OpenVPN nepoužívá nastavené porty

Jarda001

OpenVPN nepoužívá nastavené porty
« kdy: 23. 05. 2011, 21:50:40 »
ahoj
mám problém s openvpn.
udělal jsem konfig jak serveru tak i clienta. je tam dán port udp 1194
v rámci lokální sítě se spojí ale pokaždé s jiným portem. nikde jsem toto nenašel popsané, proč se to děje.
kdyžse chci připojit zvenku, tak samozřejě spojení se nenaváže, protože to má pokaždé jiný port. Základní UDP 1194 mám na fw povolené, bo openvpn server vidí příchozí spojení, ovšem ne s portem 1194 ale uplně jiným.
Děkuji za radu. V případě dotazů rád dodám knfiguráky a logy.
« Poslední změna: 23. 05. 2011, 22:32:44 od Petr Krčmář »


Re: OpenVPN nepoužívá nastavené porty
« Odpověď #1 kdy: 24. 05. 2011, 09:18:41 »
Nepleties dohromady zdrojovy a cielovy port? Co povie netstat na serveri kde bezi openvpn server?

alfi

  • ****
  • 336
    • Zobrazit profil
    • E-mail
Re: OpenVPN nepoužívá nastavené porty
« Odpověď #2 kdy: 24. 05. 2011, 10:00:18 »
tak tak, 1194 je port, na kterém poslouchá server. klient se bude vždycky připojovat z náhodného odchozího portu. to platí pro všechny klienty na udp i tcp od openvpn, přes ssh, samby až po webové prohlížeče. ono by to ani jinak nešlo, protože klient těch spojení typicky otevírá víc (i třeba od více uživatelů) a jeden port by mu stejně nestačil :-)
pokud je povolená nějaká díra na fw, musí to být pro destination port, ne source (z pohledu toho fw)

Jarda001

Re: OpenVPN nepoužívá nastavené porty
« Odpověď #3 kdy: 24. 05. 2011, 10:34:52 »
díky
aha.
a to nastavím na fw jak?
 Netgear srx 5308

díky.

Re: OpenVPN nepoužívá nastavené porty
« Odpověď #4 kdy: 24. 05. 2011, 10:45:58 »
díky
aha.
a to nastavím na fw jak?
 Netgear srx 5308

díky.

Treba pres iptables by to melo jit takto:
iptables -A INPUT -p udp --dport 1194 -m state --state NEW -j ACCEPT
nebo
iptables -A INPUT -i sitovkaDoInternetu -p udp --destination-port 1194 -j ACCEPT
"Kdo v zájmu bezpečí obětuje část své svobody, v konečném důsledku přijde o svobodu i svou bezpečnost."


Re: OpenVPN nepoužívá nastavené porty
« Odpověď #5 kdy: 24. 05. 2011, 10:52:09 »
Jen technická, nevím jak je to u OpenVPN ale obceně u UDP neplatí, že klient musí mít náhodný port. Ono u UDP neexistuje dělení na Server/Klient, protože není tam klasické schéma iniciace spojení... obě strany navíc mají schopnost rozlišit jednotlivé virtuální okruhy podle adresy s kým komunikují.

Jarda001

Re: OpenVPN nepoužívá nastavené porty
« Odpověď #6 kdy: 24. 05. 2011, 11:05:39 »
díky
aha.
a to nastavím na fw jak?
 Netgear srx 5308

díky.

Treba pres iptables by to melo jit takto:
iptables -A INPUT -p udp --dport 1194 -m state --state NEW -j ACCEPT
nebo
iptables -A INPUT -i sitovkaDoInternetu -p udp --destination-port 1194 -j ACCEPT
díky
zeptám s eblbě. to je myšleno na straně fw  v síti kde mám server open vpn že?. tam mám právě víše uvedené zařízení netgear.... tam nevím jak bych to zadal přes příkazový řádek.

Jarda001

Re: OpenVPN nepoužívá nastavené porty
« Odpověď #7 kdy: 24. 05. 2011, 11:10:13 »
Jen technická, nevím jak je to u OpenVPN ale obceně u UDP neplatí, že klient musí mít náhodný port. Ono u UDP neexistuje dělení na Server/Klient, protože není tam klasické schéma iniciace spojení... obě strany navíc mají schopnost rozlišit jednotlivé virtuální okruhy podle adresy s kým komunikují.
tot jsem právě někde vyčetl a údajně to i tak má fungovat. právě pro mě by bylo naprosto perfektní aby klient i server komunikovali pouze na již zmíněném UDP portu 1194. ale nikde jsem nenašel postup co kde donastavit. server openvpn je za hw firewallem netgear srx 5308. na něm sem otevřel port udp 1194 a nasměroval na lokální adresu řekněme 10.0.13.26. je to stroj s fedora 13. z vnitřní sítě se to spojí, ale pod jiným portem. z venku vidím že client se připojí ale s jiným portem.

díky za pomoc.

Jarda001

Re: OpenVPN nepoužívá nastavené porty
« Odpověď #8 kdy: 24. 05. 2011, 12:34:45 »
abych ještě doplnil..
spoejní se pak z venku nenaváže. přišel jsme k tomu jak slepí k houslím :)
na logo firewalu vidím správně příchozí spojení tj. s portem udp 1194 ale už nevidím nic odchozího.
z vnitřní sítě se to spojí bezproblémů.
na openvpn serevru s fedourou je fw vypnutý.
fakt už nevím kde může být problém
 tady je konfig serveru:
--------------------------------
mode server
tls-server
local 10.0.13.26:1194
script-security 2
dev tap0
port 1194
rport 1194
lport 1194
proto udp
ifconfig 10.88.255.1 255.255.255.0
# push "route 10.88.255.1 255.255.255.0"
# push "route-gateway 10.88.255.1"
push "redirect-gateway 10.88.255.1"
push "dhcp-option DNS 10.88.255.1"
ifconfig-pool 10.88.255.2 10.88.255.5 255.255.255.0
duplicate-cn
client-to-client
keepalive 10 120
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
----------------------------
tady je konfig clienta
----------------------------
remote 10.0.13.26 1194
pull
float
rport 1194
lport 1194
tls-client
dev tap
proto udp

ca ca.crt
cert test.crt
key test.key

;ns-cert-type server

ping 15
ping-restart 45
ping-timer-rem

persist-key
persist-tun
resolv-retry infinite
;nobind
comp-lzo
verb 3
mute-replay-warnings
------------------------------
díky za pomoc

Re: OpenVPN nepoužívá nastavené porty
« Odpověď #9 kdy: 24. 05. 2011, 12:48:03 »
na openvpn serevru s fedourou je fw vypnutý.

To mne neni jasne. Jak vypnuty? Fedoru nepouzivam, ale nema v zakladu nastavena nejaka pravidla? Poslete vypis na serveru s OpenVPN:
iptables --line-numbers -nvL

Ukazujete to neco v logu OpenVPN? Nejake chyby? Dozvi se OpenVPN vubec o pokusu pripojeni klienta, nebo kvuli firewallu ani neobdrzi pozadavek?
"Kdo v zájmu bezpečí obětuje část své svobody, v konečném důsledku přijde o svobodu i svou bezpečnost."

Re: OpenVPN nepoužívá nastavené porty
« Odpověď #10 kdy: 24. 05. 2011, 12:52:43 »
právě pro mě by bylo naprosto perfektní aby klient i server komunikovali pouze na již zmíněném UDP portu 1194. ale nikde jsem nenašel postup co kde donastavit. server openvpn je za hw firewallem netgear srx 5308. na něm sem otevřel port udp 1194 a nasměroval na lokální adresu řekněme 10.0.13.26. je to stroj s fedora 13. z vnitřní sítě se to spojí, ale pod jiným portem. z venku vidím že client se připojí ale s jiným portem.
Proc na stejnem portu? Klient se MUSI pripojit na Vas server na port 1194, jeho port je jeho vec.

Firewall netgear srx 5308 neznam, ale urcite to nejak jit musi.
"Kdo v zájmu bezpečí obětuje část své svobody, v konečném důsledku přijde o svobodu i svou bezpečnost."

Jarda001

Re: OpenVPN nepoužívá nastavené porty
« Odpověď #11 kdy: 24. 05. 2011, 12:59:48 »
na openvpn serevru s fedourou je fw vypnutý.

To mne neni jasne. Jak vypnuty? Fedoru nepouzivam, ale nema v zakladu nastavena nejaka pravidla? Poslete vypis na serveru s OpenVPN:
iptables --line-numbers -nvL

Ukazujete to neco v logu OpenVPN? Nejake chyby? Dozvi se OpenVPN vubec o pokusu pripojeni klienta, nebo kvuli firewallu ani neobdrzi pozadavek?
tady je výpis

[root@negro openvpn]# iptables --line-numbers -nvL
Chain INPUT (policy ACCEPT 165K packets, 167M bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        8   336 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:1194 state NEW

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 76945 packets, 8762K bytes)
num   pkts bytes target     prot opt in     out     source               destination
[root@negro openvpn]# ^C
[root@negro openvpn]#

na serveru je videt že se klient snaží připojit, že se připojuje, ale pak spadne spojení - ten 60 s limit. klient pak v podstaěpak opakuje pokus o spojení znovu se stejným výsledkem. v lokální siti to spoejní funguje

Jarda001

Re: OpenVPN nepoužívá nastavené porty
« Odpověď #12 kdy: 24. 05. 2011, 13:01:40 »
právě pro mě by bylo naprosto perfektní aby klient i server komunikovali pouze na již zmíněném UDP portu 1194. ale nikde jsem nenašel postup co kde donastavit. server openvpn je za hw firewallem netgear srx 5308. na něm sem otevřel port udp 1194 a nasměroval na lokální adresu řekněme 10.0.13.26. je to stroj s fedora 13. z vnitřní sítě se to spojí, ale pod jiným portem. z venku vidím že client se připojí ale s jiným portem.
Proc na stejnem portu? Klient se MUSI pripojit na Vas server na port 1194, jeho port je jeho vec.

Firewall netgear srx 5308 neznam, ale urcite to nejak jit musi.

to je sice jeho věc, ale on nedostane odpověd od serveru a tak zopakuje pokus o spojení znovu....

Re: OpenVPN nepoužívá nastavené porty
« Odpověď #13 kdy: 24. 05. 2011, 13:02:02 »
Muzete sem hodit jeste log OpenVPN?
"Kdo v zájmu bezpečí obětuje část své svobody, v konečném důsledku přijde o svobodu i svou bezpečnost."

Jim

Re: OpenVPN nepoužívá nastavené porty
« Odpověď #14 kdy: 24. 05. 2011, 13:03:38 »
Mno nevím jestli nejsem vedle, ale jestli jsem to správně pochopil, chceš se připojit z venku, pak se obávám, že v konfiguraci klienta nemůžeš mít interní IP v řádku remote.