我有一台根服务器和两台客户端。根服务器有静态 IP 地址并运行 Debian Linux。我的客户端是 Mac OS X 和 Debian Linux,它们有动态 IP 地址。
我可以在客户端打开 VPN 连接,但流量被 Shorewall 阻止。Shorewall 日志告诉我流量来自网络区域到防火墙区域(防火墙是服务器区域,我没有本地区域,因为只有一台机器),但它应该是从 VPN 区域到防火墙区域,对吧?
这是日志中的一行:
net-fw:DROP:IN=tun0 OUT= SRC=10.8.0.3 DST=10.8.0.1 PROTO=TCP SPT=37744 DPT=3000
这是我的配置文件:
openvpn 服务器.conf:
port 1194
proto udp
dev tun
ca ca.crt
cert me.crt
key me.key
dh dh2048.pem
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
openvpn 客户端.con:
client
dev tun
proto udp
remote xx.xx.xx.xx 1194
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
ca ca.crt
cert debian.crt
key debian.key
remote-cert-tls server
comp-lzo
verb 3
岸墙接口:
net all physical=+
vpn tun+
岸墙区域:
fw firewall
net ip
vpn ipv4
岸墙政策:
$FW net ACCEPT
vpn $FW ACCEPT info
net all DROP info
all all REJECT info
岸墙规则:
Invalid(DROP) net $FW tcp
ACCEPT:info net $FW udp 1194
ACCEPT:info vpn $FW
ACCEPT:info $FW vpn
岸墙隧道:
openvpnserver:1194 net 0.0.0.0/0
答案1
我之前没有遇到过physical
接口选项,但根据阅读shorewall-interfaces
手册页,我不确定它是否做了你可能认为的事情:
net all physical=+
尝试将其更改为
net eth+
然后查看通过 VPN 传入的流量是否被正确分类为来自 VPN 区域。