У меня один корневой сервер и два клиента. Корневой сервер имеет статический IP-адрес и работает под управлением Debian Linux. Мои клиенты - Mac OS X и Debian Linux с динамическими IP-адресами.
С моих клиентов я могу открыть vpn-соединение, но трафик блокируется Shorewall. Журнал Shorewall сообщил мне, что трафик идет из сетевой зоны в зону fw (fw - это зона сервера, у меня нет локальной зоны, потому что это только одна машина), но он должен быть из зоны vpn в зону fw или нет?
Это одна строка из журнала:
net-fw:DROP:IN=tun0 OUT= SRC=10.8.0.3 DST=10.8.0.1 PROTO=TCP SPT=37744 DPT=3000
И это мои файлы конфигурации:
openvpn server.conf:
port 1194
proto udp
dev tun
ca ca.crt
cert me.crt
key me.key
dh dh2048.pem
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
openvpn client.con:
client
dev tun
proto udp
remote xx.xx.xx.xx 1194
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
ca ca.crt
cert debian.crt
key debian.key
remote-cert-tls server
comp-lzo
verb 3
Shorewall интерфейсы:
net all physical=+
vpn tun+
Shorewall зоны:
fw firewall
net ip
vpn ipv4
политика Shorewall:
$FW net ACCEPT
vpn $FW ACCEPT info
net all DROP info
all all REJECT info
правила Shorewall:
Invalid(DROP) net $FW tcp
ACCEPT:info net $FW udp 1194
ACCEPT:info vpn $FW
ACCEPT:info $FW vpn
туннели Shorewall:
openvpnserver:1194 net 0.0.0.0/0
Я не встречал physical вариант для интерфейса раньше, но на основе чтения shorewall-interfaces manpage, я не уверен, что это делает то, что вы думаете:
net all physical=+
Попробуйте изменить его на
net eth+
Затем посмотрите, правильно ли классифицируется трафик, входящий через VPN, как исходящий из зоны VPN.