OPEN kapcsolódási hiba [MEGOLDVA]

Linux-kezdő

Sziasztok,

van egy Debian 7-es serverem és ezen fut egy OpenVPN server. Erre a serverre win7-es cliensket kapcsolok.

Következő a problémám:
A rendszer tökéletesen működött a frissítéseken kívül nem telepítettem, nem változtattam semmit a gépeken. Ráadásul több gépen is előjött a következő probléma.
Belépéskor az OpenVPN a kapcsolatot szépen felépíti a kliens oldalon is hibátlanul létrejön a kapcsolat. IP címet is leossza a server. Viszont, ha pingelem, vagy SAMBA kapcsolatot akarok létrehozni a serverrel, akkor nem történik semmi, minden csomag elveszik.
A WIN gépeken töröltem az ESET vírus írtót a tűzfalat is kikapcsoltam, de ez sem javított a helyzeten. Tökéletesen fellép a serverre, de nem tudom pingelni.

OpenVPN Kliens:
http://pastebin.com/jPUAWbaq

SERVER oldali log:
http://pastebin.com/RHjESdRs

---
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default router 0.0.0.0 UG 0 0 0 eth2
172.16.200.0 172.16.200.2 255.255.255.0 UG 0 0 0 tun1
172.16.200.2 * 255.255.255.255 UH 0 0 0 tun1
192.168.15.0 * 255.255.255.0 U 0 0 0 eth2
---

ip addr:
---

1: lo: mtu 16436 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: mtu 1500 qdisc noop state DOWN qlen 1000
link/ether 00:XX:XX:f4:2b:a5 brd ff:ff:ff:ff:ff:ff
3: eth2: mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether c8:be:19:db:2e:d9 brd ff:ff:ff:ff:ff:ff
inet 192.168.15.100/24 brd 192.168.15.255 scope global eth2
inet6 fe80::cabe:19ff:fedb:2ed9/64 scope link
valid_lft forever preferred_lft forever
4: eth1: mtu 1500 qdisc noop state DOWN qlen 1000
link/ether 00:XX:92:XX:8c:46 brd ff:ff:ff:ff:ff:ff
5: tun1: mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
link/none
inet 172.16.200.1 peer 172.16.200.2/32 scope global tun1

---

Kliens config:
---
client
dev tun

remote server-cím.info 1194

proto udp
resolv-retry infinite
nobind
persist-key
persist-tun
pkcs12 kulcs.p12
ns-cert-type server
comp-lzo
verb 3
---

Server conf:

---

port 1194
proto udp
dev tun1

ca /etc/openvpn/CA/keys/ca.crt
#crl-verify /etc/openvpn/crl.pem
cert /etc/openvpn/CA/keys/server.crt
key /etc/openvpn/CA/keys/server.key
dh /etc/openvpn/CA/keys/dh2048.pem

server 172.16.200.0 255.255.255.0
ifconfig-pool-persist /etc/openvpn/server.ipp

keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status /etc/openvpn/server.status 5
status-version 2

verb 3
mute 20

#push "route 192.168.200.0 255.255.255.0"
push "route 192.168.15.0 255.255.255.0"
#push "redirect-gateway def1"
push "dhcp-option DNS 192.168.15.1"
#push "dhcp-option WINS 192.168.15.2"
#push "dhcp-option DOMAIN matrix.lan"
#push "dhcp-option NBT 2"
#push "dhcp-option NTP 192.168.15.1"
---

Kérdésem mi lehet ez a hiba?

Üdv.

KALMI

  • 3536 megtekintés

( kalmarr | 2014. 06. 25., sze – 21:47 )

Rájöttem, hogy a Portsentry blokkolta az Openvpn által leosztott IP címet, mivel idővel a feloldás történt, illetve a server újra indításával, új IP címet osztott ki az Openvpn, így a hiba nem jelentkezett újra (egy ideig). Így hol volt kapcsolat, hol nem. Ráadásul az egyik gépen volt kapcsolat, megosztás a másikon nem, mivel a gépek más IP címet kaptak.
Megoldás a /etc/hosts.deny -ből töröltem a tiltott IP címet, illetve felvettem a IP tartományt az engedélyezettek listájába /etc/portsentry/portsentry.ignore.static az IP tartományt: 172.16.200.0/16.

Nem tudom mennyire jó ötlet, de a tűzfalba is tettem egy teljes körű ACCEPT-et.

#OPENVPN
-A INPUT -s 172.16.200.0/16 -j ACCEPT

Tapasztalat:
Ha valami nem megy, akkor nézni kell a blokkolókat, mert ez már a második esetem, hogy a server blokkolt, valamilyen címet (ez a fail2ban volt) :)