web-dev-qa-db-fra.com

Ajout de VPN au pare-feu UFW

Je ne parviens pas à me connecter au VPN professionnel lorsque le pare-feu (UFW) est activé. Quand je le désactive "Sudo ufw disable", il n'y a pas de problèmes.

Quand il est allumé, lorsque je tente de me connecter, je reçois ce qui suit

Apr 14 09:57:59 gaj-Lenovo-Z51-70 kernel: [ 2105.983679] [UFW BLOCK] IN=wlan0 OUT= MAC=b4:6d:83:e4:ce:8d:00:22:19:6b:e0:22:08:00 SRC=161.53.97.58 DST=10.111.100.55 LEN=89 TOS=0x00 PREC=0x00 TTL=121 ID=13425 PROTO=47 
Apr 14 09:57:59 gaj-Lenovo-Z51-70 kernel: [ 2105.996395] [UFW BLOCK] IN=wlan0 OUT= MAC=b4:6d:83:e4:ce:8d:00:22:19:6b:e0:22:08:00 SRC=161.53.97.58 DST=10.111.100.55 LEN=60 TOS=0x00 PREC=0x00 TTL=121 ID=13426 PROTO=47 
Apr 14 09:58:02 gaj-Lenovo-Z51-70 kernel: [ 2109.042945] [UFW BLOCK] IN=wlan0 OUT= MAC=b4:6d:83:e4:ce:8d:00:22:19:6b:e0:22:08:00 SRC=161.53.97.58 DST=10.111.100.55 LEN=60 TOS=0x00 PREC=0x00 TTL=121 ID=13427 PROTO=47 
Apr 14 09:58:03 gaj-Lenovo-Z51-70 kernel: [ 2110.040506] [UFW BLOCK] IN=wlan0 OUT= MAC=b4:6d:83:e4:ce:8d:00:22:19:6b:e0:22:08:00 SRC=161.53.97.58 DST=10.111.100.55 LEN=89 TOS=0x00 PREC=0x00 TTL=121 ID=13428 PROTO=47 
Apr 14 09:58:05 gaj-Lenovo-Z51-70 kernel: [ 2112.061598] [UFW BLOCK] IN=wlan0 OUT= MAC=b4:6d:83:e4:ce:8d:00:22:19:6b:e0:22:08:00 SRC=161.53.97.58 DST=10.111.100.55 LEN=60 TOS=0x00 PREC=0x00 TTL=121 ID=13429 PROTO=47 
Apr 14 09:58:07 gaj-Lenovo-Z51-70 kernel: [ 2113.994401] [UFW BLOCK] IN=wlan0 OUT= MAC=b4:6d:83:e4:ce:8d:00:22:19:6b:e0:22:08:00 SRC=161.53.97.58 DST=10.111.100.55 LEN=89 TOS=0x00 PREC=0x00 TTL=121 ID=13430 PROTO=47 
Apr 14 09:58:08 gaj-Lenovo-Z51-70 kernel: [ 2115.012322] [UFW BLOCK] IN=wlan0 OUT= MAC=b4:6d:83:e4:ce:8d:00:22:19:6b:e0:22:08:00 SRC=161.53.97.58 DST=10.111.100.55 LEN=60 TOS=0x00 PREC=0x00 TTL=121 ID=13431 PROTO=47 
Apr 14 09:58:11 gaj-Lenovo-Z51-70 kernel: [ 2117.994069] [UFW BLOCK] IN=wlan0 OUT= MAC=b4:6d:83:e4:ce:8d:00:22:19:6b:e0:22:08:00 SRC=161.53.97.58 DST=10.111.100.55 LEN=89 TOS=0x00 PREC=0x00 TTL=121 ID=13432 PROTO=47 
Apr 14 09:58:11 gaj-Lenovo-Z51-70 kernel: [ 2118.017850] [UFW BLOCK] IN=wlan0 OUT= MAC=b4:6d:83:e4:ce:8d:00:22:19:6b:e0:22:08:00 SRC=161.53.97.58 DST=10.111.100.55 LEN=60 TOS=0x00 PREC=0x00 TTL=121 ID=13433 PROTO=47 
Apr 14 09:58:15 gaj-Lenovo-Z51-70 kernel: [ 2122.002641] [UFW BLOCK] IN=wlan0 OUT= MAC=b4:6d:83:e4:ce:8d:00:22:19:6b:e0:22:08:00 SRC=161.53.97.58 DST=10.111.100.55 LEN=89 TOS=0x00 PREC=0x00 TTL=121 ID=13435 PROTO=47 
Apr 14 09:58:17 gaj-Lenovo-Z51-70 pppd[11718]: LCP: timeout sending Config-Requests
Apr 14 09:58:17 gaj-Lenovo-Z51-70 pppd[11718]: Connection terminated.
Apr 14 09:58:17 gaj-Lenovo-Z51-70 NetworkManager[1620]: <warn> VPN plugin failed: 1
Apr 14 09:58:17 gaj-Lenovo-Z51-70 NetworkManager[1620]:    SCPlugin-Ifupdown: devices removed (path: /sys/devices/virtual/net/ppp0, iface: ppp0)
Apr 14 09:58:17 gaj-Lenovo-Z51-70 pppd[11718]: Modem hangup
Apr 14 09:58:17 gaj-Lenovo-Z51-70 pptp[11722]: nm-pptp-service-11714 warn[decaps_hdlc:pptp_gre.c:204]: short read (-1): Input/output error
Apr 14 09:58:17 gaj-Lenovo-Z51-70 pptp[11722]: nm-pptp-service-11714 warn[decaps_hdlc:pptp_gre.c:216]: pppd may have shutdown, see pppd log
Apr 14 09:58:17 gaj-Lenovo-Z51-70 pptp[11731]: nm-pptp-service-11714 log[callmgr_main:pptp_callmgr.c:234]: Closing connection (unhandled)
Apr 14 09:58:17 gaj-Lenovo-Z51-70 pptp[11731]: nm-pptp-service-11714 log[ctrlp_rep:pptp_ctrl.c:251]: Sent control packet type is 12 'Call-Clear-Request'
Apr 14 09:58:17 gaj-Lenovo-Z51-70 pptp[11731]: nm-pptp-service-11714 log[call_callback:pptp_callmgr.c:79]: Closing connection (call state)
Apr 14 09:58:17 gaj-Lenovo-Z51-70 pppd[11718]: Exit.
Apr 14 09:58:17 gaj-Lenovo-Z51-70 NetworkManager[1620]: <warn> VPN plugin failed: 1
Apr 14 09:58:17 gaj-Lenovo-Z51-70 NetworkManager[1620]: <warn> VPN plugin failed: 1
Apr 14 09:58:17 gaj-Lenovo-Z51-70 NetworkManager[1620]: <info> VPN plugin state changed: stopped (6)
Apr 14 09:58:17 gaj-Lenovo-Z51-70 NetworkManager[1620]: <info> VPN plugin state change reason: 0
Apr 14 09:58:17 gaj-Lenovo-Z51-70 NetworkManager[1620]: <info> Policy set 'eduroam' (wlan0) as default for IPv4 routing and DNS.
Apr 14 09:58:17 gaj-Lenovo-Z51-70 NetworkManager[1620]: <warn> error disconnecting VPN: Could not process the request because no VPN connection was active.
Apr 14 09:58:22 gaj-Lenovo-Z51-70 NetworkManager[1620]: <info> VPN service 'pptp' disappeared
Apr 14 09:58:24 gaj-Lenovo-Z51-70 kernel: [ 2130.359917] [UFW BLOCK] IN=wlan0 OUT= MAC=b4:6d:83:e4:ce:8d:00:22:19:6b:e0:22:08:00 SRC=198.252.206.25 DST=10.111.100.55 LEN=110 TOS=0x00 PREC=0x00 TTL=48 ID=12127 DF PROTO=TCP SPT=443 DPT=38605 WINDOW=37 RES=0x00 ACK PSH URGP=0 
Apr 14 09:58:24 gaj-Lenovo-Z51-70 kernel: [ 2130.792401] [UFW BLOCK] IN=wlan0 OUT= MAC=b4:6d:83:e4:ce:8d:00:22:19:6b:e0:22:08:00 SRC=198.252.206.25 DST=10.111.100.55 LEN=110 TOS=0x00 PREC=0x00 TTL=48 ID=12128 DF PROTO=TCP SPT=443 DPT=38605 WINDOW=37 RES=0x00 ACK PSH URGP=0 
Apr 14 09:58:24 gaj-Lenovo-Z51-70 kernel: [ 2131.268906] [UFW BLOCK] IN=wlan0 OUT= MAC=b4:6d:83:e4:ce:8d:00:22:19:6b:e0:22:08:00 SRC=198.252.206.25 DST=10.111.100.55 LEN=110 TOS=0x00 PREC=0x00 TTL=48 ID=12129 DF PROTO=TCP SPT=443 DPT=38605 WINDOW=37 RES=0x00 ACK PSH URGP=0 
Apr 14 09:58:25 gaj-Lenovo-Z51-70 kernel: [ 2132.221763] [UFW BLOCK] IN=wlan0 OUT= MAC=b4:6d:83:e4:ce:8d:00:22:19:6b:e0:22:08:00 SRC=198.252.206.25 DST=10.111.100.55 LEN=110 TOS=0x00 PREC=0x00 TTL=48 ID=12130 DF PROTO=TCP SPT=443 DPT=38605 WINDOW=37 RES=0x00 ACK PSH URGP=0 
Apr 14 09:58:27 gaj-Lenovo-Z51-70 kernel: [ 2134.125750] [UFW BLOCK] IN=wlan0 OUT= MAC=b4:6d:83:e4:ce:8d:00:22:19:6b:e0:22:08:00 SRC=198.252.206.25 DST=10.111.100.55 LEN=110 TOS=0x00 PREC=0x00 TTL=48 ID=12131 DF PROTO=TCP SPT=443 DPT=38605 WINDOW=37 RES=0x00 ACK PSH URGP=0 
Apr 14 09:58:31 gaj-Lenovo-Z51-70 kernel: [ 2137.937259] [UFW BLOCK] IN=wlan0 OUT= MAC=b4:6d:83:e4:ce:8d:00:22:19:6b:e0:22:08:00 SRC=198.252.206.25 DST=10.111.100.55 LEN=110 TOS=0x00 PREC=0x00 TTL=48 ID=12132 DF PROTO=TCP SPT=443 DPT=38605 WINDOW=37 RES=0x00 ACK PSH URGP=0

Comment puis-je ajouter une exception?

Mille mercis.

vpniptablesfirewallufwpptp
2
Mookey

Utilisateur de vpn PPTP port 47 aka GRE. Pour autoriser ce trafic éditez /etc/ufw/before.rules et ajoutez à la fin du fichier

Sudo nano /etc/ufw/before.rules

cette

# gre
-A ufw-before-input -p 47 -j ACCEPT
-A ufw-before-output -p 47 -j ACCEPT

Puis désactivez, activez ufw

Sudo ufw disable
Sudo ufw enable

EDIT 1

Les règles doivent être placées dans /etc/ufw/before.rules avant le segment # drop INVALID packets ...

puis encore

Sudo ufw disable
Sudo ufw enable
1
2707974

J'ai le même problème que Mookey mais je peux confirmer que la solution 2707974 fonctionne pour moi!

Voyons cela étape par étape.

Si Gufw est réglé sur entrante: refuser et sortant: autoriser la connexion. Ensuite, si j'active VPN, le premier contact avec mon fournisseur VPN est autorisé normalement sans aucune règle. Lorsque le fournisseur de VPN rappelle, son appel est bloqué.

[BLOC UFW] IN = wlan0 OUT = MAC = 49: ........: 10 SRC = yyy.yyy.yyy.yyy DST = xxx.xxx.xxx.xxx LEN = 55 TOS = 0x00 PREC = 0x00 TTL = 49 ID = 33716 PROTO = 47

x = moi, y = mon fournisseur de vpn.

Il est bloqué par une combinaison de raisons, adresse IP entrante et protocole 47.

Maintenant, quand éteignez à nouveau Gufw et démarrez le vpn. netstat -nautp voit:

tcp 0 0 xxx.xxx.xxx.xxx:50798 yyy.yyy.yyy.yyy: 1723 ÉTABLI -

EDIT 1 of 2707974 est correct mais doit être inséré exactement à cet endroit. Cela permettrait de faire en sorte que le protocole 47 soit autorisé. Après cela, vous pouvez ajouter une règle pour autoriser la connexion entrante de votre vpn proveder. Vous pouvez utiliser: Sudo ufw allow yyy.yyy.yyy.yyy et cela fonctionne. Vous pouvez même inclure des ports (quand vous êtes sûr qu'ils ne sont pas choisis au hasard)

Sudo insert 1 allow from yyy.yyy.yyy.yyy port 1723 to xxx.xxx.xxx.xxx port 50798

Cela fonctionne aussi. Vous pensez peut-être que vous êtes installé maintenant, mais il y a un problème de sécurité. La règle de protocole 47 est traitée beaucoup plus tôt que la règle allow ip. Dès qu'il y a un paquet entrant du protocole 47, il est autorisé. Il n'y a pas de rejet si l'adresse IP ne convient pas.

Vous pouvez voir ce qui se passe lorsque vous supprimez la règle ip de ufw. Sudo ufw delete 1 (n'oubliez pas de désactiver/réactiver ufw), le VPN fonctionnera toujours.

Je suis certain que vous ne voulez pas que chaque paquet de chaque hôte vienne dans votre système uniquement parce qu'il s'agit du protocole GRE. Plus sûr est d'inclure l'adresse IP de votre fournisseur de réseau privé virtuel (VPN), de sorte qu'il est le seul.

Changez EDIT 1 en:

-A ufw-before-input -p 47 -s <your vpn provider> -j ACCEPT
-A ufw-before-output -p 47 -s <your vpn provider> -j ACCEPT

Cela fonctionne et est sécurisé. Vous pouvez le vérifier vous-même en modifiant l'adresse IP ci-dessus en une adresse IP incorrecte et vpn cesse de fonctionner. La règle Gufw n'est plus nécessaire même si telle était mon intention. J'apprécierais une règle de travail Gufw beaucoup plus.

J'espère que cela vous a aidé. À votre santé!

2
Dr.Zuse

Vérifiez vos Iptables, il existe peut-être certaines règles qui bloquent également votre connexion VPN.

iptables -L

ACCEPT connexions VPN pour INPUT ainsi que OUTPUT sur Iptables.

iptables -A INPUT -p tcp --dport 47 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 47 -j ACCEPT

Si la connexion VPN fonctionne, sauvegardez les règles

iptables-save
0
Gen