web-dev-qa-db-ja.com

UFW&VPN:再接続を許可する方法

ファイアウォールのルールは次のとおりです。

deny outgoing
deny incoming
allow out from any to any on tun0 (alow just the traffic from the VPN)

ただし、gnome-networkマネージャーからvpn接続を開始する場合、ufwを無効にする必要があります。それでも、私は次のようなものを試しました:

allow out from any to any on wlan0 port 1194

しかし、それは機能しません。

助言がありますか ?

解決 :

次の行により、すべての発信NON-VPNトラフィックをブロックできます。つまり、VPNトラフィックのみが許可されます。また、VPN接続が失敗した場合、ファイアウォールを無効にせずに再接続できます。

1-ターミナルで次のコマンドを実行します。

Sudo tail -f /var/log/ufw.log

2-VPNへの接続を試行する

3-IPアドレスですべての「[UFW BLOCK]」の行を見てください私の場合、DST = .。240およびDST = "。241。

次に、VPNによって指定されたIPがあり、これもブロックされます。

3-ファイアウォールでそれらのIPを許可する:

To                         Action      From
--                         ------      ----
***.**.**.240              ALLOW OUT   Anywhere
***.**.**.241              ALLOW OUT   Anywhere
**.***.0.0/18  (VPN)            ALLOW OUT   Anywhere
Anywhere                   ALLOW OUT   Anywhere on tun0
22/tcp                     ALLOW OUT   Anywhere
Anywhere (v6)              ALLOW OUT   Anywhere (v6) on tun0
22/tcp (v6)                ALLOW OUT   Anywhere (v6)
vpnfirewallufw
2
firewall_new

port 1194に基づいて、OpenVPNを使用していると思います。 FAQ推奨される休閑地のOpenVpnドキュメント

Access Serverのファイアウォールでどのポートを開く必要がありますか?

短い答え:TCP 443、TCP 943、UDP 1194長い答え:デフォルトでは、OpenVPN Access Serverには2つのOpenVPNデーモンが実行されています。それらの1つはUDPポート1194で、もう1つはTCP 443で使用します。UDPポートを使用することをお勧めします。これは、OpenVPNトンネルに適しているためです。ただし、http、https、ftp、pop3などの非常に一般的なポートを除き、多くのパブリックロケーションはあらゆる種類のポートをブロックします。したがって、オプションとしてTCP 443もあります。 TCPポート443はhttps://(SSL)トラフィックのデフォルトポートであるため、通常はユーザーの場所でこれが許可されます。 TCPポート943は、デフォルトでWebサーバーインターフェイスがリッスンしているポートです。 https:// yourserverhostnamehere:943 / のようなURLを使用するか、標準のhttps://ポートTCP 443を使用してこれに直接アクセスできます。OpenVPNデーモンブラウザのトラフィックをデフォルトで自動的にTCP 943にルーティングします。 ( https:// yourserverhostnamehere / )。

しかし、バトルフィールドからの私の推奨事項は、VPNサーバーのIPアドレスからのすべてのトラフィックを許可することです

Sudo ufw allow from ip_address_of_vpn_server

OpenVPNはtcpudpの両方を使用するため、protoを指定しないでください。

編集1

また、tun0downの場合に自動再接続するスクリプトを作成できます。

内容tun-upin /etc/network/if-down.d/に簡単なスクリプトを追加します

#!/bin/sh
# filename: tun-up

if [ "$IFACE" = tun0 ]; then
  Sudo ifup tun0
fi

実行可能にする

Sudo chmod +x /etc/network/if-up.d/tun-up

編集2

OK、間違ったアドレスを許可します。最初に、トラフィックを許可するために正しいIPアドレスをキャッチする必要があります。

terminalを起動してコマンドを実行します

tail -f /var/log/system | grep UFW

次に、VPNサーバーへの接続を試みます。ターミナルでは、ブロックオフが表示されます

May 25 08:18:22 xxx kernel: [259789.025019] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:23:cd:f4:8c:29:08:00 SRC=XXX.XXX.XXX.XXX

ブロック検索SRC=XXX.XXX.XXX.XXXでは、これはトラフィックを送信するアドレスです。ほとんどの場合、これはVPNサーバーのパブリックIPアドレスになります。

このIPアドレスは、最初にufwルールを追加する必要があります。これは、tun0がアップする前にこのアドレスと通信してトラフィックを交換するためです。

ルールは

Sudo ufw insert 1 allow from XXX.XXX.XXX.XXX
3
2707974