OpenVPN в docker контейнере-подключение снаружи

0

2

Успешно запущен docker контейнер с OpenVPN:

# docker ps
CONTAINER ID        IMAGE                    COMMAND                  CREATED              STATUS                          PORTS                    NAMES
5eeb8d1226e9        kylemanna/openvpn        "ovpn_run"               26 hours ago         Up 3 seconds                    0.0.0.0:1194->1194/udp   openvpn

Экспортировал клиентский сертификат в client-1.ovpn файл, но когда пытаюсь снаружи подключаться:

% sudo openvpn client-1.ovpn 
[sudo] пароль для root: 
Thu Dec  6 13:34:34 2018 OpenVPN 2.4.3 x86_64-suse-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Jun 20 2017
Thu Dec  6 13:34:34 2018 library versions: OpenSSL 1.1.0i-fips  14 Aug 2018, LZO 2.10
Thu Dec  6 13:34:34 2018 TCP/UDP: Preserving recently used remote address: [AF_INET]внешний_ip_сервера_с_OpenVPN:1194
Thu Dec  6 13:34:34 2018 UDP link local: (not bound)
Thu Dec  6 13:34:34 2018 UDP link remote: [AF_INET]внешний_ip_сервера_с_OpenVPN:1194

и висит, ничего не происходит...

Ссылка

←	Оптимизация работы PostgreSQL 9.6

Рассылка алертов из grafana через proxy

→

Смотри tcpdump-ом, что с пакетами.

// Всегда было интересно: зачем использовать докер для чего-то долгоживущего?

XMs ★★★★★
(06.12.18 14:40:00 MSK)
Последнее исправление: XMs 06.12.18 14:40:07 MSK (всего исправлений: 1)

Ответ на: комментарий от XMs 06.12.18 14:40:00 MSK

на удаленном сервере с OpenVPN или откуда пытаюсь подключиться?

gigantischer ★
(06.12.18 14:42:50 MSK) автор топика

Ответ на: комментарий от gigantischer 06.12.18 14:42:50 MSK

В логе контейнера:

# docker logs openvpn
Running 'openvpn --config /etc/openvpn/openvpn.conf --client-config-dir /etc/openvpn/ccd --crl-verify /etc/openvpn/crl.pem '
Thu Dec  6 11:30:22 2018 OpenVPN 2.4.6 x86_64-alpine-linux-musl [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD] built on Jul  8 2018
Thu Dec  6 11:30:22 2018 library versions: LibreSSL 2.7.4, LZO 2.10
Thu Dec  6 11:30:22 2018 Diffie-Hellman initialized with 2048 bit key
Thu Dec  6 11:30:22 2018 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Dec  6 11:30:22 2018 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Dec  6 11:30:22 2018 ROUTE_GATEWAY 172.19.0.1/255.255.0.0 IFACE=eth0 HWADDR=02:42:ac:13:00:02
Thu Dec  6 11:30:22 2018 TUN/TAP device tun0 opened
Thu Dec  6 11:30:22 2018 TUN/TAP TX queue length set to 100
Thu Dec  6 11:30:22 2018 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Thu Dec  6 11:30:22 2018 /sbin/ip link set dev tun0 up mtu 1500
Thu Dec  6 11:30:22 2018 /sbin/ip addr add dev tun0 local 192.168.255.1 peer 192.168.255.2
Thu Dec  6 11:30:22 2018 /sbin/ip route add 192.168.254.0/24 via 192.168.255.2
Thu Dec  6 11:30:22 2018 /sbin/ip route add 192.168.255.0/24 via 192.168.255.2
Thu Dec  6 11:30:22 2018 Could not determine IPv4/IPv6 protocol. Using AF_INET
Thu Dec  6 11:30:22 2018 Socket Buffers: R=[212992->212992] S=[212992->212992]
Thu Dec  6 11:30:22 2018 UDPv4 link local (bound): [AF_INET][undef]:1194
Thu Dec  6 11:30:22 2018 UDPv4 link remote: [AF_UNSPEC]
Thu Dec  6 11:30:22 2018 GID set to nogroup
Thu Dec  6 11:30:22 2018 UID set to nobody
Thu Dec  6 11:30:22 2018 MULTI: multi_init called, r=256 v=256
Thu Dec  6 11:30:22 2018 IFCONFIG POOL: base=192.168.255.4 size=62, ipv6=0
Thu Dec  6 11:30:22 2018 Initialization Sequence Completed

gigantischer ★
(06.12.18 14:43:50 MSK) автор топика

Ответ на: комментарий от gigantischer 06.12.18 14:42:50 MSK

И там, и там, и ещё в самом докере

XMs ★★★★★
(06.12.18 14:45:24 MSK)

Ссылка

Ответ на: комментарий от gigantischer 06.12.18 14:43:50 MSK

Пока что выглядит так, будто пакеты не доходят

XMs ★★★★★
(06.12.18 14:45:55 MSK)

Ссылка

Ответ на: комментарий от XMs 06.12.18 14:40:00 MSK

А для чего еще его использовать, кроме как сервисы под ним гонять? Ну, билды да, живут не больше пары суток, а всякие веб-морды и прочие сервисы годами живут.

slapin ★★★★★
(06.12.18 14:47:36 MSK)

Ради лулзов покажи еще
netstat -ntlp|grep 1194

Deleted
(06.12.18 14:49:25 MSK)

Ответ на: комментарий от slapin 06.12.18 14:47:36 MSK

А для чего еще его использовать, кроме как сервисы под ним гонять?

CI.

а всякие веб-морды и прочие сервисы годами живут

Вот именно. А ты их в докере пускать собрался. Хочешь, чтобы твоим серваком любой желающий воспользовался? Почитай, сколько в нём (точнее, в образах на докерхабе) всевозможных уязвимостей и как долго они остаются незакрытыми

XMs ★★★★★
(06.12.18 15:03:51 MSK)

firewall открыт для этого порта ?

~~Jopich1~~ ☆
(06.12.18 15:12:04 MSK)

Ответ на: комментарий от XMs 06.12.18 15:03:51 MSK

в образах на докерхабе

Ну камон, не собираешь сам образы для прода - ССЗБ.

Deleted
(06.12.18 15:12:29 MSK)

Ответ на: комментарий от Deleted 06.12.18 15:12:29 MSK

Это так надо ежедневно образ готовить, чтобы обновления безопасности накатывать. А тут уже поневоле задумаешься, не проще ли в KVM виртуалку нормальную запустить

XMs ★★★★★
(06.12.18 15:14:39 MSK)

Ответ на: комментарий от Deleted 06.12.18 14:49:25 MSK

пустой вывод и внутри докер контейнера openvpn и на самом хосте удаленном...

gigantischer ★
(06.12.18 15:18:43 MSK) автор топика

Ответ на: комментарий от gigantischer 06.12.18 15:18:43 MSK

но зато внутри контейнера присутствует команда:

bash-4.4# ps ax
PID   USER     TIME  COMMAND
    1 nobody    0:00 openvpn --config /etc/openvpn/openvpn.conf --client-config-dir /etc/openvpn/ccd --crl-verify /etc/openvpn/crl.pem

gigantischer ★
(06.12.18 15:20:30 MSK) автор топика

Ссылка

Ответ на: комментарий от XMs 06.12.18 15:14:39 MSK

Поставь в CI ежедневную пересборку корневого образа с java/php/whateveryouneed, паблиши ее локально с тегом из мажорной версии, не знай бед. Ну это при условии частых релизов, нет частых релизов, выкинь докер.

Deleted
(06.12.18 15:20:41 MSK)

Ответ на: комментарий от gigantischer 06.12.18 15:18:43 MSK

Сорян.
netstat -nulp|grep 1194

Deleted
(06.12.18 15:22:05 MSK)
Последнее исправление: Deleted 06.12.18 15:24:26 MSK (всего исправлений: 2)

Ответ на: комментарий от Jopich1 06.12.18 15:12:04 MSK

вроде как открыт:

# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy DROP)
target     prot opt source               destination         
DOCKER-ISOLATION  all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
DOCKER     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
DOCKER     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
DOCKER     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain DOCKER (3 references)
target     prot opt source               destination         
ACCEPT     udp  --  0.0.0.0/0            172.19.0.2           udp dpt:1194

Chain DOCKER-ISOLATION (1 references)
target     prot opt source               destination         
DROP       all  --  0.0.0.0/0            0.0.0.0/0           
DROP       all  --  0.0.0.0/0            0.0.0.0/0           
DROP       all  --  0.0.0.0/0            0.0.0.0/0           
DROP       all  --  0.0.0.0/0            0.0.0.0/0           
DROP       all  --  0.0.0.0/0            0.0.0.0/0           
DROP       all  --  0.0.0.0/0            0.0.0.0/0           
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

gigantischer ★
(06.12.18 15:22:50 MSK) автор топика

Ссылка

Ответ на: комментарий от Deleted 06.12.18 15:20:41 MSK

пересборку корневого образа

Но зачем, если можно с тем же успехом просто деплоить на сервак готовый пакет, который будет учтён пакетным менеджером?

// Что-то мы оффтопим

XMs ★★★★★
(06.12.18 15:24:57 MSK)

Ссылка

Ответ на: комментарий от Deleted 06.12.18 15:22:05 MSK

на удаленном хосте (с серверной частью OpenVPN):

# netstat -nulp|grep 1194
udp6       0      0 :::1194                 :::*                                8112/docker-proxy

# iptables -L -n | grep 1194
ACCEPT     udp  --  0.0.0.0/0            172.19.0.2           udp dpt:1194

Внутри контейнера openvpn:

bash-4.4# netstat -nulp|grep 1194
udp        0      0 0.0.0.0:1194            0.0.0.0:*                           -

gigantischer ★
(06.12.18 16:24:17 MSK) автор топика

Ссылка

Ответ на: комментарий от XMs 06.12.18 14:40:00 MSK

напомните плз ключики для tcpdump_a и какие интерфейсы слушать?

gigantischer ★
(06.12.18 16:25:30 MSK) автор топика

Ответ на: комментарий от gigantischer 06.12.18 16:25:30 MSK

При старте контейнера openvpn появляется такой интерфейс:

1312: veth2320716@if1311: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-01bd8ae1015f state UP group default 
    link/ether c6:9c:dd:83:ae:f5 brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet6 fe80::c49c:ddff:fe83:aef5/64 scope link 
       valid_lft forever preferred_lft forever

gigantischer ★
(06.12.18 16:28:18 MSK) автор топика

Ссылка

Ответ на: комментарий от gigantischer 06.12.18 16:25:30 MSK

Ключи пока не нужны, разве что -i <интерфейс>. Слушать те, через которые у тебя должны пакеты ходить. А вот другие аргументы (не ключи) могу порекомендовать: например, udp port 1194 (надеюсь, я правильно помню, как оно задаётся)

XMs ★★★★★
(06.12.18 16:31:31 MSK)

udp + docker + openvpn. А вы батенька юморист.

Use kvm и не сношайтесь в голову.

digitaldark ★
(06.12.18 16:43:43 MSK)

Ответ на: комментарий от XMs 06.12.18 15:03:51 MSK

не-не-не, никаких образов с докерхаба с непонятно чем. только проверенные и поддерживаемые и только от дистрибутивов (официальные), никаких привилегированных контейнеров в проде, ну и один сервис - один контейнер. Все в основном из своих докерфайлов. Ну и при сборке на дистр ставятся все обновления. Контейнеры при наличии обновлений пересоздаются.

Но в основном CI, да. В таком подходе не вижу разницы между докером и виртуалками (докер все равно в виртуалках гоняется).

slapin ★★★★★
(06.12.18 16:58:05 MSK)

Ответ на: комментарий от slapin 06.12.18 16:58:05 MSK

Только сейчас понял, что тот ответ был от тебя, а не от ТСа

XMs ★★★★★
(06.12.18 17:08:37 MSK)

Ссылка

Ответ на: комментарий от slapin 06.12.18 16:58:05 MSK

В таком подходе не вижу разницы между докером и виртуалками

Разница появляется, когда целевая платформа под виртуалкой очень плохо себя чувствует (Astra Linux SE, например)

XMs ★★★★★
(06.12.18 17:10:24 MSK)

Ссылка

Ответ на: комментарий от XMs 06.12.18 16:31:31 MSK

на клиентской машине:

# tcpdump -i eth0 'port 1194'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
16:16:16.048608 IP www.indigo.tk.48532 > внешний_ip.openvpn: UDP, length 42
16:16:24.469388 IP www.indigo.tk.48532 > внешний_ip.openvpn: UDP, length 42

на сервере - тишина

# tcpdump -i eth0 'port 1194'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
^C
0 packets captured
0 packets received by filter
0 packets dropped by kernel

внутри контейнера openvpn

# docker exec -it openvpn bash
bash-4.4# tcpdump -i eth0 'port 1194'
bash: tcpdump: command not found

gigantischer ★
(06.12.18 17:23:57 MSK) автор топика

Ответ на: комментарий от digitaldark 06.12.18 16:43:43 MSK

а если kvm, то как это в общем будет выглядеть?

gigantischer ★
(06.12.18 17:25:14 MSK) автор топика

Ссылка

Ответ на: комментарий от gigantischer 06.12.18 17:23:57 MSK

на сервере - тишина

Покажи «ip a»

внутри контейнера openvpn

tcpdump отсутствует, надо поставить

XMs ★★★★★
(06.12.18 17:27:29 MSK)

Ответ на: комментарий от XMs 06.12.18 17:27:29 MSK

# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq portid ac1f6b4db9fa state UP group default qlen 1000
    link/ether ac:1f:6b:4d:b9:fa brd ff:ff:ff:ff:ff:ff
    inet внешний_ip/32 brd внешний_ip scope global eth0
       valid_lft forever preferred_lft forever
    inet6 2001:8d8:1801:61::1/128 scope global 
       valid_lft forever preferred_lft forever
    inet6 fe80::ae1f:6bff:fe4d:b9fa/64 scope link 
       valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop portid ac1f6b4db9fb state DOWN group default qlen 1000
    link/ether ac:1f:6b:4d:b9:fb brd ff:ff:ff:ff:ff:ff
4: br-4dc510063f2a: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default 
    link/ether 02:42:d7:aa:86:60 brd ff:ff:ff:ff:ff:ff
    inet 172.18.0.1/16 scope global br-4dc510063f2a
       valid_lft forever preferred_lft forever
    inet6 fe80::42:d7ff:feaa:8660/64 scope link 
       valid_lft forever preferred_lft forever
5: docker0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default 
    link/ether 02:42:c4:84:9c:ef brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.1/16 scope global docker0
       valid_lft forever preferred_lft forever
    inet6 fe80::42:c4ff:fe84:9cef/64 scope link 
       valid_lft forever preferred_lft forever
102: br-01bd8ae1015f: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default 
    link/ether 02:42:a0:60:c4:af brd ff:ff:ff:ff:ff:ff
    inet 172.19.0.1/16 scope global br-01bd8ae1015f
       valid_lft forever preferred_lft forever
    inet6 fe80::42:a0ff:fe60:c4af/64 scope link 
       valid_lft forever preferred_lft forever
1441: vethaf61369@if1440: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-01bd8ae1015f state UP group default 
    link/ether 9e:30:31:8c:d4:67 brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet6 fe80::9c30:31ff:fe8c:d467/64 scope link 
       valid_lft forever preferred_lft forever

gigantischer ★
(06.12.18 17:49:13 MSK) автор топика

Ответ на: комментарий от XMs 06.12.18 17:27:29 MSK

Установил tcpdump в контейнер, но там тишина:

bash-4.4# tcpdump -i eth0 'port 1194'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
^C
0 packets captured
0 packets received by filter
0 packets dropped by kernel

gigantischer ★
(06.12.18 17:53:15 MSK) автор топика

Ответ на: комментарий от gigantischer 06.12.18 17:49:13 MSK

А если сделать brctl show?

XMs ★★★★★
(06.12.18 17:56:00 MSK)

Ответ на: комментарий от gigantischer 06.12.18 17:53:15 MSK

В продолжение темы:

# iptables-save
# Generated by iptables-save v1.6.0 on Thu Dec  6 14:54:17 2018
*nat
:PREROUTING ACCEPT [42:2512]
:INPUT ACCEPT [36:2120]
:OUTPUT ACCEPT [5:380]
:POSTROUTING ACCEPT [5:380]
:DOCKER - [0:0]
-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER
-A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER
-A POSTROUTING -s 172.19.0.0/16 ! -o br-01bd8ae1015f -j MASQUERADE
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
-A POSTROUTING -s 172.18.0.0/16 ! -o br-4dc510063f2a -j MASQUERADE
-A POSTROUTING -s 172.19.0.2/32 -d 172.19.0.2/32 -p udp -m udp --dport 1194 -j MASQUERADE
-A DOCKER -i br-01bd8ae1015f -j RETURN
-A DOCKER -i docker0 -j RETURN
-A DOCKER -i br-4dc510063f2a -j RETURN
-A DOCKER ! -i br-01bd8ae1015f -p udp -m udp --dport 1194 -j DNAT --to-destination 172.19.0.2:1194
COMMIT
# Completed on Thu Dec  6 14:54:17 2018
# Generated by iptables-save v1.6.0 on Thu Dec  6 14:54:17 2018
*filter
:INPUT ACCEPT [414:32745]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [402:47765]
:DOCKER - [0:0]
:DOCKER-ISOLATION - [0:0]
-A FORWARD -j DOCKER-ISOLATION
-A FORWARD -o br-01bd8ae1015f -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o br-01bd8ae1015f -j DOCKER
-A FORWARD -i br-01bd8ae1015f ! -o br-01bd8ae1015f -j ACCEPT
-A FORWARD -i br-01bd8ae1015f -o br-01bd8ae1015f -j ACCEPT
-A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o docker0 -j DOCKER
-A FORWARD -i docker0 ! -o docker0 -j ACCEPT
-A FORWARD -i docker0 -o docker0 -j ACCEPT
-A FORWARD -o br-4dc510063f2a -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o br-4dc510063f2a -j DOCKER
-A FORWARD -i br-4dc510063f2a ! -o br-4dc510063f2a -j ACCEPT
-A FORWARD -i br-4dc510063f2a -o br-4dc510063f2a -j ACCEPT
-A DOCKER -d 172.19.0.2/32 ! -i br-01bd8ae1015f -o br-01bd8ae1015f -p udp -m udp --dport 1194 -j ACCEPT
-A DOCKER-ISOLATION -i docker0 -o br-01bd8ae1015f -j DROP
-A DOCKER-ISOLATION -i br-01bd8ae1015f -o docker0 -j DROP
-A DOCKER-ISOLATION -i br-4dc510063f2a -o br-01bd8ae1015f -j DROP
-A DOCKER-ISOLATION -i br-01bd8ae1015f -o br-4dc510063f2a -j DROP
-A DOCKER-ISOLATION -i br-4dc510063f2a -o docker0 -j DROP
-A DOCKER-ISOLATION -i docker0 -o br-4dc510063f2a -j DROP
-A DOCKER-ISOLATION -j RETURN
COMMIT
# Completed on Thu Dec  6 14:54:17 2018

gigantischer ★
(06.12.18 17:56:21 MSK) автор топика

Ссылка

Ответ на: комментарий от XMs 06.12.18 17:56:00 MSK

внутри контейнера

bash-4.4# brctl show
bridge name     bridge id               STP enabled     interfaces

на хосте

# brctl show
bridge name     bridge id               STP enabled     interfaces
br-01bd8ae1015f         8000.0242a060c4af       no              vethaf61369
br-4dc510063f2a         8000.0242d7aa8660       no
docker0         8000.0242c4849cef       no

gigantischer ★
(06.12.18 17:58:38 MSK) автор топика

Ссылка

Ответ на: комментарий от gigantischer 06.12.18 17:23:57 MSK

На всякий случай уточню:

на сервере - тишина

Сервер - это хост машинка с белым ip на который и соединяетесь и на нем же запустили tcpdump?
Если все верно. То значит «где-то по дороге» блокируют ovpn. Быстрые проверки, поменять порт, поменять на 443/tcp

anc ★★★★★
(06.12.18 20:16:59 MSK)

Ответ на: комментарий от anc 06.12.18 20:16:59 MSK

Да, сервер-это хост машинка с белым ip, tcpdump запускал и на нем и на клиенте. Поменял внутри контейнера openvpn в /etc/openvpn/openvpn.conf:

port 443

и перезапустил контейнер. Но в выводе iptables все то же правило с портом 1194:

# iptables -L -n
...........................
Chain DOCKER (4 references)
target     prot opt source               destination
ACCEPT     tcp  --  0.0.0.0/0            172.20.0.4           tcp dpt:8080
ACCEPT     udp  --  0.0.0.0/0            172.19.0.2           udp dpt:1194
...........................

gigantischer ★
(07.12.18 11:51:34 MSK) автор топика

Ответ на: комментарий от gigantischer 07.12.18 11:51:34 MSK

Просканировал порты снаружи:

nmap -Pn белый_ip
Starting Nmap 7.70 ( https://nmap.org ) at 2018-12-07 10:43 EET
Host is up (0.063s latency).
Not shown: 995 filtered ports
PORT     STATE  SERVICE
22/tcp   open   ssh
80/tcp   open   http
3389/tcp closed ms-wbt-server
8080/tcp closed http-proxy
8443/tcp closed https-alt

и со стороны клиента:

# nmap -Pn белый_ip
Starting Nmap 7.01 ( https://nmap.org ) at 2018-12-07 08:43 UTC
Host is up (0.000049s latency).
Not shown: 997 closed ports
PORT   STATE    SERVICE
22/tcp open     ssh
25/tcp open     smtp
80/tcp filtered http

gigantischer ★
(07.12.18 11:56:10 MSK) автор топика

Ссылка

Ответ на: комментарий от gigantischer 07.12.18 11:51:34 MSK

может как-то openvpn надо рестартануть внутри контейнера после изменения на порт 443?

gigantischer ★
(07.12.18 11:57:03 MSK) автор топика

Ответ на: комментарий от gigantischer 07.12.18 11:57:03 MSK

При запущенном openvpn контейнере интерфейса tun0 не видно на сервере:

# netstat -nr
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         10.255.255.1    0.0.0.0         UG        0 0          0 eth0
10.255.255.1    0.0.0.0         255.255.255.255 UH        0 0          0 eth0
172.17.0.0      0.0.0.0         255.255.0.0     U         0 0          0 docker0
172.18.0.0      0.0.0.0         255.255.0.0     U         0 0          0 br-4dc510063f2a
172.19.0.0      0.0.0.0         255.255.0.0     U         0 0          0 br-01bd8ae1015f
172.20.0.0      0.0.0.0         255.255.0.0     U         0 0          0 br-3c2ef746c1b5

Запустил докер контейнер с debug:

# docker-compose run -e DEBUG=1 openvpn

Заинтересовали такие строки с вывода:

Enabling IPv6 Forwarding
+ sysctl -w net.ipv6.conf.all.disable_ipv6=0
sysctl: error setting key 'net.ipv6.conf.all.disable_ipv6': Read-only file system
+ echo 'Failed to enable IPv6 support'
Failed to enable IPv6 support
+ sysctl -w net.ipv6.conf.default.forwarding=1
sysctl: error setting key 'net.ipv6.conf.default.forwarding': Read-only file system
+ echo 'Failed to enable IPv6 Forwarding default'
Failed to enable IPv6 Forwarding default
+ sysctl -w net.ipv6.conf.all.forwarding=1
sysctl: error setting key 'net.ipv6.conf.all.forwarding': Read-only file system
+ echo 'Failed to enable IPv6 Forwarding'
Failed to enable IPv6 Forwarding

Эти параметры нужно указать вручную перед запуском внутри контейнера или на хост системе?

gigantischer ★
(07.12.18 14:32:19 MSK) автор топика

Ответ на: комментарий от gigantischer 07.12.18 14:32:19 MSK

Указал сначала на хост системе:

# sysctl -w net.ipv6.conf.all.disable_ipv6=0

# sysctl -w net.ipv6.conf.default.forwarding=1

# sysctl -w net.ipv6.conf.all.forwarding=1

Не помогло. А внутри контейнера:

bash-4.4# sysctl -w net.ipv6.conf.default.forwarding=1
sysctl: error setting key 'net.ipv6.conf.default.forwarding': Read-only file system

bash-4.4# sysctl -w net.ipv6.conf.all.forwarding=1
sysctl: error setting key 'net.ipv6.conf.all.forwarding': Read-only file system

А также прописал в контейнере

bash-4.4# vi /etc/sysctl.d/00-alpine.conf 
net.ipv6.conf.all.disable_ipv6 = 0
net.ipv6.conf.default.forwarding = 1
net.ipv6.conf.all.forwarding = 1

Рестартовал контейнер, но при выводе c debug то же самое:

Enabling IPv6 Forwarding
+ sysctl -w net.ipv6.conf.all.disable_ipv6=0
sysctl: error setting key 'net.ipv6.conf.all.disable_ipv6': Read-only file system
+ echo 'Failed to enable IPv6 support'
Failed to enable IPv6 support
+ sysctl -w net.ipv6.conf.default.forwarding=1
sysctl: error setting key 'net.ipv6.conf.default.forwarding': Read-only file system
+ echo 'Failed to enable IPv6 Forwarding default'
Failed to enable IPv6 Forwarding default
+ sysctl -w net.ipv6.conf.all.forwarding=1
sysctl: error setting key 'net.ipv6.conf.all.forwarding': Read-only file system
+ echo 'Failed to enable IPv6 Forwarding'

И соответственно интерфейса tun0 нет.

gigantischer ★
(07.12.18 15:06:49 MSK) автор топика

Ответ на: комментарий от gigantischer 07.12.18 15:06:49 MSK

А внутри контейнера интерфейс tun0 присутствует:

bash-4.4# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
2: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
    link/none 
    inet 192.168.255.1 peer 192.168.255.2/32 scope global tun0
       valid_lft forever preferred_lft forever
1631: eth0@if1632: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default 
    link/ether 02:42:ac:13:00:02 brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet 172.19.0.2/16 scope global eth0
       valid_lft forever preferred_lft forever

gigantischer ★
(07.12.18 15:09:26 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Оптимизация работы PostgreSQL 9.6

Admin

Рассылка алертов из grafana через proxy

→

Похожие темы