我有一个根服务器和两个客户端。 根服务器有一个静态IP地址并运行Debian Linux。 我的客户是使用dynamicIP地址的Mac OS X和Debian Linux。
从我的客户端,我可以打开一个VPN连接,但交通被Shorewall封锁。 Shorewall日志告诉我,stream量来自净区域到fw区域(fw是服务器区域,我没有本地区域,因为它只有一台机器),但它应该从vpn区域到fw区域?
这是从日志中的一行:
net-fw:DROP:IN=tun0 OUT= SRC=10.8.0.3 DST=10.8.0.1 PROTO=TCP SPT=37744 DPT=3000 这是我的configuration文件:
openvpn server.conf:
port 1194 proto udp dev tun ca ca.crt cert me.crt key me.key dh dh2048.pem topology subnet server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt keepalive 10 120 comp-lzo user nobody group nogroup persist-key persist-tun status openvpn-status.log verb 3
openvpn client.con:
client dev tun proto udp remote xx.xx.xx.xx 1194 resolv-retry infinite nobind user nobody group nogroup persist-key persist-tun ca ca.crt cert debian.crt key debian.key remote-cert-tls server comp-lzo verb 3
岸边接口:
net all physical=+ vpn tun+
shorewall区域:
fw firewall net ip vpn ipv4
shorewall政策:
$FW net ACCEPT vpn $FW ACCEPT info net all DROP info all all REJECT info
shorewall规则:
Invalid(DROP) net $FW tcp ACCEPT:info net $FW udp 1194 ACCEPT:info vpn $FW ACCEPT:info $FW vpn
岸墙隧道:
openvpnserver:1194 net 0.0.0.0/0
我之前没有遇到过接口的physical选项,但基于阅读shorewall-interfaces页,我不确定这是做你可能认为它做的事情:
net all physical=+
尝试改变它
net eth+
然后看看通过VPN进入的stream量是否被正确分类为来自VPN区域。