Настраиваю OpenVPN на сервачке, главным образом для LAN игрушек. Взял https://github.com/angristan/openvpn-install
.
На сервере стоит UFW с парой открытых портов для SSH / nginx / murmur. После установки OpenVPN дополнительно разрешил трафик на tun0:
ufw allow in out on tun0
Проблема: правило для tun0 не работает - настройки фаервола влияют на VPN. Если на одном из VPN клиентов поднят сервер и этот порт не открыт, соединение блокируется фаерволом.
Конфиг сервера:
port 1194
proto udp
dev tun
user nobody
group nobody
persist-key
persist-tun
keepalive 10 120
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
dh none
ecdh-curve prime256v1
tls-crypt tls-crypt.key
crl-verify crl.pem
ca ca.crt
cert server_.....crt
key server_.....key
auth SHA256
cipher AES-128-GCM
ncp-ciphers AES-128-GCM
tls-server
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
client-config-dir /etc/openvpn/ccd
status /var/log/openvpn/status.log
verb 3
ufw status
:
To Action From
-- ------ ----
1194 ALLOW Anywhere
80 ALLOW Anywhere
443 ALLOW Anywhere
64738 ALLOW Anywhere
666 ALLOW Anywhere
Anywhere on tun0 ALLOW Anywhere
1194 (v6) ALLOW Anywhere (v6)
80 (v6) ALLOW Anywhere (v6)
443 (v6) ALLOW Anywhere (v6)
64738 (v6) ALLOW Anywhere (v6)
666 (v6) ALLOW Anywhere (v6)
Anywhere (v6) on tun0 ALLOW Anywhere (v6)
iptables, которые ставит скрипт:
iptables -t nat -I POSTROUTING 1 -s 10.8.0.0/24 -o eth0 -j MASQUERADE
iptables -I INPUT 1 -i tun0 -j ACCEPT
iptables -I FORWARD 1 -i eth0 -o tun0 -j ACCEPT
iptables -I FORWARD 1 -i tun0 -o eth0 -j ACCEPT
iptables -I INPUT 1 -i eth0 -p udp --dport 1194 -j ACCEPT <-- лишнее? (порт открывается UFW)