PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : OpenVPN: ping funktioniert nicht!?


chni
01.04.06, 04:56
Hallo!

Ich habe ein simples VPN mit einem Server und einem Client gemäß der Anleitung http://openvpn.net/static.html eingerichtet. Zum Testen verwende ich proto tcp statt udp. Die Verbindung wird erfolgreich aufgebaut, aber ping meldet einen Fehler.

Iptables erhielt auf beiden Rechnern folgende Regeln:


iptables -I INBOUND -i tun+ -j ACCEPT
iptables -I INPUT -i tun+ -j ACCEPT
iptables -I FORWARD -i tun+ -j ACCEPT


Ausgabe von ping:


cn@NB-Christian:~$ ping 192.168.0.1
PING 192.168.0.1 (192.168.0.1) 56(84) bytes of data.
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted

--- 192.168.0.1 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 1999ms


Ich sitze jetzt schon die ganze Nacht dabei und habe alles überprüft, was Google hergab. Aber ich konnte leider keine sinnvollen Vorschläge finden. Ich hoffe es kann mir jemand weiterhelfen.
DaGrrr
01.04.06, 15:10
Iptables erhielt auf beiden Rechnern folgende Regeln:
iptables -I INBOUND -i tun+ -j ACCEPT
iptables -I INPUT -i tun+ -j ACCEPT
iptables -I FORWARD -i tun+ -j ACCEPT

INBOUND gibt es nicht. Warum "-I"?
Des Weiteren erlaubst du kein OUTPUT.
Das heißt auf dem Rechner, wo du den Ping absetzt, ist pingen nach draußen nicht erlaubt bzw. jegliche Verbindung, wenn vorher DROP als Default gilt.
Daher meine Frage, sind das die einzigen iptables Regeln?

Was sollen beide Rechner darstellen? Router = OpenVPN Server und ein Client?

Hier mal meine Iptables Regeln, die ich auf meinem OpenWRT Router für WLAN verwende. Kannst dir ja meine Ideen übernehmen.

1. Nur OpenVPN-Pakete über reale IP annehmen:

iptables -A INPUT -i $WIFI -p udp --dport 1194 -j ACCEPT
iptables -A INPUT -i $WIFI -j DROP

1. Nur OpenVPN-Pakete über reale IP senden:

iptables -A OUTPUT -o $WIFI -p udp --dport 1194 -j ACCEPT
iptables -A OUTPUT -o $WIFI -j DROP
iptables -A FORWARD -i $WIFI -j DROP

1. Kommunikation über Tunnel erlauben:

iptables -A INPUT -i tun0 -j ACCEPT
iptables -A OUTPUT -o tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -j ACCEPT
iptables -A FORWARD -o tun0 -j ACCEPT
iptables -t nat -A POSTROUTING -o $WIFI -j MASQUERADE

Grüße
DaGrrr
chni
02.04.06, 19:19
Hallo DaGrrr!

Danke für deine Antwort. Du hattest recht, die Output Rule fehlte.
Mit


iptables -I OUTPUT -o tun+ -j ACCEPT

funktioniert es jetzt.
Das OpenVPN FAQ (http://openvpn.net/faq.html) erwähnt interessanterweise nur INPUT- und FORWARD-Regeln!?

Die INBOUND Chain gibt es bei mir, scheint Firestarter eingebaut haben. Aber das tut eigentlich nicht wirklich was zur Sache.
DaGrrr
02.04.06, 21:48
Hi,

freut mich das es nun funktioniert.

Wegen INBOUND... schau doch mal in die Manpage von iptables rein. Zumindest in meiner gibt es nichts über INBOUND. Was Firestarter da so hinzaubert weiß ich leider nicht.

Grüße
DaGrrr