Estimados, hace tiempo me estoy volviendo loco y no puedo lograr hacer que shorewall me filtre los clientes de OpenVPN!!
Les cuento como viene la cosa: Tengo mi OpenVPN con la siguiente configuracion: #### server.cfg #### script-security 2 port 1194 proto udp dev tun0 management localhost 7794 crl-verify /etc/openvpn/easy-rsa/keys/crl.pem ca /etc/openvpn/keys/ca.crt cert /etc/openvpn/keys/server.crt key /etc/openvpn/keys/server.key dh /etc/openvpn/keys/dh2048.pem plugin /usr/lib/openvpn/openvpn-auth-ldap.so auth/auth-ldap.conf username-as-common-name auth-user-pass-verify auth/auth.pl via-env server 10.21.0.0 255.255.0.0 ifconfig 10.21.0.1 255.255.0.0 client-config-dir /etc/openvpn/ccd ifconfig-pool-persist ipp.txt client-to-client keepalive 10 120 comp-lzo max-clients 200 persist-key persist-tun status /var/log/openvpn/openvpn-status.log log /var/log/openvpn/openvpn.log log-append /var/log/openvpn/openvpn.log verb 5 ping-restart 0 ################ El archivo ccd de mi usuario es: #### marc.ccd #### ifconfig-push 10.21.44.85 10.21.44.86 push "route 192.168.0.0 255.255.255.0" push "route 172.16.0.0 255.255.0.0" push "route 192.168.254.0 255.255.255.0" Hasta aqui todo bien, llego bien a la LOC (asi llame a mi red local en shorewall) y a la DMZ. Si pongo en las rules de shorewall: DROP vpn:10.21.44.85 dmz all Me bloquea perfectamente! Pero si pongo: DROP vpn:10.21.44.85 loc all No surte efecto, y de echo agregue info en todas las polices y no tengo informacion de nada sobre ese IP en los logs!!! En el shorewall lo tengo configurado asi: #### tunnels #### openvpnserver:1194 dmz 0.0.0.0/0 ############### #### interfaces #### - tun0 detect tcpflags ################# #### hosts #### vpn tun0:10.21.0.0/16 ############# #### zones #### vpn ipv4 ############# Intente agregar un host que sea vpn44 con el rango de mi IP, ya que uso multiples subnets porque uso la topology vieja de OpenVPN net30 y me quedaba corto con los hosts, agregue las polices en DROP, reglas y demas, y sigue pasando lo mismo! Alguien sabe que puede ser lo que este sucediendo? Ya me estoy comiendo la cabeza y no logro hacerlo funcionar!!! Desde ya agradezco toda informacion que sea util!!! Saludos! MarC