OpenVpn не подключается никакому порту кроме tcp 443

0

1

Всем доброго дня! Сразу говорю я новичок в настройке опенвпн, да и вообще в линуксе в целом. Так вот, я поднял OpenVpn сервер скриптом Nyr’а на CentOS 7 в Google Cloud. Все установилось норм, НО к серверу клиенты подключаются успешно только на 443 порту tcp. Остальными портами не удается подключиться так и по tcp так и по udp. Со стороны хостера файрвол открыт по всем портам и протоколам и ip forwarding включён. Вот настройки сервера

local 10.132.0.12
port 1195
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
auth SHA512
tls-crypt tc.key
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 169.254.169.254"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3
crl-verify crl.pem
explicit-exit-notify

и клиента

client
dev tun
proto udp
remote 35.233.122.171 1195
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
auth SHA512
cipher AES-256-CBC
ignore-unknown-option block-outside-dns
block-outside-dns
verb 3

А вот и лог с ios девайса

2020-01-31 8:33:05 PM 1

2020-01-31 8:33:05 PM ----- OpenVPN Start -----
OpenVPN core 3.git::2ae73415 ios arm64 64-bit PT_PROXY built on Dec  2 2019 14:44:28

2020-01-31 8:33:05 PM OpenVPN core 3.git::2ae73415 ios arm64 64-bit PT_PROXY built on Dec  2 2019 14:44:28

2020-01-31 8:33:05 PM Frame=512/2048/512 mssfix-ctrl=1250

2020-01-31 8:33:05 PM UNUSED OPTIONS
4 [resolv-retry] [infinite] 
5 [nobind] 
6 [persist-key] 
7 [persist-tun] 
11 [ignore-unknown-option] [block-outside-dns] 
12 [block-outside-dns] 
13 [verb] [3] 

2020-01-31 8:33:05 PM EVENT: RESOLVE

2020-01-31 8:33:05 PM Contacting [35.233.122.171]:1195/UDP via UDP

2020-01-31 8:33:05 PM EVENT: WAIT

2020-01-31 8:33:05 PM Connecting to [35.233.122.171]:1195 (35.233.122.171) via UDPv4

2020-01-31 8:33:16 PM Server poll timeout, trying next remote entry...

2020-01-31 8:33:16 PM EVENT: RECONNECTING

2020-01-31 8:33:16 PM EVENT: RESOLVE

2020-01-31 8:33:16 PM EVENT: CONNECTION_TIMEOUT [ERR]

2020-01-31 8:33:16 PM Raw stats on disconnect:
  BYTES_OUT : 540
  PACKETS_OUT : 10
  CONNECTION_TIMEOUT : 1
  N_RECONNECT : 1

2020-01-31 8:33:16 PM Performance stats on disconnect:
  CPU usage (microseconds): 414345
  Network bytes per CPU second: 1303
  Tunnel bytes per CPU second: 0

2020-01-31 8:33:16 PM EVENT: DISCONNECTED

2020-01-31 8:33:16 PM Raw stats on disconnect:
  BYTES_OUT : 540
  PACKETS_OUT : 10
  CONNECTION_TIMEOUT : 1
  N_RECONNECT : 1

2020-01-31 8:33:16 PM Performance stats on disconnect:
  CPU usage (microseconds): 428129
  Network bytes per CPU second: 1261
  Tunnel bytes per CPU second: 0

Помогите пожалуйста, куда копать. Ах да, думал провайдер блочит порт/трафик, но нет другие конфиги с интернет работают отлично по tcp и по udp с разными портами.

Ссылка

←	logrotate, как заставить НЕ ротировать уже сжатые файлы?

УДОБНОЕ редактирование файлов на удаленном сервере с MAC-а

→

ты конфиги выложи нормальные, которые не работают, а то сервер udp/1195 клиент tcp/443. а ну помтигни разницу tun и tap

Anoxemian ★★★★★
(31.01.20 18:52:44 MSK)
Последнее исправление: Anoxemian 31.01.20 18:53:29 MSK (всего исправлений: 1)

Ответ на: комментарий от Anoxemian 31.01.20 18:52:44 MSK

сорри, забыл изменить клиентский конфиг.

Googler
(31.01.20 18:58:10 MSK) автор топика

Ссылка

local 10.132.0.12

Похоже вариант амазона с прокидыванием. Погуглите емним и тут было описание.

push «dhcp-option DNS 169.254.169.254»

Сильно. пушить link local адрес.

anc ★★★★★
(31.01.20 19:27:28 MSK)

Ответ на: комментарий от anc 31.01.20 19:27:28 MSK

Простите, но нечего не понял. Что мне делать? Что гуглить?

Googler
(31.01.20 19:47:58 MSK) автор топика

Ответ на: комментарий от Googler 31.01.20 19:47:58 MSK

Не биндите на конкретный ip сервер.

anc ★★★★★
(31.01.20 19:51:33 MSK)

А у Google Cloud своего файрволла нет? У ec2, например, есть. И он там стандартное только открывает.л

turtle_bazon ★★★★★
(31.01.20 19:54:34 MSK)

Ответ на: комментарий от anc 31.01.20 19:51:33 MSK

И это решит проблему?

Googler
(31.01.20 20:07:03 MSK) автор топика

Ответ на: комментарий от Googler 31.01.20 20:07:03 MSK

Возможно. А может и нет. Выше turtle_bazon правильно подкинул насчет fw.

anc ★★★★★
(31.01.20 20:19:21 MSK)

Ответ на: комментарий от anc 31.01.20 20:19:21 MSK

Не совсем понял про файрвол. Google Cloud есть файрволл и он открыт для всех портов и протоколов

Googler
(31.01.20 20:36:01 MSK) автор топика

Ответ на: комментарий от Googler 31.01.20 20:36:01 MSK

Что бы не ломать голову посмотрите tcpdump на сервере, долетают пакеты или нет. Если нет, значит это fw и ломать голову гуле а не себе.

anc ★★★★★
(31.01.20 20:38:04 MSK)

Ответ на: комментарий от anc 31.01.20 20:38:04 MSK

использовал такую команду

tcpdump -i eth0 port 1195

и он нечего не показывает, 0 отправленных и принятых пакетов. Что мне делать дальше? Помогите пожалуйста!!!

Googler
(01.02.20 10:00:03 MSK) автор топика

Ответ на: комментарий от Googler 01.02.20 10:00:03 MSK

Давай по старинке
ip -br a
ip r
ip ru
iptables-save

zolden ★★★★★
(01.02.20 11:40:40 MSK)

Ответ на: комментарий от zolden 01.02.20 11:40:40 MSK

Вот ответы на команды ip -br a:

lo               UNKNOWN        127.0.0.1/8 ::1/128
eth0             UP             10.132.0.12/32 fe80::4001:aff:fe84:c/64
tun0             UNKNOWN        10.8.0.1/24 fe80::ff15:6ce8:fb18:844e/64

ip r :

default via 10.132.0.1 dev eth0 proto dhcp metric 100
10.8.0.0/24 dev tun0 proto kernel scope link src 10.8.0.1
10.132.0.1 dev eth0 proto dhcp scope link metric 100
10.132.0.12 dev eth0 proto kernel scope link src 10.132.0.12 metric 100

ip ru:

0:      from all lookup local
32766:  from all lookup main
32767:  from all lookup default

iptables-save :

# Generated by iptables-save v1.4.21 on Sat Feb  1 09:35:02 2020
*nat
:PREROUTING ACCEPT [1750:75372]
:INPUT ACCEPT [1750:75372]
:OUTPUT ACCEPT [4664:313098]
:POSTROUTING ACCEPT [4664:313098]
:OUTPUT_direct - [0:0]
:POSTROUTING_ZONES - [0:0]
:POSTROUTING_ZONES_SOURCE - [0:0]
:POSTROUTING_direct - [0:0]
:POST_trusted - [0:0]
:POST_trusted_allow - [0:0]
:POST_trusted_deny - [0:0]
:POST_trusted_log - [0:0]
:PREROUTING_ZONES - [0:0]
:PREROUTING_ZONES_SOURCE - [0:0]
:PREROUTING_direct - [0:0]
:PRE_trusted - [0:0]
:PRE_trusted_allow - [0:0]
:PRE_trusted_deny - [0:0]
:PRE_trusted_log - [0:0]
-A PREROUTING -j PREROUTING_direct
-A PREROUTING -j PREROUTING_ZONES_SOURCE
-A PREROUTING -j PREROUTING_ZONES
-A OUTPUT -j OUTPUT_direct
-A POSTROUTING -j POSTROUTING_direct
-A POSTROUTING -j POSTROUTING_ZONES_SOURCE
-A POSTROUTING -j POSTROUTING_ZONES
-A POSTROUTING_ZONES -o eth0 -j POST_trusted
-A POSTROUTING_ZONES -j POST_trusted
-A POSTROUTING_ZONES_SOURCE -d 10.8.0.0/24 -j POST_trusted
-A POSTROUTING_direct -s 10.8.0.0/24 ! -d 10.8.0.0/24 -j SNAT --to-source 10.132.0.12
-A POST_trusted -j POST_trusted_log
-A POST_trusted -j POST_trusted_deny
-A POST_trusted -j POST_trusted_allow
-A PREROUTING_ZONES -i eth0 -j PRE_trusted
-A PREROUTING_ZONES -j PRE_trusted
-A PREROUTING_ZONES_SOURCE -s 10.8.0.0/24 -j PRE_trusted
-A PRE_trusted -j PRE_trusted_log
-A PRE_trusted -j PRE_trusted_deny
-A PRE_trusted -j PRE_trusted_allow
COMMIT
# Completed on Sat Feb  1 09:35:02 2020
# Generated by iptables-save v1.4.21 on Sat Feb  1 09:35:02 2020
*mangle
:PREROUTING ACCEPT [41425:131250010]
:INPUT ACCEPT [41425:131250010]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [49834:5988220]
:POSTROUTING ACCEPT [49834:5988220]
:FORWARD_direct - [0:0]
:INPUT_direct - [0:0]
:OUTPUT_direct - [0:0]
:POSTROUTING_direct - [0:0]
:PREROUTING_ZONES - [0:0]
:PREROUTING_ZONES_SOURCE - [0:0]
:PREROUTING_direct - [0:0]
:PRE_trusted - [0:0]
:PRE_trusted_allow - [0:0]
:PRE_trusted_deny - [0:0]
:PRE_trusted_log - [0:0]
-A PREROUTING -j PREROUTING_direct
-A PREROUTING -j PREROUTING_ZONES_SOURCE
-A PREROUTING -j PREROUTING_ZONES
-A INPUT -j INPUT_direct
-A FORWARD -j FORWARD_direct
-A OUTPUT -j OUTPUT_direct
-A POSTROUTING -j POSTROUTING_direct
-A PREROUTING_ZONES -i eth0 -j PRE_trusted
-A PREROUTING_ZONES -j PRE_trusted
-A PREROUTING_ZONES_SOURCE -s 10.8.0.0/24 -j PRE_trusted
-A PRE_trusted -j PRE_trusted_log
-A PRE_trusted -j PRE_trusted_deny
-A PRE_trusted -j PRE_trusted_allow
COMMIT
# Completed on Sat Feb  1 09:35:02 2020
# Generated by iptables-save v1.4.21 on Sat Feb  1 09:35:02 2020
*security
:INPUT ACCEPT [43777:154616677]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [52007:6211266]
:FORWARD_direct - [0:0]
:INPUT_direct - [0:0]
:OUTPUT_direct - [0:0]
-A INPUT -j INPUT_direct
-A FORWARD -j FORWARD_direct
-A OUTPUT -j OUTPUT_direct
COMMIT
# Completed on Sat Feb  1 09:35:02 2020
# Generated by iptables-save v1.4.21 on Sat Feb  1 09:35:02 2020
*raw
:PREROUTING ACCEPT [41425:131250010]
:OUTPUT ACCEPT [49834:5988220]
:OUTPUT_direct - [0:0]
:PREROUTING_ZONES - [0:0]
:PREROUTING_ZONES_SOURCE - [0:0]
:PREROUTING_direct - [0:0]
:PRE_trusted - [0:0]
:PRE_trusted_allow - [0:0]
:PRE_trusted_deny - [0:0]
:PRE_trusted_log - [0:0]
-A PREROUTING -j PREROUTING_direct
-A PREROUTING -j PREROUTING_ZONES_SOURCE
-A PREROUTING -j PREROUTING_ZONES
-A OUTPUT -j OUTPUT_direct
-A PREROUTING_ZONES -i eth0 -j PRE_trusted
-A PREROUTING_ZONES -j PRE_trusted
-A PREROUTING_ZONES_SOURCE -s 10.8.0.0/24 -j PRE_trusted
-A PRE_trusted -j PRE_trusted_log
-A PRE_trusted -j PRE_trusted_deny
-A PRE_trusted -j PRE_trusted_allow
COMMIT
# Completed on Sat Feb  1 09:35:02 2020
# Generated by iptables-save v1.4.21 on Sat Feb  1 09:35:02 2020
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [49832:5988122]
:FORWARD_IN_ZONES - [0:0]
:FORWARD_IN_ZONES_SOURCE - [0:0]
:FORWARD_OUT_ZONES - [0:0]
:FORWARD_OUT_ZONES_SOURCE - [0:0]
:FORWARD_direct - [0:0]
:FWDI_trusted - [0:0]
:FWDI_trusted_allow - [0:0]
:FWDI_trusted_deny - [0:0]
:FWDI_trusted_log - [0:0]
:FWDO_trusted - [0:0]
:FWDO_trusted_allow - [0:0]
:FWDO_trusted_deny - [0:0]
:FWDO_trusted_log - [0:0]
:INPUT_ZONES - [0:0]
:INPUT_ZONES_SOURCE - [0:0]
:INPUT_direct - [0:0]
:IN_trusted - [0:0]
:IN_trusted_allow - [0:0]
:IN_trusted_deny - [0:0]
:IN_trusted_log - [0:0]
:OUTPUT_direct - [0:0]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -j INPUT_direct
-A INPUT -j INPUT_ZONES_SOURCE
-A INPUT -j INPUT_ZONES
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i lo -j ACCEPT
-A FORWARD -j FORWARD_direct
-A FORWARD -j FORWARD_IN_ZONES_SOURCE
-A FORWARD -j FORWARD_IN_ZONES
-A FORWARD -j FORWARD_OUT_ZONES_SOURCE
-A FORWARD -j FORWARD_OUT_ZONES
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -j OUTPUT_direct
-A FORWARD_IN_ZONES -i eth0 -j FWDI_trusted
-A FORWARD_IN_ZONES -j FWDI_trusted
-A FORWARD_IN_ZONES_SOURCE -s 10.8.0.0/24 -j FWDI_trusted
-A FORWARD_OUT_ZONES -o eth0 -j FWDO_trusted
-A FORWARD_OUT_ZONES -j FWDO_trusted
-A FORWARD_OUT_ZONES_SOURCE -d 10.8.0.0/24 -j FWDO_trusted
-A FWDI_trusted -j FWDI_trusted_log
-A FWDI_trusted -j FWDI_trusted_deny
-A FWDI_trusted -j FWDI_trusted_allow
-A FWDI_trusted -j ACCEPT
-A FWDO_trusted -j FWDO_trusted_log
-A FWDO_trusted -j FWDO_trusted_deny
-A FWDO_trusted -j FWDO_trusted_allow
-A FWDO_trusted -j ACCEPT
-A INPUT_ZONES -i eth0 -j IN_trusted
-A INPUT_ZONES -j IN_trusted
-A INPUT_ZONES_SOURCE -s 10.8.0.0/24 -j IN_trusted
-A IN_trusted -j IN_trusted_log
-A IN_trusted -j IN_trusted_deny
-A IN_trusted -j IN_trusted_allow
-A IN_trusted -j ACCEPT
-A IN_trusted_allow -p udp -m udp --dport 1195 -m conntrack --ctstate NEW,UNTRACKED -j ACCEPT
COMMIT
# Completed on Sat Feb  1 09:35:02 2020

Googler
(01.02.20 12:35:55 MSK) автор топика

Ответ на: комментарий от Googler 01.02.20 12:35:55 MSK

10.132.0.12/32

А к какому IP ты хочешь подключиться?

Deleted
(01.02.20 15:11:08 MSK)

Ссылка

Ответ на: комментарий от Googler 01.02.20 10:00:03 MSK

Тогда похоже что правда вот тут OpenVpn не подключается никакому порту кроме tcp 443 (комментарий)

anc ★★★★★
(01.02.20 16:46:21 MSK)

Ссылка

Ответ на: комментарий от turtle_bazon 31.01.20 19:54:34 MSK

дааа… похоже вы правы. А Вы не знаете как открыть все порты файервалла гугл клауда?

Googler
(01.02.20 17:11:45 MSK) автор топика

Ответ на: комментарий от Googler 01.02.20 17:11:45 MSK

Написать им в саппорт?

anc ★★★★★
(01.02.20 17:28:23 MSK)

Ссылка

Ответ на: комментарий от Googler 01.02.20 17:11:45 MSK

Нет, гугл клауд не знаю. У ec2 свой интерфейс для этого есть. Тут, если это так, то, думаю, тоже.

turtle_bazon ★★★★★
(01.02.20 17:52:14 MSK)

Ссылка

Ответ на: комментарий от Googler 01.02.20 17:11:45 MSK

Там в Google Cloud Console ищи Networks, firewall rules. 80 и 443 открыты по умолчанию, остальные нужно открывать руками.

Dima_228
(02.02.20 04:31:27 MSK)

Ответ на: комментарий от Dima_228 02.02.20 04:31:27 MSK

Да да я в курсе. Эти порты открыты если ты разрешаешь http и https, а не по умолчанию. Но я сделал по другому. Файрволле создал новое правило которое разрешает не только 80/tcp и 443/tcp, а открыл все порту для всех протоколов и подключил это правило к своей VM… Об этом я в самом начале писал. Вот я понять не могу, что я не так сделал?!

Googler
(02.02.20 07:10:41 MSK) автор топика

Ответ на: комментарий от Googler 02.02.20 07:10:41 MSK

Вам два раза повторять? Пишите в саппорт. Ничего сложного же. Именно с полными выкладками «я пытаюсь из вне подключиться к IP 1195/udp. Но до меня не долетает ни одного пакета согласно tcpdump. Проблема явно на вашей стороне»

PS Как решат отпишите здесь. Многим после вас будет полезно.

PSS И не стесняйтесь обращаться в саппорт. Вся эта вэбня постоянно меняется и вполне возможно вы тут не причем. Так звезды сложились. Я серьезно. Подобные конторы в случае возникновения «не понимания» имею только через саппорт. Смысла гуглить и так далее, ровно ноль. Найдеш старую инструкцию, а тебе легче?

anc ★★★★★
(02.02.20 07:40:12 MSK)
Последнее исправление: anc 02.02.20 07:46:30 MSK (всего исправлений: 1)

Ответ на: комментарий от anc 02.02.20 07:40:12 MSK

Я Вас понял. Отпишусь потом

Googler
(02.02.20 08:49:49 MSK) автор топика

Ответ на: комментарий от Googler 02.02.20 08:49:49 MSK

FYI У гуле вроде был чатик саппорта. Так что оперативно можно им «голову поиметь».

anc ★★★★★
(02.02.20 09:52:23 MSK)

Ответ на: комментарий от anc 02.02.20 09:52:23 MSK

Всем доброго дня! Проблема с файрволлом Google Cloud решилась. Ответа от тех поддержки не дождался и читал офф. документацию про файрволл G Cloud. Так вот, оказывается чтобы разрешить все протоколы и порты надо создать ВНУТРЕННИЙ СТАТИЧЕСКИЙ IP. Внешнего статического ip недостаточно. Темы можно считать закрытой… Всем спасибо за помощь и отзывчивость. Будьте всегда здоровы!

Googler
(03.02.20 21:19:22 MSK) автор топика

Ответ на: комментарий от Googler 03.02.20 21:19:22 MSK

Ну и отлично. Только не забывайте отмечать тему как решенную.

anc ★★★★★
(03.02.20 22:11:00 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	logrotate, как заставить НЕ ротировать уже сжатые файлы?

Admin

УДОБНОЕ редактирование файлов на удаленном сервере с MAC-а

→

Похожие темы