OpenVPN csak TCP-n megy

Hálózatok általános

Adott egy pfsense 1.2.3 final, amin beallitottam az openvpn-t (legyartottam certificate-eket, stb, stb). Hozzaadtam a tuzfalhoz egy szabalyt, ami tcp/udp 1194-et engedelyezi befele. Ha az openvpn-t tcp-re allitom, tokeletesen mukodik (kicsit lassu), viszont ha udp-n van, akkor 60 masodperc utan elszall idotullepessel es nem tudok csatlakozni.
Annyi trukk van a dologban, hogy a tuzfalban 2 internetkapcsolat van, van egy adsl + egy kabeles, ezek ugy vannak beallitva, hogy ha nincs kapcsolat a kabelen, akkor atall az adsl-re es 30 masodpercenkent nezi, hogy visszajott-e mar a kabel, ha igen, akkor visszaall (emiatt nincs is default route, de megy szepen minden). Valakinek barmilyen otlet?

  • 175710 megtekintés

( cstt v | 2011. 08. 19., p – 14:35 )

Nekünk is volt ilyen bajunk.

Váltttunk softveres tűzfalról HW tűzfalra SW (linux alapúval ment gyönyrűen UDP-n) HW tűzfal -al csak TCP ment, UDP mindg megszakadt.
Nem oldotta meg semmi sem.

Maradt a TCP.

( ricsip v | 2011. 08. 19., p – 15:32 )

mi is szarakodtunk sokat 2-3 éve openvpn+UDP-vel, mindig az lett a vége h. visszaálltunk TCP-re mert az UDP maximálisan használhatatlanul instabil volt és folyton megszakadt. A TCP-n viszont lassabb, a VOIP-hoz kifejezetten szar (remote siteok között) mert TCP lévén újraküldés kell ha csomagvesztés volt (jittert szarja el), valamint úgy tudom bevár mindig pár csomagot amiket tömörítve egyben küld át, így meg a delay lesz rosszabb. De legalább működött.

( ody42 v | 2011. 08. 19., p – 23:05 )

Szia!

A ping es keepalive opciokat probaltad tekergetni? Ha egybol inditasz valami trafficot a kliens-szerver kozott, akkor is elszall?

( hackac | 2011. 08. 19., p – 23:14 )

TCP-nél van connection tracking, UDP-nél nincs. Ha nem engeded be külön szabályban az UDP-t, akkor csak kifelé megy, vissza nem tud jönni -> timeoutol
Én egyszer emiatt szívtam, mert fáradtan nem esett le a tantusz :)

Ez azt jelenti, hogy ha van olyan szabályom a tűzfalon ami pl. "tőlem" kifelé egy adott remote szerver adott UDP portjára enged küldeni, akkor a visszafelé jövő csomagot kvázi válaszként fogja felismerni az én először kiküldött csomagomra, és az elvárt tűzfal szabály hiányában is beengedi? Ennek az a követelménye, h. ami destination port számot használtam a kimenő csomagban, azt a remote end source portként használja, ill. ami nálam source udp port volt, az a vissza csomagban destination legyen?

Az elmúlt hetekben nyomoztam 1 ilyen probléma kapcsán, és ha a posztom fenti része helytálló, akkor ez a fícsör mennyire elterjedt ill. ismert a különböző tűzfalakon (Cisco, Checkpoint és tsai)?

és az elvárt tűzfal szabály hiányában is beengedi

Nem, nem az elvárt szabály hiányában. Akkor engedi be, ha van 

--match state --state RELATED,ESTABLISHED --jump ACCEPT

szabályod. (Az ESTABLISHED ágban, ha jól tudom.)

Szerk: ovpn keepalive opciót be kell majd állítani, mert (ismét, ha jól emlékszem) 2 perc csend után a conntrack entry megy a kukába. (De ezt a 2 percet lehet, hogy csak álmodtam.)

( hackac | 2011. 08. 22., h – 11:17 )

Kösz az infót. Majd utána nézed mióta, mert hogy korábban nem így volt, az tuti.

( csupka91 v | 2011. 08. 22., h – 11:29 )

Én az egész OpenVPN-t úgy oldottam meg, hogy valahol találtam egy firewall.sh -t és azt elindítom

http://pastebin.com/zbp6z4eQ

Ez engedélyezi a szerveren a 443-at TCP-n + UDP-n és még az 1194-es porton is

( Z0l v | 2011. 08. 23., k – 09:38 )

Koszi, hat sajnos ezek nem nagyon visznek elore (a pfsense freebsd alapu), de szerintem valamelyik este megnezem tcpdumppal aztan majd ideirom, ha sikerult okozni valamit.
--
zsebHUP-ot használok!