Порт недоступен через openvpn?

Question

[zazrab]

openvpn поднят за pfsense,на pfsense роутинг 10.2.0.0/24 192.168.12.4
rdp 192.168.12.28
openvpn 10.2.0.6

iptables

#!/sbin/iptables-restore
#Таблица filter и её цепочки
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
# Разрешаем связанные и установленые соединения
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
# Разрешаем служебный icmp-трафик
-A INPUT -p icmp -j ACCEPT
# Разрешаем доверенный трафик на интерфейс loopback
-A INPUT -i lo -j ACCEPT
# Сюда можно вставлять дополнительные правила для цепочки INPUT
-A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --dport 1197 -j ACCEPT
-A INPUT -i tun0 -p tcp --dport 3389 -j ACCEPT
-A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --dport 2566 -j ACCEPT
-A INPUT -p udp -m conntrack --ctstate NEW -m udp --dport 1197 -j ACCEPT
-A INPUT -p udp -m conntrack --ctstate NEW -m udp --dport 123 -j ACCEPT
# Запрещаем всё остальное для INPUT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
# Порядок и смысл правил для цепочек FORWARD и OUTPUT аналогичен INPUT
-A FORWARD -i tun0 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -o tun0 -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
# Фильтровать цепочку OUTPUT настоятельно не рекомендуется
#-A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
#-A OUTPUT -p icmp -j ACCEPT
#-A OUTPUT -o lo -j ACCEPT
#-A OUTPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

client

client
proto tcp
dev tun
ca ca.crt
dh dh2048.pem
cert qaz1.crt
key qaz1.key
remote 188.255.97.5 1197
cipher AES-128-CBC
verb 2
mute 20
keepalive 10 120
comp-lzo
persist-key
persist-tun
float
resolv-retry infinite
nobind

server

port 1197
proto tcp-server
dev tun0
ca keys/server/ca.crt
cert keys/server/test1.crt
key keys/server/test1.key
dh keys/server/dh2048.pem
server 10.2.0.0 255.255.255.0
crl-verify keys/server/crl.pem
cipher AES-128-CBC
user nobody
group nogroup
status servers/changeme/logs/openvpn-status.log
log-append servers/changeme/logs/openvpn.log
verb 2
mute 20
max-clients 100
keepalive 10 120
client-config-dir /etc/openvpn/servers/changeme/ccd
comp-lzo
persist-key
persist-tun
ccd-exclusive
push "route 192.168.12.0 255.255.255.0"

Клиент openvpn на винде подключается и сеть 192.168.12.0 за сервером пингуется.
Из 192.168.12.0 на 10.2.0.0 по рдп подключается но из 10.2.0.0 в 192.168.12.0 через порты 3389/22/ или на веб морду webmin не пускает.

tcpdump 192.168.12.28 and port 3389

tcpdump -i eth0 host 192.168.12.28 and port 3389
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
23:18:10.135954 IP 10.2.0.6.50810 > 192.168.12.28.3389: Flags [S], seq 4201269139, win 8192, options [mss 1350,nop,wscale 8,nop,nop,sackOK], length 0
23:18:13.165874 IP 10.2.0.6.50810 > 192.168.12.28.3389: Flags [S], seq 4201269139, win 8192, options [mss 1350,nop,wscale 8,nop,nop,sackOK], length 0

tcpdump 192.168.12.26 and port 10000

tcpdump -i eth0 host 192.168.12.26 and port 10000
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
23:25:38.957860 IP 10.2.0.6.50845 > 192.168.12.26.webmin: Flags [S], seq 448614509, win 8192, options [mss 1350,nop,wscale 8,nop,nop,sackOK], length 0
23:25:38.994651 IP 10.2.0.6.50846 > 192.168.12.26.webmin: Flags [S], seq 2040360806, win 8192, options [mss 1350,nop,wscale 8,nop,nop,sackOK], length 0
23:25:39.134572 IP 10.2.0.6.50847 > 192.168.12.26.webmin: Flags [S], seq 1454663716, win 8192, options [mss 1350,nop,wscale 8,nop,nop,sackOK], length 0
23:25:42.212823 IP 10.2.0.6.50845 > 192.168.12.26.webmin: Flags [S], seq 448614509, win 8192, options [mss 1350,nop,wscale 8,nop,nop,sackOK], length 0
23:25:42.245498 IP 10.2.0.6.50846 > 192.168.12.26.webmin: Flags [S], seq 2040360806, win 8192, options [mss 1350,nop,wscale 8,nop,nop,sackOK], length 0
23:25:42.245528 IP 10.2.0.6.50847 > 192.168.12.26.webmin: Flags [S], seq 1454663716, win 8192, options [mss 1350,nop,wscale 8,nop,nop,sackOK], length 0

tcpdubp из pfsense

23:30:15.274864 IP 192.168.12.28.3389 > 10.2.0.6.50852: tcp 0
23:30:18.291332 IP 192.168.12.28.3389 > 10.2.0.6.50852: tcp 0

Помогите разобраться почему не могу подключиться по rdp/ssh через openvpn из 10.2.0.0 в 192.168.12.0 ?

Answer 1

[mureevms]

Мне кажется, что дело в маршруте на хостах сети 192.168.12.0. Они не знают маршрут до подсети 10.2.0.0. По дампу видно, что пакеты на промежуточных узлах приходят от инициатора соединения, но не возвращаются обратно.
Решением может быть добавление руками этого маршрута на каждом хосте этой подсети, что-то типа add 10.2.0.0/24 via openvpn.local.IP.from.192.168.12.0.net. Или же добавить его на шлюзе этой подсети.

Хотя странно, что пинги проходят. В общем, если дело не в роуте, то надо больше инфы и еще желательно приложить схему сети с адресами хостов для наглядности. Так же, не совсем понятно с какого хоста правила iptables. Если с OVPN, то зачем там открыт порт 3389, если с RDP сервера, то откуда на нем tun интерфейс.

Comments

[mureevms]

И, возможно, проще поднять OVPN на самом pfsense?

[zazrab]

вот примерная карта сети,вроде ничего не забыл

[mureevms]

Что на счет предположения? Маршрут на 192.168.12.28 есть до подсети 10.2.0.0?

[zazrab]

mureevms:
маршруты на 192.168.12.28


У меня на pfsense прописан маршрут 10.2.0.0/24 192.168.12.4 без этого маршрута у меня пинги с 10.2.0.0 до 192.168.12.0 идут но не возвращаются.
iptables прописан на openvpn

[zazrab]

mureevms:
прописав на rdp route add 10.2.0.0 mask 255.255.255.0 192.168.12.4
подключение прошло