Client VPN et firewall (UDP bloqué pas Iptables)

NicolasPetton · July 24, 2017, 9:14am

Salut,

Depuis quelques temps, j’ai remarqué que lorsque le service openvpn@client redémarre (ping-restart après un timeout d’inactivité), le Firewall de YNH n’autorise pas la connexion UDP, et le VPN ne peut donc jamais se reconnecter.

Je peux arrêter/démarrer le firewall, mais je pense que quelque chose cloche.

Voici le log:

TUN/TAP device tun0 opened
Mon Jul 24 09:13:29 2017 TUN/TAP TX queue length set to 100
Mon Jul 24 09:13:29 2017 do_ifconfig, tt->ipv6=1, tt->did_ifconfig_ipv6_setup=1
Mon Jul 24 09:13:29 2017 /sbin/ip link set dev tun0 up mtu 1500
Mon Jul 24 09:13:29 2017 /sbin/ip addr add dev tun0 89.234.186.68/27 broadcast 89.234.186.95
Mon Jul 24 09:13:29 2017 /sbin/ip -6 addr add 2a00:5884:8368::1/112 dev tun0
Mon Jul 24 09:13:31 2017 /sbin/ip route add 89.234.186.3/32 via 192.168.1.1
Mon Jul 24 09:13:31 2017 /sbin/ip route add 0.0.0.0/1 via 89.234.186.65
Mon Jul 24 09:13:31 2017 /sbin/ip route add 128.0.0.0/1 via 89.234.186.65
Mon Jul 24 09:13:31 2017 add_route_ipv6(2000::/3 -> 2a00:5884::4 metric -1) dev tun0
Mon Jul 24 09:13:31 2017 /sbin/ip -6 route add 2000::/3 dev tun0
Mon Jul 24 09:13:31 2017 add_route_ipv6(2a00:5884:8300::/64 -> 2a00:5884::4 metric -1) dev tun0
Mon Jul 24 09:13:31 2017 /sbin/ip -6 route add 2a00:5884:8300::/64 dev tun0
Mon Jul 24 09:13:31 2017 Initialization Sequence Completed
Mon Jul 24 09:51:26 2017 [vpn.grifon.fr] Inactivity timeout (--ping-restart), restarting
Mon Jul 24 09:51:26 2017 /sbin/ip route del 89.234.186.3/32
Mon Jul 24 09:51:26 2017 /sbin/ip route del 0.0.0.0/1
Mon Jul 24 09:51:26 2017 /sbin/ip route del 128.0.0.0/1
Mon Jul 24 09:51:26 2017 delete_route_ipv6(2a00:5884:8300::/64)
Mon Jul 24 09:51:26 2017 /sbin/ip -6 route del 2a00:5884:8300::/64 dev tun0
Mon Jul 24 09:51:26 2017 delete_route_ipv6(2000::/3)
Mon Jul 24 09:51:26 2017 /sbin/ip -6 route del 2000::/3 dev tun0
Mon Jul 24 09:51:26 2017 Closing TUN/TAP interface
Mon Jul 24 09:51:26 2017 /sbin/ip addr del dev tun0 89.234.186.68/27
Mon Jul 24 09:51:26 2017 SIGUSR1[soft,ping-restart] received, process restarting
Mon Jul 24 09:51:26 2017 Restart pause, 2 second(s)
Mon Jul 24 09:51:28 2017 Socket Buffers: R=[212992->131072] S=[212992->131072]
Mon Jul 24 09:51:28 2017 UDPv4 link local: [undef]
Mon Jul 24 09:51:28 2017 UDPv4 link remote: [AF_INET]89.234.186.3:1194
Mon Jul 24 09:51:28 2017 write UDPv4: Operation not permitted (code=1)

NicolasPetton · July 24, 2017, 10:14am

Le probleme semble venir de /etc/yunohost/hooks.d/post_iptable_rules/90-vpnclient, si l’adresse du serveur VPN est une adresse IP et non un FQDN, host4 est toujours faux, et la regle Iptables n’est jamais ajoutée.

tomdereub · December 1, 2017, 2:35am

Salut,
J’ai eu le même problème, et il s’est à priori réglé en supprimant “persist-key” de la configuration.

NicolasPetton · December 1, 2017, 9:49am

Merci du conseil