Hallo zusammen!
Ich hab hier OpenVPN installiert, der Verbindungsaufbau klappt an sich
(Zertifikate sind in Ordnung), nur leider passierts beim TSL-handshake ...
Tunnelblick unter OsX meint:
"TLS key nego failed to occur within 60 secs"
OpenVPN-Client unter Windows meint
"ead UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)"
und IP-Traf, das am OpenVPN-Server läuft meint:
"ICMP dest unrch (port) (70 bytes) from 83.64.XXX.XXX to
83.64.XXX.XXX on eth1"
Dazu gibts auch unter openvpn.net schöne Hinweise:
• A perimeter firewall on the server's network is filtering out incoming
OpenVPN packets (by default OpenVPN uses UDP or TCP port number 1194).
• A software firewall running on the OpenVPN server machine itself is
filtering incoming connections on port 1194. Be aware that many OSes
will block incoming connections by default, unless configured otherwise.
• A NAT gateway on the server's network does not have a port forward
rule for TCP/UDP 1194 to the internal address of the OpenVPN server machine.
• The OpenVPN client config does not have the correct server address in
its config file. The remote directive in the client config file must
point to either the server itself or the public IP address of the server
network's gateway.
Punkt 1, 3 & 4 kann ich ausschließen, Punkt 2 nicht.
Ich poste mal meine FW:
--------------------------------
#! /bin/sh
echo "1" > /proc/sys/net/ipv4/ip_forward # Initialisierung des Forwardings
# Flushen, L?schen, Neuerstellung - nicht vergessen im Script! #
################################################################
echo "Flushing Tables and initialize new ones..."
iptables -F
iptables -F -t nat
iptables -F sperre
iptables -X sperre
iptables -N sperre
iptables -F sperre
# first contact #
#################
echo "Some basic locks..."
# Alles aus dem lan ohne passende IP wegwerfen
iptables -A sperre -i eth0 -s ! 192.168.100.0/255.255.255.0 -j DROP
# Sonst alles von eth0 erlauben (Hier sollte man aufpassen, was man den
Usern gew?hren will und sich vor Trojanern sch?tzen.)
iptables -A sperre -i eth0 -j ACCEPT
# F?r Loopback wir immer alles erlaubt ausser von nicht 127.0.0.1
iptables -A sperre -i lo -s 127.0.0.1/255.0.0.0 -j ACCEPT
# Alles aus dem Inet mit meinen IPs werwerfen
iptables -A sperre -i eth1 -s 192.168.100.0/255.255.255.0 -j DROP
# acceptstuff #
###############
echo "Now the services which are allowed..."
# SSH erlauben
iptables -A sperre -p tcp --dport 22 -j ACCEPT
# ftp erlauben
iptables -A sperre -p tcp --dport 20 -j ACCEPT
iptables -A sperre -p tcp --dport 21 -j ACCEPT
# SMTP erlauben
iptables -A sperre -p tcp --dport 25 -j ACCEPT
iptables -A sperre -p tcp --dport 26 -j ACCEPT
# DNS erlauben
iptables -A sperre -p udp --dport 53 -j ACCEPT
# HTTP erlauben
iptables -A sperre -p tcp --dport 80 -j ACCEPT
# POP3 erlauben
iptables -A sperre -p tcp --dport 110 -j ACCEPT
# IMAP erlauben
iptables -A sperre -p tcp --dport 143 -j ACCEPT
# ICQ Ports erlauben
# iptables -A sperre -p tcp --dport 4100:4115 -j ACCEPT
iptables -A INPUT -i tap0 -j ACCEPT
iptables -A INPUT -i br0 -j ACCEPT
iptables -A FORWARD -i br0 -j ACCEPT
iptables -A sperre -p tcp --dport 1194 -j ACCEPT
#eDonkey erlauben
iptables -A sperre -p tcp --dport 4662 -j ACCEPT
# Antworten zulassen #
######################
iptables -A sperre -m state --state ESTABLISHED,RELATED -j ACCEPT
# Alles andere abweisen (RFC-konform) #
#######################################
echo "Reject everything else..."
iptables -A sperre -p tcp -j REJECT --reject-with tcp-reset
iptables -A sperre -p udp -j REJECT --reject-with icmp-port-unreachable
# sperre aktivieren #
#####################
echo "Activating firewall..."
iptables -A INPUT -j sperre
iptables -A FORWARD -j sperre
iptables -P INPUT DROP
iptables -P FORWARD DROP
# Ausgehende Pakete vom Server immer akzeptieren
iptables -P OUTPUT ACCEPT
iptables -P OUTPUT ACCEPT -t nat
# NAT #
#######
echo "Activating NAT..."
iptables -A POSTROUTING -t nat -o eth1 -j MASQUERADE
echo "Firewall finally started!"
----------------------------------------
Könnt ihr mir sagen, ob ich hier irgendwo einen Widerspruch eingebaut habe?
Zur Sicherheit auch noch den Anfang meiner OpenVPN-Server-Conf:
port 1194
proto udp
dev tap0
tun-mtu 1500
fragment 1300
mssfix 1300
Die MTU ist auf allen Interfaces auf 1500 eingestellt.
Vielen Dank für Eure Hilfe!
Martin
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
