Я обновился до Debian 11 с 10.
С Debian 10 openvpn работает нормально, теперь у меня возникла эта проблема, я могу подключиться к своему серверу vpn, но я не могу пропинговать или получить доступ к удаленной локальной сети, кроме сервера vpn.
Это конфигурация брандмауэра на удаленной стороне
iptables -L
Сеть INPUT (политика ACCEPT)
целевая защита выбор источника назначения
ПРИНИМАТЬ все -- в любом месте в любом месте СВЯЗАННО, УСТАНОВЛЕНО
ПРИНИМАТЬ все -- в любом месте в любом месте
ПРИНЯТЬ tcp -- в любом месте многопортовые порты 2991
ПРИНЯТЬ udp -- в любом месте многопортовый dports 2991
ПРИНЯТЬ tcp -- в любом месте tcp dpt:http-alt
ПРИНЯТЬ tcp -- 192.168.0.0/24 в любом месте tcp dpt:cisco-sccp
ПРИНЯТЬ tcp -- 192.168.0.0/24 в любом месте tcp dpt:2004
ПРИНЯТЬ tcp -- 192.168.0.0/24 в любом месте tcp dpt:3000
ПРИНЯТЬ tcp -- 192.168.0.0/24 в любом месте tcp dpt:37890
ПРИНЯТЬ tcp -- в любом месте tcp dpt:2124
ПРИНЯТЬ tcp -- в любом месте tcp dpt:5861
ПРИНЯТЬ tcp -- 192.168.0.0/24 в любом месте tcp dpt:telnet
ПРИНЯТЬ tcp -- в любом месте tcp dpts:5900:5910
ПРИНЯТЬ icmp -- в любом месте эхо-ответ icmp
ПРИНЯТЬ icmp -- где угодно и где угодно эхо-запрос icmp
ПРИНИМАТЬ все -- в любом месте в любом месте
РЕГИСТРАЦИЯ всего -- где угодно и где угодно
REJECT all -- везде, где угодно
Сеть FORWARD (политика ACCEPT)
целевая защита выбор источника назначения
ПРИНИМАТЬ все -- в любом месте в любом месте
ПРИНИМАТЬ все -- в любом месте в любом месте СВЯЗАННО, УСТАНОВЛЕНО
NFLOG все -- где угодно где угодно
REJECT all -- везде, где угодно
Цепочка OUTPUT (политика ACCEPT)
целевая защита выбор источника назначения
ПРИНЯТЬ icmp -- в любом месте эхо-ответ icmp
ПРИНЯТЬ icmp -- где угодно и где угодно эхо-запрос icmp
Цепь РЕГИСТРАЦИЯ (1 ссылка)
целевая защита выбор источника назначения
NFLOG all -- где угодно где угодно nflog-prefix "[iptables-drop]:" nflog-group 11
УДАЛИТЬ все -- в любом месте в любом месте
root@vpn:/etc/openvpn#
Это конфигурация на удаленной стороне Openvpn.
порт 2991
прото TCP
разработчик тун
ca /etc/openvpn/certs/keys/ca.crt
сертификат /etc/openvpn/certs/keys/vpn.******.priv.crt
ключ /etc/openvpn/certs/keys/vpn.******.priv.key
дх /etc/openvpn/dh2048.pem
топология подсети
сервер 10.8.0.0 255.255.255.0
ifconfig-pool-persist /var/log/openvpn/ipp.txt
нажмите "маршрут 192.168.0.0 255.255.255.0"
клиент-клиент
поддержка 10 120
tls-auth /etc/openvpn/certs/keys/ta.key 0
data-ciphers-fallback AES-256-CBC
пользователь openvpn
группа
постоянный ключ
упорный тун
статус /var/log/openvpn/openvpn-status.log
глагол 7
аутентификация SHA512
tls-шифр TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-256-CBC-SHA :TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-CBC-SHA:TLS-DHE-RSA-WITH-CAMELLIA-128-CBC-SHA
авторизация без кеша
Это конфигурация openvpn на стороне клиента (брандмауэр идентичен удаленному, поэтому я не публикую)
клиент
разработчик тун
прото TCP
удаленный ****** 2991
разрешить-повторить бесконечный
ни к чему
пользователь никто
группа никто
постоянный ключ
упорный тун
сертификат /etc/openvpn/certs/keys/vpn.******.priv.crt
ключ /etc/openvpn/certs/keys/vpn.******.priv.key
дх /etc/openvpn/dh2048.pem
сервер удаленного сертификата tls
tls-auth /etc/openvpn/certs/ta.key 1
data-ciphers-fallback AES-256-CBC
аутентификация SHA512
авторизация без кеша
топология подсети
tls-шифр TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-256-CBC-SHA :TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-CBC-SHA:TLS-DHE-RSA-WITH-CAMELLIA-128-CBC-SHA
глагол 7
Единственная ошибка, которую я нашел на сервере, это ..
назад 21 00:56:23 vpn ovpn-server[3791]: ******/*****:24545 GET INST BY VIRT: 192.168.0.12 [сбой]
192.168.0.12 — это IP-адрес сервера openvpn, и я могу до него добраться, но каждый IP-адрес в локальной сети 192.168.0.02/24 заблокирован (ни пинга, ни ssh, ничего).
Например..
$ пинг 192.168.0.1
PING 192.168.0.1 (192.168.0.1) 56 (84) байт данных.
^ С
--- Статистика пинга 192.168.0.1 ---
6 пакетов передано, 0 получено, 100% потери пакетов, время 5133 мс
$ пинг 192.168.0.12
PING 192.168.0.12 (192.168.0.12) 56 (84) байт данных.
64 байта из 192.168.0.12: icmp_seq=1 ttl=64 время=166 мс
64 байта из 192.168.0.12: icmp_seq=2 ttl=64 время=164 мс
64 байта из 192.168.0.12: icmp_seq=3 ttl=64 время=84,9 мс
^ С
--- Статистика пинга 192.168.0.12 ---
3 пакета передано, 3 получено, 0% потери пакетов, время 2002 мс
rtt min/avg/max/mdev = 84,924/138,389/166,113/37,814 мс
