Ciao a tutti.

Ho una VM su proxmox dove gira ubuntu server e dove è configurato openvpn server. Il router (openwrt) fa il forwarding di una specifica porta dalla WAN a questa macchina.

Tutto funziona, riesco a connettermi dall'esterno a questa VPN.
Dubbio: non so come mai funziona.

Da questo Ubuntu Server:
$ sudo ufw status
Status: active
To Action From
-- ------ ----
1194/udp DENY Anywhere
1194/udp (v6) DENY Anywhere (v6)

$ sudo lsof -P -i -n
CoMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
....
openvpn 732 nobody 7e IPv4 20205 0t0 UDP *:1194

Dal client remoto, per esempio Android, posso vedere che la porta usata è la 1194 e il protocollo UDPv4. Non capisco insomma come faccia io dall'esterno ad avviare una connessione verso questa VPN, quando la porta dovrebbe essere chiusa.

ufw nasconde configurazioni specifiche che hanno la priorità su quella indicata lì? Specifico che il DENY l'ho aggiunto io per fare un test adesso, il default è comunque DENY per le connessioni incoming:
$ sudo ufw status verbose
Status: active
Logging: off
Default: deny (incoming), allow (outgoing), deny (routed)
New profiles: skip

  • Matwolf ha risposto a questo messaggio

    Matwolf Mi sa che ci hai preso, tra le cose vedo:
    Chain INPUT
    pkts bytes target prot opt in out source destination
    3062 1019K ACCEPT udp -- ens18 any anywhere anywhere udp dpt:1194

    e
    Chain ufw-user-input
    pkts bytes target prot opt in out source destination
    0 0 DROP udp -- any any anywhere anywhere udp dpt:1194

    Questa seconda regola non c'è una volta che da ufw tolgo le mie due regole (che in teoria non servono, essendo comunque negate le connessioni incoming di default), lasciando la prima che di fatto apre in ingresso la 1194 per il protocollo udp. Probabilmente quando installai e configurai openvpn (mesi e mesi fa) feci qualcosa che non ricordo a mano con iptables.

      Se vuoi usare ufw devi togliere le regole che hai messo a mano su iptables, in modo che restino solo quelle inserite automaticamente da ufw.

      Se togli la regola di accept che vedi su iptables dovresti ottenere il comportamento atteso.

        Matwolf Sì, confermo tutto. Togliendo la regola con iptables, non posso più connettermi da remoto, e mettendo invece un ALLOW da ufw il server riprende ad essere accessibile su quella porta.

        Grazie mille, risolto!

          Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
          P.I. IT16712091004 - info@fibraclick.it

          ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile