ฉันได้อัปเกรดเป็น Debian 11 จาก 10 แล้ว ด้วย Debian 10 openvpn ทำงานได้ดี ตอนนี้ฉันประสบปัญหานี้ ฉันสามารถเข้าถึงเซิร์ฟเวอร์ VPN ของฉันได้ แต่ฉันไม่สามารถ ping หรือเข้าถึง lan ระยะไกลได้ ยกเว้นเซิร์ฟเวอร์ vpn นี่คือการกำหนดค่าไฟร์วอลล์ที่ฝั่งระยะไกล
iptables -L
เชนอินพุท (ยอมรับนโยบาย)
เป้าหมาย prot เลือกปลายทางต้นทาง
ยอมรับทั้งหมด - ทุกที่ ทุกรัฐ ที่เกี่ยวข้อง ก่อตั้ง
ยอมรับทั้งหมด - ทุกที่ทุกที่
ยอมรับ tcp - ทุกที่ ทุกแห่ง หลายพอร์ต dports 2991
ยอมรับ udp - ทุกที่ ทุกแห่ง หลายพอร์ต dports 2991
ยอมรับ tcp -- ที่ไหนก็ได้ tcp dpt:http-alt
ยอมรับ tcp -- 192.168.0.0/24 ได้ทุกที่ tcp dpt:cisco-sccp
ยอมรับ tcp -- 192.168.0.0/24 ได้ทุกที่ tcp dpt:2004
ยอมรับ tcp -- 192.168.0.0/24 ได้ทุกที่ tcp dpt:3000
ยอมรับ tcp -- 192.168.0.0/24 ได้ทุกที่ tcp dpt:37890
ยอมรับ tcp -- ที่ไหนก็ได้ tcp dpt:2124
ยอมรับ tcp -- ที่ไหนก็ได้ tcp dpt:5861
ยอมรับ tcp -- 192.168.0.0/24 ได้ทุกที่ tcp dpt:telnet
ยอมรับ tcp - ทุกที่ ทุก tcp dpts:5900:5910
ยอมรับ icmp - ทุกที่ icmp echo-reply
ยอมรับ icmp - ได้ทุกที่ icmp echo-request
ยอมรับทั้งหมด - ทุกที่ทุกที่
เข้าสู่ระบบทั้งหมด - ทุกที่ทุกที่
ปฏิเสธทั้งหมด - ทุกที่ที่ปฏิเสธด้วย icmp-host-prohibited
ส่งต่อไปข้างหน้า (ยอมรับนโยบาย)
เป้าหมาย prot เลือกปลายทางต้นทาง
ยอมรับทั้งหมด - ทุกที่ทุกที่
ยอมรับทั้งหมด - ทุกที่ ทุกรัฐ ที่เกี่ยวข้อง ก่อตั้ง
NFLOG ทั้งหมด - ทุกที่ ทุกแห่ง
ปฏิเสธทั้งหมด - ทุกที่ที่ปฏิเสธด้วย icmp-host-prohibited
Chain OUTPUT (ยอมรับนโยบาย)
เป้าหมาย prot เลือกปลายทางต้นทาง
ยอมรับ icmp - ทุกที่ icmp echo-reply
ยอมรับ icmp - ได้ทุกที่ icmp echo-request
การบันทึกแบบลูกโซ่ (การอ้างอิง 1 รายการ)
เป้าหมาย prot เลือกปลายทางต้นทาง
NFLOG ทั้งหมด - ทุกที่ ทุกคำนำหน้า nflog "[iptables-drop]:" nflog-group 11
วางทั้งหมด - ทุกที่ทุกที่
root@vpn:/etc/openvpn#
นี่คือการกำหนดค่าในระยะไกลของ Openvpn
พอร์ต 2991
โปรโตคอล tcp
ทุนพัฒนา
ca /etc/openvpn/certs/keys/ca.crt
ใบรับรอง /etc/openvpn/certs/keys/vpn.******.priv.crt
คีย์ /etc/openvpn/certs/keys/vpn.******.priv.key
dh /etc/openvpn/dh2048.pem
ซับเน็ตโทโพโลยี
เซิร์ฟเวอร์ 10.8.0.0 255.255.255.0
ifconfig-pool-persist /var/log/openvpn/ipp.txt
กด "เส้นทาง 192.168.0.0 255.255.255.0"
ลูกค้าต่อลูกค้า
รักษาชีวิต 10 120
tls-auth /etc/openvpn/certs/keys/ta.key 0
data-ciphers-fallback AES-256-CBC
ผู้ใช้ openvpn
กลุ่มโนกรุ๊ป
คีย์คงอยู่
คงอยู่-tun
สถานะ /var/log/openvpn/openvpn-status.log
กริยา 7
รับรองความถูกต้อง SHA512
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-256-CBC-SHA :TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-CBC-SHA:TLS-DHE-RSA-WITH-CAMELLIA-128-CBC-SHA
รับรองความถูกต้อง nocache
นี่คือการกำหนดค่าของ openvpn ในฝั่งไคลเอนต์ (ไฟร์วอลล์เหมือนกับรีโมตดังนั้นฉันจึงหลีกเลี่ยงการโพสต์)
ลูกค้า
ทุนพัฒนา
โปรโตคอล tcp
ระยะไกล ****** 2991
resolv-retry ไม่มีที่สิ้นสุด
ไม่ผูกมัด
ผู้ใช้ไม่มีใคร
กลุ่มไม่มีใคร
คีย์คงอยู่
คงอยู่-tun
ใบรับรอง /etc/openvpn/certs/keys/vpn.******.priv.crt
คีย์ /etc/openvpn/certs/keys/vpn.******.priv.key
dh /etc/openvpn/dh2048.pem
เซิร์ฟเวอร์ระยะไกล cert-tls
tls-auth /etc/openvpn/certs/ta.key 1
data-ciphers-fallback AES-256-CBC
รับรองความถูกต้อง SHA512
รับรองความถูกต้อง nocache
ซับเน็ตโทโพโลยี
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-256-CBC-SHA :TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-CBC-SHA:TLS-DHE-RSA-WITH-CAMELLIA-128-CBC-SHA
กริยา 7
ข้อผิดพลาดเดียวที่ฉันพบบนเซิร์ฟเวอร์คือ ..
21 ที่ผ่านมา 00:56:23 vpn ovpn-server[3791]: ******/*****:24545 ติดตั้งโดย VIRT: 192.168.0.12 [ล้มเหลว]
192.168.0.12 เป็น ip ของเซิร์ฟเวอร์ openvpn และฉันสามารถเข้าถึงได้ แต่ทุก ip ใน lan 192.168.0.02/24 ถูกบล็อก (ไม่มี ping, ไม่มี ssh, ไม่มีอะไร)
ตัวอย่างเช่น..
$ ปิง 192.168.0.1
PING 192.168.0.1 (192.168.0.1) 56(84) ไบต์ของข้อมูล
^ซี
--- สถิติ ping 192.168.0.1 ---
ส่งแพ็กเก็ต 6 แพ็กเก็ต ได้รับ 0 แพ็กเก็ต สูญเสียแพ็กเก็ต 100% เวลา 5133 มิลลิวินาที
$ ปิง 192.168.0.12
PING 192.168.0.12 (192.168.0.12) 56(84) ไบต์ของข้อมูล
64 ไบต์จาก 192.168.0.12: icmp_seq=1 ttl=64 เวลา=166 ms
64 ไบต์จาก 192.168.0.12: icmp_seq=2 ttl=64 เวลา=164 ms
64 ไบต์จาก 192.168.0.12: icmp_seq=3 ttl=64 เวลา=84.9 ms
^ซี
--- สถิติ ping 192.168.0.12 ---
ส่ง 3 แพ็กเก็ต, 3 แพ็กเก็ตที่ได้รับ, สูญเสียแพ็กเก็ต 0%, เวลา 2002ms
rtt นาที/เฉลี่ย/สูงสุด/mdev = 84.924/138.389/166.113/37.814 ms
พบวิธีแก้ปัญหา ใน Debian 11 พวกเขามีความคิดที่ไม่ดี (imho) ที่จะเปลี่ยนชื่อ eth0 แบบคลาสสิกเป็นชื่อยาว 16 ตัวอักษร! ทำให้ไม่สามารถใช้อินเทอร์เฟซใน iptables หรือ bridgge-utils ได้ (ความยาวอินเทอร์เฟซเครือข่ายสูงสุดที่อนุญาตคือ 15) มิฉะนั้นจะได้รับข้อผิดพลาดนี้ "ชื่ออินเทอร์เฟซยาวกว่า 15 อักขระ" ดังนั้น nat ของฉันจึงไปที่อุปกรณ์ที่ไม่มีอยู่จริง (eth0 หายไป) แต่โชคดีที่มีวิธีง่ายๆ:
เป็นกลุ่ม /etc/udev/rules.d/70-persistent-net.rules
#/etc/udev/rules.d/70-persistent-net.rules
SUBSYSTEM=="net", ACTION="add", DRIVERS=="?*", ATTR{address}=="YO:UR:MA:CA:DD:RES", ATTR{type}=="1 ", KERNEL=="eth*", NAME="eth0"
แน่นอนแทนที่ "YO:UR:MA:CA:DD:RES"
หลังจากรีบูต ฉันเห็นชื่อ good eth0 เก่า และทั้งหมดกลับมาทำงาน
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
