Opensuse Leap 15.2 tűzfal

Sziasztok. Elakadtam, segítséget kérnék, mert nem vagyok egy guru. Openvpn hálózat, nyomtatás. Adott egy céges belső hálózat, (t-com ipsound mögött) ahol van egy központi gép,  legyen mondjuk ERPSERVER a neve, amin Leap15.2 fut. Ezen van minden, ERP, CUPS, samba, stb, de NEM ez a router/gateway a hálózaton. Ugyanezen a hálózaton van egy szintén Leap15.2, ezen fut az openvpn kiszolgáló. A kliens csatlakozások működnek, nyomtatás megy, de csak erről a gépről. Ha az ERPSEVER gépen futó cups alá fel akarok telepíteni egy vpn kliens hálózaton található IP-s nyomtatót, akkor ez nem megy. Telnet alól "No route to host" üzenetet kapok, bár pingelni meg tudom a nyomtatót. Az ERPSERVER gépen be vannak állítva a vpn kliensek hálózati címei a router táblába, ez nem lehet gond. (ping megy!) VISZONT ha kikapcsolom az openvpn szerver gépen a tűzfalat, akkor elérhető az opnevpn kliens hálózaton található IP nyomtató. Mindkét gépen a firewalld fut, szükséges portok nyitva, de valami benézek.

openvpn server tüzfalbeállítások:

firewall-cmd --zone=trusted --add-interface tun0
firewall-cmd --zone=trusted --add-masquerade
iptables -I FORWARD -i tun+ -o eth0 -s 172.16.1.0/24 -d 192.168.1x.0/24  -m conntrack --ctstate NEW -j ACCEPT
iptables -I FORWARD -i tun+ -o eth0 -s 172.16.1.0/24 -d 192.168.2x.0/24  -m conntrack --ctstate NEW -j ACCEPT
iptables -I FORWARD -i tun+ -o eth0 -s 172.16.1.0/24 -d ........
iptables -I FORWARD -m conntrack --ctstate RELATED,ESTABLISHED  -j ACCEPT  

firewall-cmd --list-services
ssh mdns samba-client openvpn apache2 apache2-ssl ftp http https samba ipp ipp-client

 firewall-cmd --list-ports
9100/tcp 9100/udp

Milyen tűzfalszabály kell még szerintetek az openvpn kiszolgálóra? Köszönöm előre is a segítséget!

Hozzászólások

Maga a nat es masquerade szabaly meg hianyzik, ahogy nezem.

Nem tudom, pontosabban mire gondolsz, de épp az az érdekes, hogyha a vpn szerveren kikapcsolom a tűzfalat teljesen, akkor minden tökéletesen működik, vagyis akkor a másik gépről is elérhető a kliens nyomtatója, tehát valamelyik port még blokkolva van, de melyik? ...vagy félreértek valamit?

Erre gondolok ezalatt:

iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -o eth0 -j MASQUERADE

Illetve belegondolva meg, eredendően az openvpn subnet-je es a masik subnet kozott is engedelyezned kell a forgalmat, tehat az oke, hogy az OpenVPN portja engedelyezett (gondolom a 9100-on hajtod), igy tudnak csatlakozni a szerverhez, de onnan meg tovabb is kell engedned. 

Hozzáadtam ezt a sort, és teszteltem, változás nincs. A vpn kiszolgálón akár be van kapcsolva a tűzfal, akár nincs, elérhetők a nyomtatók, van ping, és van telnet kapcsolat. Az ERPSERVER gépről van ping a nyomtatókhoz a vpn kiszolgáló tűzfalától függetlenül, de a telnet kapcsolat (és CUPS) csak a vpnkiszolgáló kikapcsolt tűzfala esetén van. A 9100 a nyomtatóport, a vpn a szabvány porton érhető el

A céges, benti hálózaton van pár smb-val és win szerverrel megosztott mappa, ezeket a vpn kliensek látják, és felcsatolhatók.

Magán az ERPSERVER-en is van megosztott mappa, ezek is látszódnak normálisan.

A kérdezett beállítás az openvpn serveroldali configjában szerepel :"client-to-client"

Mindenesetre köszi, hogy segíteni próbáltál, én még túrázok ezen...