UFW y VPN: cómo permitir la reconexión

Aquí están las reglas de mi firewall:

deny outgoing
deny incoming
allow out from any to any on tun0 (alow just the traffic from the VPN)

Sin embargo, me veo obligado a desactivar ufw cuando quiero iniciar mi conexión vpn desde gnome-network manager. Sin embargo, probé algo como:

allow out from any to any on wlan0 port 1194

Pero no funciona.

Alguna sugerencia ?

SOLUCION:

Las siguientes líneas le permiten bloquear todo el tráfico saliente que no sea VPN. En otras palabras, solo se permite el tráfico VPN. Además, en caso de que su conexión VPN falle, podrá volver a conectarse sin desactivar su firewall.

1 - Ejecute el siguiente comando en una terminal:

sudo tail -f /var/log/ufw.log

2 - Intenta conectarte a tu VPN

3 - Observe todas las líneas del "[UFW BLOCK]" con una dirección IP. En mi caso, tengo dos direcciones ip con DST = . . 0,240 y = DST" . . .241.

Luego tengo el IP dado por mi VPN que también está bloqueado.

3 - Permitir esos ip en su firewall:

To                         Action      From
--                         ------      ----
***.**.**.240              ALLOW OUT   Anywhere
***.**.**.241              ALLOW OUT   Anywhere
**.***.0.0/18  (VPN)            ALLOW OUT   Anywhere
Anywhere                   ALLOW OUT   Anywhere on tun0
22/tcp                     ALLOW OUT   Anywhere
Anywhere (v6)              ALLOW OUT   Anywhere (v6) on tun0
22/tcp (v6)                ALLOW OUT   Anywhere (v6)

Basado en port 1194supongo que usas OpenVPN. La documentación de OpenVpn en las preguntas frecuentes recomienda seguir

¿Qué puertos necesito abrir en mi firewall para Access Server?

Respuesta corta: TCP 443, TCP 943, UDP 1194 Respuesta larga: Por defecto, OpenVPN Access Server tiene 2 demonios OpenVPN en ejecución. Uno de ellos en el puerto UDP 1194 y otro en TCP 443. Recomendamos que use el puerto UDP porque funciona mejor para un túnel OpenVPN. Sin embargo, muchas ubicaciones públicas bloquean todo tipo de puertos, excepto los muy comunes, como http, https, ftp, pop3, etc. Por lo tanto, también tenemos TCP 443 como opción. El puerto TCP 443 es el puerto predeterminado para el tráfico https: // (SSL) y, por lo tanto, esto generalmente se permite en la ubicación del usuario. El puerto TCP 943 es el puerto donde la interfaz del servidor web está escuchando de forma predeterminada. Puede abordar esto directamente usando una URL como https: // yourerverhostnamehere: 943 /o acercándose a él a través del https: // puerto TCP 443 estándar, ya que el daemon OpenVPN enrutará automáticamente internamente el tráfico del navegador a TCP 943 de forma predeterminada. ( https: // yourerverhostnamehere / ).

Pero mi recomendación, desde el campo de batalla, es permitir todo el tráfico desde la dirección IP del servidor vpn

sudo ufw allow from ip_address_of_vpn_server

No especifique proto porque OpenVPN usa ambos, tcpyudp

Editar 1

También puede crear secuencias de comandos para volver a conectar automáticamente cuando tun0sea down.

Agregue una secuencia de comandos simple para almacenar tun-upen /etc/network/if-down.d/qué contenido está

#!/bin/sh
# filename: tun-up

if [ "$IFACE" = tun0 ]; then
  sudo ifup tun0
fi

hazlo ejecutable

sudo chmod +x /etc/network/if-up.d/tun-up

Editar 2

Ok, permitimos una dirección incorrecta. Primero necesitamos tomar la dirección IP correcta para permitir el tráfico.

Comience terminaly ejecute el comando

tail -f /var/log/system | grep UFW

luego intente conectarse a vpn sever. En la terminal verás bloqueado

May 25 08:18:22 xxx kernel: [259789.025019] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:23:cd:f4:8c:29:08:00 SRC=XXX.XXX.XXX.XXX 

En el bloque de búsqueda SRC=XXX.XXX.XXX.XXX, esta es la dirección que le envía el tráfico, en la mayoría de los casos será la dirección IP pública del servidor vpn.

Esta dirección IP debe agregar ufwprimero las reglas, porque usted habla e intercambia el tráfico con esta dirección antes de que se tun0active.

La regla es

sudo ufw insert 1 allow from XXX.XXX.XXX.XXX