Вопросы Теги

Маршрутизация OpenVPN: несколько записей по умолчанию. Клиент OpenVPN: iptables. Проблемы DNS

Я выполняю OpenVPN-сервер (Debian 8) в целях конфиденциальности при использовании общедоступного Wi-Fi. Следовательно, весь сетевой трафик клиента предназначается, чтобы быть обработанным по соединению VPN. Конфигурация сервера и клиента дана ниже.

Конфигурация сервера:

port 1194
proto tcp
dev tun

ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt    
key /etc/openvpn/server.key
dh /etc/openvpn/dh.pem
tls-auth /etc/openvpn/tlsauth.key 0

user nobody
group nogroup

server 10.11.12.0 255.255.255.0

ifconfig-pool-persist ipp.txt
keepalive 10 120

push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"

persist-key
persist-tun

comp-lzo
status openvpn-status.log
verb 3

Клиентская конфигурация:

client
remote X.X.X.X 1194
proto tcp

dev tun

resolv-retry-infinite

nobind

user nobody
group nogroup

persist-key
persist-tun

ca /etc/openvpn/ca.crt
cert /etc/openvpn/client.crt    
key /etc/openvpn/client.key
tls-auth /etc/openvpn/tlsauth.key 0

comp-lzo 0
verb 2

Когда сервис VPN запускается на клиенте, таблица маршрутизации изменена, как дали ниже.

Таблица маршрутизации (192.168.178.0/24 обозначает общедоступный Wi-Fi):

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.11.12.13     128.0.0.0       UG    0      0        0 tun0
0.0.0.0         192.168.178.1   0.0.0.0         UG    1024   0        0 wlan0
10.11.12.1      10.11.12.13     255.255.255.255 UGH   0      0        0 tun0
10.11.12.13     0.0.0.0         255.255.255.255 UH    0      0        0 tun0
128.0.0.0       10.11.12.13     128.0.0.0       UG    0      0        0 tun0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 wlan0
192.168.178.0   0.0.0.0         255.255.255.0   U     0      0        0 wlan0
X.X.X.X         192.168.178.1   255.255.255.255 UGH   0      0        0 wlan0

Соответствующий раздел системного журнала при запуске openvpn:

ovpn-client[3395]: OpenVPN 2.3.4 i586-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [MH] [IPv6] built on Dec  1 2014
ovpn-client[3395]: library versions: OpenSSL 1.0.1k 8 Jan 2015, LZO 2.08    
ovpn-client[3395]: WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
ovpn-client[3395]: Control Channel Authentication: using '/etc/openvpn/tlsauth.key' as a OpenVPN static key file
ovpn-client[3395]: Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
ovpn-client[3395]: Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
ovpn-client[3396]: NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
ovpn-client[3396]: Attempting to establish TCP connection with [AF_INET]X.X.X.X:1194 [nonblock]
ovpn-client[3396]: TCP connection established with [AF_INET]X.X.X.X:1194
ovpn-client[3396]: TCPv4_CLIENT link local: [undef]
ovpn-client[3396]: TCPv4_CLIENT link remote: [AF_INET]X.X.X.X:1194
ovpn-client[3396]: VERIFY OK: depth=1, [...]
ovpn-client[3396]: VERIFY OK: depth=0, [...]
ovpn-client[3396]: Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
ovpn-client[3396]: Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
ovpn-client[3396]: Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
ovpn-client[3396]: Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
ovpn-client[3396]: Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
ovpn-client[3396]: [VPN-Server] Peer Connection Initiated with [AF_INET]X.X.X.X:1194
ovpn-client[3396]: TUN/TAP device tun0 opened
ovpn-client[3396]: do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
ovpn-client[3396]: /sbin/ip link set dev tun0 up mtu 1500
NetworkManager[556]: <info> (tun0): carrier is OFF
NetworkManager[556]: <info> (tun0): new Tun device (driver: 'unknown' ifindex: 15)
NetworkManager[556]: <info> (tun0): exported as /org/freedesktop/NetworkManager/Devices/14
ovpn-client[3396]: /sbin/ip addr add dev tun0 local 10.11.12.14 peer 10.11.12.13
NetworkManager[556]: <info> (tun0): link connected
ovpn-client[3396]: ERROR: Linux route add command failed: external program exited with error status: 2
ovpn-client[3396]: GID set to nogroup
ovpn-client[3396]: UID set to nobody
ovpn-client[3396]: Initialization Sequence Completed
NetworkManager[556]: <info> (tun0): device state change: unmanaged -> unavailable (reason 'connection-assumed') [10 20 41]
NetworkManager[556]: <info> (tun0): device state change: unavailable -> disconnected (reason 'connection-assumed') [20 30 41]
NetworkManager[556]: <info> Activation (tun0) starting connection 'tun0'
NetworkManager[556]: <info> Activation (tun0) Stage 1 of 5 (Device Prepare) scheduled...
NetworkManager[556]: <info> devices added (path: /sys/devices/virtual/net/tun0, iface: tun0)
NetworkManager[556]: <info> device added (path: /sys/devices/virtual/net/tun0, iface: tun0): no ifupdown configuration found.
NetworkManager[556]: <info> Activation (tun0) Stage 1 of 5 (Device Prepare) started...
NetworkManager[556]: <info> (tun0): device state change: disconnected -> prepare (reason 'none') [30 40 0]
NetworkManager[556]: <info> Activation (tun0) Stage 2 of 5 (Device Configure) scheduled...
NetworkManager[556]: <info> Activation (tun0) Stage 1 of 5 (Device Prepare) complete.
NetworkManager[556]: <info> Activation (tun0) Stage 2 of 5 (Device Configure) starting...
NetworkManager[556]: <info> (tun0): device state change: prepare -> config (reason 'none') [40 50 0]
NetworkManager[556]: <info> Activation (tun0) Stage 2 of 5 (Device Configure) successful.
NetworkManager[556]: <info> Activation (tun0) Stage 3 of 5 (IP Configure Start) scheduled.
NetworkManager[556]: <info> Activation (tun0) Stage 2 of 5 (Device Configure) complete.
NetworkManager[556]: <info> Activation (tun0) Stage 3 of 5 (IP Configure Start) started...
NetworkManager[556]: <info> (tun0): device state change: config -> ip-config (reason 'none') [50 70 0]
NetworkManager[556]: <info> Activation (tun0) Stage 5 of 5 (IPv4 Configure Commit) scheduled...
NetworkManager[556]: <info> Activation (tun0) Stage 3 of 5 (IP Configure Start) complete.
NetworkManager[556]: <info> Activation (tun0) Stage 5 of 5 (IPv4 Commit) started...
NetworkManager[556]: <info> (tun0): device state change: ip-config -> ip-check (reason 'none') [70 80 0]
NetworkManager[556]: <info> Activation (tun0) Stage 5 of 5 (IPv4 Commit) complete.
NetworkManager[556]: <info> (tun0): device state change: ip-check -> secondaries (reason 'none') [80 90 0]
NetworkManager[556]: <info> (tun0): device state change: secondaries -> activated (reason 'none') [90 100 0]
NetworkManager[556]: <info> Activation (tun0) successful, device activated.

Мои вопросы:

  1. Таблица маршрутизации корректна? Для меня это выглядит несколько странным из-за двух записей по умолчанию. Кроме того, при записи трафика в общедоступном маршрутизаторе Wi-Fi (использующий tcpdump), не весь трафик направляется по VPN.

  2. Что делает ошибку (ERROR: Linux route add command failed: external program exited with error status: 2) в системном журнале говорят? Это, возможно, conneted к первому вопросу?

Править: Спасибо за ответ, Michal. Для сокращения multicast/local/... трафик, я дополнительно планирую использовать iptables для отбрасывания того трафика, также.

Я пытаюсь использовать правила iptables следующим образом:

#!/bin/bash

GATEWAY="192.168.178.1"

iptables -F

# Allow loopback device (internal communication)
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Allow DHCP communication with gateway
iptables -A INPUT -i wlan0 -p udp -s $GATEWAY/32 --dport 67:68 --sport 67:68 -j ACCEPT
iptables -A OUTPUT -o wlan0 -p udp -d $GATEWAY/32 --dport 67:68 --sport 67:68 -j ACCEPT

# Allow ICMP communication with gateway
iptables -A INPUT -i wlan0 -p icmp -s $GATEWAY/32 -j ACCEPT
iptables -A OUTPUT -o wlan0 -p icmp -d $GATEWAY/32 -j ACCEPT

#Allow VPN establishment
iptables -A OUTPUT -p tcp --dport 1194 -j ACCEPT
iptables -A INPUT -p tcp --sport 1194 -j ACCEPT

#Accept all TUN connections (tun = VPN tunnel)
iptables -A OUTPUT -o tun+ -j ACCEPT
iptables -A INPUT -i tun+ -j ACCEPT

#Set default policies to drop all communication unless specifically allowed
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

IMO, эти правила должны быть достаточными, чтобы присвоить IP шлюзом, установить соединение с сервером OpenVPN и обработать весь трафик по тому соединению. Но, DNS не работает, хотя он, как также предполагается, использует соединение VPN. Почему это не работает?

Следующее редактирование: Настройте локальный сервер имен (dnsmasq) на сервере VPN. Конфигурация сервера, измененная на 

push "dhcp-option DNS 10.11.12.1"

вместо 

push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"

При выполнении dig +short serverfault.com @10.11.12.1 на самом сервере VPN могло успешно быть получено имя хоста. Если команда выполняется на другом хосте, не используя VPN (dig +short stackoverflow.com @X.X.X.X), имя хоста могло также успешно быть получено. Однако, когда команда ist работает на клиенте, подключенном к VPN (dig +short stackoverflow.com @10.11.12.1), сбои команды (;; connection timed out; no servers could be reached). Почему? Iptables установлены ПРИНЯТЬ все.

3
задан 17 May 2015 в 23:50
1 ответ
  1. Таблица маршрутизации выглядит нормально, посмотрите на столбец метрики. Маршрут с наименьшей метрикой будет предпочтительнее. Теперь ваша таблица маршрутизации содержит два маршрута по умолчанию и 10.11.12.13 будет предпочтительнее 192.168.178.1 из-за более низкой метрики. О трафике на физическом интерфейсе; это также нормально, потому что у вас есть службы прослушивания, которые отвечают за широковещательный/многоадресный трафик. Этот трафик не может проходить через VPN-интерфейс. Это также является признаком некоторых приложений, которые используют локальную сеть для ускорения, например: дропбокс, teamviewer, upnp, микрософтовый сетевой район и многие другие функциональные возможности.
  2. Скорее всего, это потому, что в /sbin/route или /usr/sbin/route не было разрешения на что-либо делать, потому что вы использовали директиву в своих конфигурационных файлах, чтобы никому не отказывать в привилегиях службы openvpn, а после переподключения она может кричать о таких вещах. Особенно, когда вы меняете конфигурацию сервера и не перезапускаете клиента вручную с полными привилегиями. Это также нормально.

PS. Если вы используете удалённый с IP-адресом, вам не нужно разрешение-retry-infinite, это не имеет смысла.

EDIT: iptables configuretation Я предполагаю, что это конфигурация iptables от cleint's.

  1. Вам также следует промыть NAT-таблицу:

iptables -F -t nat

  1. Вам не нужны правила для DHCP-связи по двум причинам:
    • DHCP сервисы обычно используют так называемые сырые сокеты, которые не покрываются iptables (последний раз, когда я проверял, dhcpd, dhcpcd использовали его),
    • DHCP механизм реализован в OpenVPN протоколе, поэтому нет никакой реальной DHCP коммуникации, я имею в виду DHCP Rrequest, DHCP offer, DHCP ACK, DHCP Pack.
  2. Использование OpenVPN в TCP режиме - это плохая идея: http://sites.inka.de/bigred/devel/tcp-tcp.html
  3. Пожалуйста, отредактируйте свой вопрос и скажите, если..:
    • способны ли вы пинговать VPN сервер (VPN IP адрес) с клиента (туннельная связь)
    • показать мне netstat -l -u -n -p с сервера (нам нужно знать, прослушивает ли ваш dnsmasq демон на tun интерфейсе),
    • способны ли вы пинговать 8.8.8.8.8 после установки VPN?
2
ответ дан 3 December 2019 в 06:59

Теги

Похожие вопросы