~# cat /etc/config/firewall
config defaults
option syn_flood 1
option input ACCEPT
option output ACCEPT
option forward ACCEPT #REJECT
# Uncomment this line to disable ipv6 rules
# option disable_ipv6 1tak bylo i bylo OK- pewnego pieknego dnia przestalo to (opis ponizej) dzialac ! Nic nie zmienialem 
Pingi z klienta podlaczonego przez openvpn (2.2) do:
2.1 - jest ok
1.1 - serwer openvpn - ok
kazdy inny z podsieci 1.x - nie dziala (!)
Pingi z serwera 1.1 (2.1):
- wszedzie ok -
wyglada na to ze rotuing jest ok,
na kliencie przez push dodalem odpowiedni wpis.
tracert z klienta openvpn do jakiegos urzadzeniz z podsieci np. 1.100 jest ok, bo przechodzi przez serwer openvpn
na tcpdump - przy pingowaniu z klienta (2.1) do 2.2 czy 1.1 - widac ze pakiety dochodza i odpowiedz idzie
przy pingowaniu z klienta do czegokolwiek z 1.x (poza 1.1) - widac ze pakiety dochodza, ale ODPOWIEDZI JUZ NIE WYCHODZA...
tak samo ruch z sieci LAN do tun0 nie idzie... Zadna usluga z zewnatrz (tun) do wewnatrz (lan) nie odpowiada.
ponizej config firewala:
cat /etc/config/firewall
config defaults
option syn_flood 1
option input ACCEPT
option output ACCEPT
option forward ACCEPT #REJECT
# Uncomment this line to disable ipv6 rules
# option disable_ipv6 1
config zone
option name lan
option network 'lan'
option input ACCEPT
option output ACCEPT
option forward REJECT
config zone
option name wan
option network 'wan'
option input ACCEPT#REJECT
option output ACCEPT
option forward ACCEPT#REJECT
option masq 1
option mtu_fix 1
config forwarding
option src lan
option dest wan
# We need to accept udp packets on port 68,
# see https://dev.openwrt.org/ticket/4108
config rule
option name Allow-DHCP-Renew
option src wan
option proto udp
option dest_port 68
option target ACCEPT
option family ipv4
# Allow IPv4 ping
config rule
option name Allow-Ping
option src wan
option proto icmp
option icmp_type echo-request
option family ipv4
option target ACCEPT
# Allow DHCPv6 replies
# see https://dev.openwrt.org/ticket/10381
config rule
option name Allow-DHCPv6
option src wan
option proto udp
option src_ip fe80::/10
option src_port 547
option dest_ip fe80::/10
option dest_port 546
option family ipv6
option target ACCEPT
# Allow essential incoming IPv6 ICMP traffic
config rule
option name Allow-ICMPv6-Input
option src wan
option proto icmp
list icmp_type echo-request
list icmp_type echo-reply
list icmp_type destination-unreachable
list icmp_type packet-too-big
list icmp_type time-exceeded
list icmp_type bad-header
list icmp_type unknown-header-type
list icmp_type router-solicitation
list icmp_type neighbour-solicitation
list icmp_type router-advertisement
list icmp_type neighbour-advertisement
option limit 1000/sec
option family ipv6
option target ACCEPT
# Allow essential forwarded IPv6 ICMP traffic
config rule
option name Allow-ICMPv6-Forward
option src wan
option dest *
option proto icmp
list icmp_type echo-request
list icmp_type echo-reply
list icmp_type destination-unreachable
list icmp_type packet-too-big
list icmp_type time-exceeded
list icmp_type bad-header
list icmp_type unknown-header-type
option limit 1000/sec
option family ipv6
option target ACCEPT
config 'include'
option 'path' '/etc/firewall.user'
#moje
config 'rule'
option 'target' 'ACCEPT'
option 'dest_port' '1194'
option 'src' 'wan'
option 'proto' 'udp'
option 'family' 'ipv4'Generalnie domyslny config, gdzie zmienilem domyslne polityki (do testow- ta pierwsza i bylo wszystko ok, ruch w obie strony z klienta vpn do podsieci serwera szedl doskonale). W ramach walki z problemem juz dalem wszedzie ACCEPT, dodalem takze do firewall.user:
root@OpenWrt:~# cat /etc/firewall.user
# This file is interpreted as shell script.
# Put your custom iptables rules here, they will
# be executed with each firewall (re-)start.
#iptables -t nat -A prerouting_wan -p udp --dport 1194 -j ACCEPT
#iptables -A input_wan -p udp --dport 1194 -j ACCEPT
iptables -I INPUT -i tun+ -j ACCEPT
iptables -I FORWARD -i tun+ -j ACCEPT
iptables -I OUTPUT -o tun+ -j ACCEPT
iptables -I FORWARD -o tun+ -j ACCEPTNie dziala. Rece mi juz opadaja. Dzialalo i nagle samo sie zepsulo Wiem, ze brzmi niedorzecznie, ale nic nie zmienialem przez te pare dni jak bylo ok. Firewalle na kliencie wylaczone.
Za pomoc Cezarego w poscie powyzej i ponizej dziekuje z gory :-)