Denuncie   Favoritos   Indicar  

01 02

Porta não libera no iptables fica sempre open|filtered [RESOLVIDO]

1. Porta não libera no iptables fica sempre open|filtered [RESOLVIDO]

Oseias
oseias_rocha
(usa Fedora)

Enviado em 13/05/2018 - 21:27h

Olá gurizada,

Estou precisando liberar a porta 1194 UDP do meu servidor para uma VPN, mas não importa o que eu faça ela sempre aparece open|filtered quando uso nmap. Abaixo minhas configs:
#!/bin/bash



# Interface da Internet:

ifinternet="ens33"

iflocal="ens32"



iptables -F

iptables -F -t nat



#permite roteamento

modprobe iptable_nat

echo 1 > /proc/sys/net/ipv4/ip_forward



#libera internet para as outras placas de rede

iptables -t nat -A POSTROUTING -o $ifinternet -j MASQUERADE



#bloqueia requisição da rede local para internet

iptables -A FORWARD -i $iflocal -o $ifinternet -j DROP



#libera acesso da vpn na rede local

iptables -t nat -A POSTROUTING -s 10.8.0.0/8 -o $ifinternet -j MASQUERADE

#libera porta vpn

#iptables -I INPUT -i $ifinternet -p udp --dport 1194 -j ACCEPT

#iptables -A FORWARD -p udp --dport 1194 -j ACCEPT

#iptables -t nat -I PREROUTING -p udp -i ens33 -m multiport --dport 1194 -j DNAT --to 192.168.0.109

#iptables -t nat -A PREROUTING -i $ifinternet -p udp  -s 0.0.0.0/0 --dport 1194 -d 192.168.0.1 -j DNAT --to 192.168.0.109:1194

#iptables -t nat -A POSTROUTING -s 192.168.0.109 -o $iflocal -p udp --sport 1194 -j SNAT --to 192.168.0.1

#iptables -A OUTPUT -p udp -i ens33 --dport 1194 -s 192.168.0.109 -j ACCEPT

#iptables -A INPUT -p udp --dport 1194 -j ACCEPT

#iptables -A FORWARD -i tun0 -o $ifinternet -j ACCEPT

#iptables -A FORWARD -i tun0 -o $iflocal -j ACCEPT

#iptables -A INPUT -p udp -i $ifinternet --dport 1194 -j ACCEPT



#testes

#iptables -t filter -A INPUT -p udp --dport 1194 -j ACCEPT

#iptables -t filter -A FORWARD -p udp -s 192.168.2.0/24 --dport 1194 -j ACCEPT

#iptables -t filter -A FORWARD -p udp -d 192.168.2.0/24 --sport 1194 -j ACCEPT

#iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -d 10.8.0.0/8 -j ACCEPT

#iptables -t nat -A POSTROUTING -d 192.168.2.0/24 -s 10.8.0.0/8 -j ACCEPT

#iptables -t nat -I POSTROUTING -s 10.8.0.0/8 -o eth1 -j MASQUERADE

iptables -t nat -p udp -I PREROUTING -s 0/0 -d 192.168.0.109 --dport 1194 -j DNAT --to 192.168.2.1

iptables -I FORWARD -p udp --dport 1194 -j ACCEPT

Tudo isso que está comentado eu já tentei usar e nada, as últimas duas linhas que não estão comentadas são as últimas que testei, também sem sucesso.
Para esclarecimentos, a rede 192.168.0.0/24 é a rede entre modem/roteador e o servidor e a rede 192.168.2.0/24 é a rede interna após o servidor.

0 0
  • Quote

    •   


    2. Re: Porta não libera no iptables fica sempre open|filtered [RESOLVIDO]

    Bruno Thomaz
    SarusKant
    (usa CentOS)

    Enviado em 13/05/2018 - 22:25h

    Errada
    iptables -t nat -p udp -I PREROUTING -s 0/0 -d 192.168.0.109 --dport 1194 -j DNAT --to 192.168.2.1

    Certa
    iptables -t nat -A PREROUTING -p udp -s 0/0 -d 192.168.0.109 --dport 1194 -j DNAT --to 192.168.2.1
    --
    Bruno Thomaz

    0 0
  • Quote

    • 3. Re: Porta não libera no iptables fica sempre open|filtered [RESOLVIDO]

    Oseias
    oseias_rocha
    (usa Fedora)

    Enviado em 13/05/2018 - 22:45h

    SarusKant escreveu:

    Errada
    iptables -t nat -p udp -I PREROUTING -s 0/0 -d 192.168.0.109 --dport 1194 -j DNAT --to 192.168.2.1

    Certa
    iptables -t nat -A PREROUTING -p udp -s 0/0 -d 192.168.0.109 --dport 1194 -j DNAT --to 192.168.2.1
    --
    Bruno Thomaz




    Tentei a tua sugestão, mas infelizmente continuo sem acesso, as configs no modem estão ok, pq o SSH funciona.
    Tens mais alguma sugestão, amigo?

    0 0
  • Quote

    • 4. Re: Porta não libera no iptables fica sempre open|filtered

    Leandro Silva
    LSSilva
    (usa Outra)

    Enviado em 13/05/2018 - 23:22h

    Ozzy_rocha escreveu:

    Olá gurizada,

    Estou precisando liberar a porta 1194 UDP do meu servidor para uma VPN, mas não importa o que eu faça ela sempre aparece open|filtered quando uso nmap. Abaixo minhas configs:
    #!/bin/bash
    

    
# Interface da Internet:
    
ifinternet="ens33"
    
iflocal="ens32"
    

    
iptables -F
    
iptables -F -t nat
    

    
#permite roteamento
    
modprobe iptable_nat
    
echo 1 > /proc/sys/net/ipv4/ip_forward
    

    
#libera internet para as outras placas de rede
    
iptables -t nat -A POSTROUTING -o $ifinternet -j MASQUERADE
    

    
#bloqueia requisição da rede local para internet
    
iptables -A FORWARD -i $iflocal -o $ifinternet -j DROP
    

    
#libera acesso da vpn na rede local
    
iptables -t nat -A POSTROUTING -s 10.8.0.0/8 -o $ifinternet -j MASQUERADE
    
#libera porta vpn
    
#iptables -I INPUT -i $ifinternet -p udp --dport 1194 -j ACCEPT
    
#iptables -A FORWARD -p udp --dport 1194 -j ACCEPT
    
#iptables -t nat -I PREROUTING -p udp -i ens33 -m multiport --dport 1194 -j DNAT --to 192.168.0.109
    
#iptables -t nat -A PREROUTING -i $ifinternet -p udp  -s 0.0.0.0/0 --dport 1194 -d 192.168.0.1 -j DNAT --to 192.168.0.109:1194
    
#iptables -t nat -A POSTROUTING -s 192.168.0.109 -o $iflocal -p udp --sport 1194 -j SNAT --to 192.168.0.1
    
#iptables -A OUTPUT -p udp -i ens33 --dport 1194 -s 192.168.0.109 -j ACCEPT
    
#iptables -A INPUT -p udp --dport 1194 -j ACCEPT
    
#iptables -A FORWARD -i tun0 -o $ifinternet -j ACCEPT
    
#iptables -A FORWARD -i tun0 -o $iflocal -j ACCEPT
    
#iptables -A INPUT -p udp -i $ifinternet --dport 1194 -j ACCEPT
    

    
#testes
    
#iptables -t filter -A INPUT -p udp --dport 1194 -j ACCEPT
    
#iptables -t filter -A FORWARD -p udp -s 192.168.2.0/24 --dport 1194 -j ACCEPT
    
#iptables -t filter -A FORWARD -p udp -d 192.168.2.0/24 --sport 1194 -j ACCEPT
    
#iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -d 10.8.0.0/8 -j ACCEPT
    
#iptables -t nat -A POSTROUTING -d 192.168.2.0/24 -s 10.8.0.0/8 -j ACCEPT
    
#iptables -t nat -I POSTROUTING -s 10.8.0.0/8 -o eth1 -j MASQUERADE
    
iptables -t nat -p udp -I PREROUTING -s 0/0 -d 192.168.0.109 --dport 1194 -j DNAT --to 192.168.2.1
    
iptables -I FORWARD -p udp --dport 1194 -j ACCEPT

    Tudo isso que está comentado eu já tentei usar e nada, as últimas duas linhas que não estão comentadas são as últimas que testei, também sem sucesso.
    Para esclarecimentos, a rede 192.168.0.0/24 é a rede entre modem/roteador e o servidor e a rede 192.168.2.0/24 é a rede interna após o servidor.


    Boa noite!
    Me diga uma coisa... A VPN fica no servidor ou em outro host da rede?
    Pois se fica no servidor onde está o firewall, o correto seria:
    iptables -A INPUT -i $ifinternet -p udp --dport 1194 -m state --state NEW --j ACCEPT

    Se fica em outra máquina da rede (essas requisições de conexão para VPN virão de fora, certo?):
    iptables -t nat -A PREROUTING -i $ifinternet -p udp --dport 1194 -j DNAT --to-dest 192.168.2.1

    E na máquina onde está a VPN terá que adicionar no firewall:
    iptables -A INPUT -p udp --dport 1194 -j ACCEPT

    Antes disso:
    #bloqueia requisição da rede local para internet
    
iptables -A FORWARD -i $iflocal -o $ifinternet -j DROP

    Terá de adicionar:

    
iptables -A FORWARD -i $ifinternet -p udp --dport 1194 -j ACCEPT


    Assumindo com isso tudo que existe direcionamento de porta (1194 udp) do modem para o servidor ou DMZ para o mesmo.

    0 0
  • Quote

    • 5. Re: Porta não libera no iptables fica sempre open|filtered [RESOLVIDO]

    Oseias
    oseias_rocha
    (usa Fedora)

    Enviado em 13/05/2018 - 23:37h

    LSSilva escreveu:

    Ozzy_rocha escreveu:

    Olá gurizada,

    Estou precisando liberar a porta 1194 UDP do meu servidor para uma VPN, mas não importa o que eu faça ela sempre aparece open|filtered quando uso nmap. Abaixo minhas configs:
    #!/bin/bash
    

    
# Interface da Internet:
    
ifinternet="ens33"
    
iflocal="ens32"
    

    
iptables -F
    
iptables -F -t nat
    

    
#permite roteamento
    
modprobe iptable_nat
    
echo 1 > /proc/sys/net/ipv4/ip_forward
    

    
#libera internet para as outras placas de rede
    
iptables -t nat -A POSTROUTING -o $ifinternet -j MASQUERADE
    

    
#bloqueia requisição da rede local para internet
    
iptables -A FORWARD -i $iflocal -o $ifinternet -j DROP
    

    
#libera acesso da vpn na rede local
    
iptables -t nat -A POSTROUTING -s 10.8.0.0/8 -o $ifinternet -j MASQUERADE
    
#libera porta vpn
    
#iptables -I INPUT -i $ifinternet -p udp --dport 1194 -j ACCEPT
    
#iptables -A FORWARD -p udp --dport 1194 -j ACCEPT
    
#iptables -t nat -I PREROUTING -p udp -i ens33 -m multiport --dport 1194 -j DNAT --to 192.168.0.109
    
#iptables -t nat -A PREROUTING -i $ifinternet -p udp  -s 0.0.0.0/0 --dport 1194 -d 192.168.0.1 -j DNAT --to 192.168.0.109:1194
    
#iptables -t nat -A POSTROUTING -s 192.168.0.109 -o $iflocal -p udp --sport 1194 -j SNAT --to 192.168.0.1
    
#iptables -A OUTPUT -p udp -i ens33 --dport 1194 -s 192.168.0.109 -j ACCEPT
    
#iptables -A INPUT -p udp --dport 1194 -j ACCEPT
    
#iptables -A FORWARD -i tun0 -o $ifinternet -j ACCEPT
    
#iptables -A FORWARD -i tun0 -o $iflocal -j ACCEPT
    
#iptables -A INPUT -p udp -i $ifinternet --dport 1194 -j ACCEPT
    

    
#testes
    
#iptables -t filter -A INPUT -p udp --dport 1194 -j ACCEPT
    
#iptables -t filter -A FORWARD -p udp -s 192.168.2.0/24 --dport 1194 -j ACCEPT
    
#iptables -t filter -A FORWARD -p udp -d 192.168.2.0/24 --sport 1194 -j ACCEPT
    
#iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -d 10.8.0.0/8 -j ACCEPT
    
#iptables -t nat -A POSTROUTING -d 192.168.2.0/24 -s 10.8.0.0/8 -j ACCEPT
    
#iptables -t nat -I POSTROUTING -s 10.8.0.0/8 -o eth1 -j MASQUERADE
    
iptables -t nat -p udp -I PREROUTING -s 0/0 -d 192.168.0.109 --dport 1194 -j DNAT --to 192.168.2.1
    
iptables -I FORWARD -p udp --dport 1194 -j ACCEPT

    Tudo isso que está comentado eu já tentei usar e nada, as últimas duas linhas que não estão comentadas são as últimas que testei, também sem sucesso.
    Para esclarecimentos, a rede 192.168.0.0/24 é a rede entre modem/roteador e o servidor e a rede 192.168.2.0/24 é a rede interna após o servidor.


    Boa noite!
    Me diga uma coisa... A VPN fica no servidor ou em outro host da rede?
    Pois se fica no servidor onde está o firewall, o correto seria:
    iptables -A INPUT -i $ifinternet -p udp --dport 1194 -m state --state NEW --j ACCEPT

    Se fica em outra máquina da rede (essas requisições de conexão para VPN virão de fora, certo?):
    iptables -t nat -A PREROUTING -i $ifinternet -p udp --dport 1194 -j DNAT --to-dest 192.168.2.1

    E na máquina onde está a VPN terá que adicionar no firewall:
    iptables -A INPUT -p udp --dport 1194 -j ACCEPT

    Antes disso:
    #bloqueia requisição da rede local para internet
    
iptables -A FORWARD -i $iflocal -o $ifinternet -j DROP

    Terá de adicionar:

    
iptables -A FORWARD -i $ifinternet -p udp --dport 1194 -j ACCEPT


    Assumindo com isso tudo que existe direcionamento de porta (1194 udp) do modem para o servidor ou DMZ para o mesmo.


    Boa noite!
    Sim a VPN roda no mesmo servidor firewall e vai ser acessada pela internet e o direcionamento das portas no modem estão corretas, pois funcionam para o SSH, só repliquei alterando a porta e o protocolo para UDP.

    Alterei a linha:
    iptables -t nat -p udp -I PREROUTING -s 0/0 -d 192.168.0.109 --dport 1194 -j DNAT --to 192.168.2.1

    Por:
    iptables -A INPUT -i $ifinternet -p udp --dport 1194 -m state --state NEW --j ACCEPT

    E coloquei a regra:
    iptables -A FORWARD -i $ifinternet -p udp --dport 1194 -j ACCEPT

    Antes de:
    #bloqueia requisição da rede local para internet
    
iptables -A FORWARD -i $iflocal -o $ifinternet -j DROP


    Porém continuo sem conexão pela VPN e no NMAP me mostra a porta como open|filtered ainda :(

    0 0
  • Quote

    • 6. Re: Porta não libera no iptables fica sempre open|filtered

    Leandro Silva
    LSSilva
    (usa Outra)

    Enviado em 13/05/2018 - 23:47h

    Se a VPN está no server onde está o firewall, deverá fazer:


    
#!/bin/bash
    

    
# Interface da Internet:
    
ifinternet="ens33"
    
iflocal="ens32"
    

    
iptables -F
    
iptables -F -t nat
    

    
#permite roteamento
    
modprobe iptable_nat
    
echo 1 > /proc/sys/net/ipv4/ip_forward
    

    
#libera internet para as outras placas de rede
    
iptables -t nat -A POSTROUTING -o $ifinternet -j MASQUERADE
    

    
#bloqueia requisição da rede local para internet
    
iptables -A FORWARD -i $iflocal -o $ifinternet -j DROP
    

    
#libera acesso da vpn na rede local
    
iptables -t nat -A POSTROUTING -s 10.8.0.0/8 -o $ifinternet -j MASQUERADE
    

    
#libera porta vpn
    
iptables -I INPUT -i $ifinternet -p udp --dport 1194 -j ACCEPT


    Tenta só com isso.
    Parece bobo, porém certifica que o openvpn vai rodar. Uma vez tive que reinicializar a máquina para que algumas alterações vigorassem (parece ilógico, né?!), se ele não estiver rodando, tenta forçar a inicialização destacando o arquivo de configuração.

    Se a VPN é local no server, não deve adicionar regra na table NAT->PREROUTING utilizando a mesma porta, pois dessa forma nunca chegará ao processo local da máquina (VPN).

    0 0
  • Quote

    • 7. Re: Porta não libera no iptables fica sempre open|filtered [RESOLVIDO]

    Oseias
    oseias_rocha
    (usa Fedora)

    Enviado em 13/05/2018 - 23:59h

    LSSilva escreveu:

    Se a VPN está no server onde está o firewall, deverá fazer:


    
#!/bin/bash
    

    
# Interface da Internet:
    
ifinternet="ens33"
    
iflocal="ens32"
    

    
iptables -F
    
iptables -F -t nat
    

    
#permite roteamento
    
modprobe iptable_nat
    
echo 1 > /proc/sys/net/ipv4/ip_forward
    

    
#libera internet para as outras placas de rede
    
iptables -t nat -A POSTROUTING -o $ifinternet -j MASQUERADE
    

    
#bloqueia requisição da rede local para internet
    
iptables -A FORWARD -i $iflocal -o $ifinternet -j DROP
    

    
#libera acesso da vpn na rede local
    
iptables -t nat -A POSTROUTING -s 10.8.0.0/8 -o $ifinternet -j MASQUERADE
    

    
#libera porta vpn
    
iptables -I INPUT -i $ifinternet -p udp --dport 1194 -j ACCEPT


    Tenta só com isso.
    Parece bobo, porém certifica que o openvpn vai rodar. Uma vez tive que reinicializar a máquina para que algumas alterações vigorassem (parece ilógico, né?!), se ele não estiver rodando, tenta forçar a inicialização destacando o arquivo de configuração.

    Se a VPN é local no server, não deve adicionar regra na table NAT->PREROUTING utilizando a mesma porta, pois dessa forma ela nunca passará do primeiro routing decision e consequentemente, nunca chegará ao processo local da máquina (VPN).


    Tentei, amigo, sem sucesso também :(
    Pra desencargo de consciência cheguei a rebootar o servidor e colocar o kernel que veio no Ubuntu 16.04 LTS e não o atual(vai que!?), mas de nada adiantou.
    Estou me sentindo mal comigo mesmo, pq consegui fazer um squidssl + squidguard funcionarem lindamente para a rede, não tem um SSL que escape, mas não consigo liberar uma mísera porta kkk, já não sei mais o que fazer!!!

    0 0
  • Quote

    • 8. Re: Porta não libera no iptables fica sempre open|filtered [RESOLVIDO]

    Leandro Silva
    LSSilva
    (usa Outra)

    Enviado em 14/05/2018 - 00:05h

    Nesse caso, imagino que o problema não está na liberação da porta, que aparentemente está sendo feita corretamente, porém no OpenVpn, se tentar conectar em rede local ele conecta? Faz uma coisa: loga os pacotes que chegam na porta 1194.
    Antes de liberar ela, adicione:
    iptables -A INPUT -i $ifinternet -p udp --dport 1194 -j LOG --log-prefix "Firewall  VPN (Entrada)   "

    Dessa forma, poderá ver se os pacotes chegam ao server com o comando:
    tail /var/log/messages -n 200 | grep VPN


    Imagino que é, ou Openvpn, ou alguma configuração no teu modem.


    0 0
  • Quote

    • 9. Re: Porta não libera no iptables fica sempre open|filtered [RESOLVIDO]

    Oseias
    oseias_rocha
    (usa Fedora)

    Enviado em 14/05/2018 - 00:14h

    LSSilva escreveu:

    Nesse caso, imagino que o problema não está na liberação da porta, que aparentemente está sendo feita corretamente, porém no OpenVpn, se tentar conectar em rede local ele conecta? Faz uma coisa: loga os pacotes que chegam na porta 1194.
    Antes de liberar ela, adicione:
    iptables -A INPUT -i $ifinternet -p udp --dport 1194 -j LOG --log-prefix "Firewall  VPN (Entrada)   "

    Dessa forma, poderá ver se os pacotes chegam ao server com o comando:
    tail /var/log/messages -n 200 | grep VPN


    Imagino que é, ou Openvpn, ou alguma configuração no teu modem.


    Fiz o que disse, amigo, porém não existe o /var/log/messages no meu server, somente o syslog, mas acredito que não seja problema. Resultado abaixo:
    # tail /var/log/syslog -n 200 | grep vpn
    May 13 23:53:37 server ovpn-server[948]: OpenVPN 2.3.10 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [MH] [IPv6] built on Jun 22 2017
    May 13 23:53:37 server ovpn-server[948]: library versions: OpenSSL 1.0.2g 1 Mar 2016, LZO 2.08
    May 13 23:53:37 server systemd[1]: openvpn@server.service: Failed to read PID from file /run/openvpn/server.pid: Invalid argument
    May 13 23:53:37 server ovpn-server[1022]: Diffie-Hellman initialized with 2048 bit key
    May 13 23:53:37 server ovpn-server[1022]: Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
    May 13 23:53:37 server ovpn-server[1022]: Outgoing Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
    May 13 23:53:37 server ovpn-server[1022]: Incoming Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
    May 13 23:53:37 server ovpn-server[1022]: Socket Buffers: R=[212992->212992] S=[212992->212992]
    May 13 23:53:37 server ovpn-server[1022]: ROUTE: default_gateway=UNDEF
    May 13 23:53:37 server ovpn-server[1022]: TUN/TAP device tun0 opened
    May 13 23:53:37 server ovpn-server[1022]: TUN/TAP TX queue length set to 100
    May 13 23:53:37 server ovpn-server[1022]: do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
    May 13 23:53:37 server ovpn-server[1022]: /sbin/ip link set dev tun0 up mtu 1500
    May 13 23:53:37 server ovpn-server[1022]: /sbin/ip addr add dev tun0 local 10.8.0.1 peer 10.8.0.2
    May 13 23:53:37 server ovpn-server[1022]: /sbin/ip route add 10.8.0.0/24 via 10.8.0.2
    May 13 23:53:37 server ovpn-server[1022]: GID set to nogroup
    May 13 23:53:37 server ovpn-server[1022]: UID set to nobody
    May 13 23:53:37 server ovpn-server[1022]: UDPv4 link local (bound): [undef]
    May 13 23:53:37 server ovpn-server[1022]: UDPv4 link remote: [undef]
    May 13 23:53:37 server ovpn-server[1022]: MULTI: multi_init called, r=256 v=256
    May 13 23:53:37 server ovpn-server[1022]: IFCONFIG POOL: base=10.8.0.4 size=62, ipv6=0
    May 13 23:53:37 server ovpn-server[1022]: IFCONFIG POOL LIST
    May 13 23:53:37 server ovpn-server[1022]: Initialization Sequence Completed


    0 0
  • Quote

    • 10. Re: Porta não libera no iptables fica sempre open|filtered

    Oseias
    oseias_rocha
    (usa Fedora)

    Enviado em 14/05/2018 - 00:26h

    Ozzy_rocha escreveu:

    LSSilva escreveu:

    Nesse caso, imagino que o problema não está na liberação da porta, que aparentemente está sendo feita corretamente, porém no OpenVpn, se tentar conectar em rede local ele conecta? Faz uma coisa: loga os pacotes que chegam na porta 1194.
    Antes de liberar ela, adicione:
    iptables -A INPUT -i $ifinternet -p udp --dport 1194 -j LOG --log-prefix "Firewall  VPN (Entrada)   "

    Dessa forma, poderá ver se os pacotes chegam ao server com o comando:
    tail /var/log/messages -n 200 | grep VPN


    Imagino que é, ou Openvpn, ou alguma configuração no teu modem.


    Fiz o que disse, amigo, porém não existe o /var/log/messages no meu server, somente o syslog, mas acredito que não seja problema. Resultado abaixo:
    # tail /var/log/syslog -n 200 | grep vpn
    May 13 23:53:37 server ovpn-server[948]: OpenVPN 2.3.10 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [MH] [IPv6] built on Jun 22 2017
    May 13 23:53:37 server ovpn-server[948]: library versions: OpenSSL 1.0.2g 1 Mar 2016, LZO 2.08
    May 13 23:53:37 server systemd[1]: openvpn@server.service: Failed to read PID from file /run/openvpn/server.pid: Invalid argument
    May 13 23:53:37 server ovpn-server[1022]: Diffie-Hellman initialized with 2048 bit key
    May 13 23:53:37 server ovpn-server[1022]: Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
    May 13 23:53:37 server ovpn-server[1022]: Outgoing Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
    May 13 23:53:37 server ovpn-server[1022]: Incoming Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
    May 13 23:53:37 server ovpn-server[1022]: Socket Buffers: R=[212992->212992] S=[212992->212992]
    May 13 23:53:37 server ovpn-server[1022]: ROUTE: default_gateway=UNDEF
    May 13 23:53:37 server ovpn-server[1022]: TUN/TAP device tun0 opened
    May 13 23:53:37 server ovpn-server[1022]: TUN/TAP TX queue length set to 100
    May 13 23:53:37 server ovpn-server[1022]: do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
    May 13 23:53:37 server ovpn-server[1022]: /sbin/ip link set dev tun0 up mtu 1500
    May 13 23:53:37 server ovpn-server[1022]: /sbin/ip addr add dev tun0 local 10.8.0.1 peer 10.8.0.2
    May 13 23:53:37 server ovpn-server[1022]: /sbin/ip route add 10.8.0.0/24 via 10.8.0.2
    May 13 23:53:37 server ovpn-server[1022]: GID set to nogroup
    May 13 23:53:37 server ovpn-server[1022]: UID set to nobody
    May 13 23:53:37 server ovpn-server[1022]: UDPv4 link local (bound): [undef]
    May 13 23:53:37 server ovpn-server[1022]: UDPv4 link remote: [undef]
    May 13 23:53:37 server ovpn-server[1022]: MULTI: multi_init called, r=256 v=256
    May 13 23:53:37 server ovpn-server[1022]: IFCONFIG POOL: base=10.8.0.4 size=62, ipv6=0
    May 13 23:53:37 server ovpn-server[1022]: IFCONFIG POOL LIST
    May 13 23:53:37 server ovpn-server[1022]: Initialization Sequence Completed


    Achei o problema no OpenVPN, amigo, agora o log está assim:
    May 14 00:23:40 server ovpn-server[1809]: OpenVPN 2.3.10 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [MH] [IPv6] built on Jun 22 2017
    
May 14 00:23:40 server ovpn-server[1809]: library versions: OpenSSL 1.0.2g  1 Mar 2016, LZO 2.08
    
May 14 00:23:40 server ovpn-server[1813]: NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x.  Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
    
May 14 00:23:40 server ovpn-server[1813]: Diffie-Hellman initialized with 2048 bit key
    
May 14 00:23:40 server ovpn-server[1813]: Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
    
May 14 00:23:40 server ovpn-server[1813]: Outgoing Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
    
May 14 00:23:40 server ovpn-server[1813]: Incoming Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
    
May 14 00:23:40 server ovpn-server[1813]: Socket Buffers: R=[212992->212992] S=[212992->212992]
    
May 14 00:23:40 server ovpn-server[1813]: ROUTE_GATEWAY 192.168.0.1/255.255.255.0 IFACE=ens33 HWADDR=7c:8b:ca:02:51:b8
    
May 14 00:23:40 server ovpn-server[1813]: TUN/TAP device tun0 opened
    
May 14 00:23:40 server ovpn-server[1813]: TUN/TAP TX queue length set to 100
    
May 14 00:23:40 server ovpn-server[1813]: do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
    
May 14 00:23:40 server ovpn-server[1813]: /sbin/ip link set dev tun0 up mtu 1500
    
May 14 00:23:40 server ovpn-server[1813]: /sbin/ip addr add dev tun0 local 10.8.0.1 peer 10.8.0.2
    
May 14 00:23:40 server ovpn-server[1813]: /sbin/ip route add 10.8.0.0/24 via 10.8.0.2
    
May 14 00:23:40 server ovpn-server[1813]: GID set to nogroup
    
May 14 00:23:40 server ovpn-server[1813]: UID set to nobody
    
May 14 00:23:40 server ovpn-server[1813]: UDPv4 link local (bound): [undef]
    
May 14 00:23:40 server ovpn-server[1813]: UDPv4 link remote: [undef]
    
May 14 00:23:40 server ovpn-server[1813]: MULTI: multi_init called, r=256 v=256
    
May 14 00:23:40 server ovpn-server[1813]: IFCONFIG POOL: base=10.8.0.4 size=62, ipv6=0
    
May 14 00:23:40 server ovpn-server[1813]: IFCONFIG POOL LIST
    
May 14 00:23:40 server ovpn-server[1813]: Initialization Sequence Completed

    Porém, continuo sem acesso :(
    Para que não haja dúvidas, o erro que recebo no cliente é de TLS key negotiation failed e TLS handshake failed.

    0 0
  • Quote

    • 11. Re: Porta não libera no iptables fica sempre open|filtered [RESOLVIDO]

    Leandro Silva
    LSSilva
    (usa Outra)

    Enviado em 14/05/2018 - 21:00h

    É, esse erro pode ser dar por conexão também. Como está seu script de firewall agora? E em rede local? Consegue conectar no OVPN?

    0 0
  • Quote

    • 12. Re: Porta não libera no iptables fica sempre open|filtered [RESOLVIDO]

    Oseias
    oseias_rocha
    (usa Fedora)

    Enviado em 15/05/2018 - 10:26h

    LSSilva escreveu:

    É, esse erro pode ser dar por conexão também. Como está seu script de firewall agora? E em rede local? Consegue conectar no OVPN?


    Em rede local não tentei, e agora complica um pouco mais, pois o server já está em produção. O script de firewall está exatamente como tu sugeriu.
    Vou mexer mais nisso hj à noite.

    0 0
  • Quote


    • 01 02



    Patrocínio

    Site hospedado pelo provedor RedeHost.
    Linux banner

    Destaques

    Artigos

    Compartilhando a tela do Computador no Celular via Deskreen

    Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota

    Configuração para desligamento automatizado de Computadores em um Ambiente Comercial

    O mínimo que você precisa saber sobre o terminal (parte 2)

    O mínimo que você precisa saber sobre o terminal (parte 1)

    Dicas

    Como renomear arquivos de letras maiúsculas para minúsculas

    Imprimindo no formato livreto no Linux

    Vim - incrementando números em substituição

    Efeito "livro" em arquivos PDF

    Como resolver o erro no CUPS: Unable to get list of printer drivers

    Tópicos

    Não to conseguindo resolver este problemas ao instalar o playonelinux (1)

    Excluir banco de dados no xampp (1)

    phpmyadmin não abre no xampp (2)

    Ubuntu não sai som (0)

    KeepOS Não consigo usar o comando sudo. (4)

    Top 10 do mês

    Scripts

    [Python] Automação de scan de vulnerabilidades

    [Python] Script para analise de superficie de ataque

    [Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem

    [Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)

    [Shell Script] Script para adicionar bordas às imagens de uma pasta

    A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

    Site hospedado por: