PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : iptables/firehol verbietet initiale OpenVPN-Verbindung



Gecko
03.02.2009, 12:15
Hallo Board!

folgendes Setup:
- Kunde mit 2 Außenstandorten (namentlich Berlin und München)
- jeder Außenstandort hat 8 x /24 Netze
- die beiden Außenstandorte haben jeweils eine Firewall mit Debian Etch, firehol als Rule-Generator für iptables
- München ist der Hauptstandort, auf dessen Firewall läuft OpenVPN als Dienst, damit sich Berlin (die Firewall, auf der auch OpenVPN läuft) einwählen kann
- die kompletten Netze werden übers VPN geroutet
- der Tunnel selbst nutzt IPs aus 10.0.0.0/24

Wenn ich die Berliner Firewall mal neu starten muss, oder sie einfach so mal ausfällt (alles schon vorgekommen), muss ich firehol stoppen, damit die initiale Connection des OpenVPN nach München erfolgreich ist. Erst danach kann ich firehol wieder starten. Andernfalls erscheinen folgende Meldungen im openvpn.log:

> Mon Feb 2 16:50:23 2009 write UDPv4 []: Operation not permitted (code=1)

Den OpenVPN-Service habe ich wie folgt definiert:

> server_ovpn_ports="tcp/1194 udp/1194"
> client_ovpn_ports="default"

Die Rule habe ich dann wie folgt geschrieben

> client "ovpn" accept dst "<IP von München>"

Hat jmd. ein ähnliches Problem oder gar eine Lösung dafür?

Vielen Dank, beste Grüße und einen schönen Tag,
Daniel