前提・実現したいこと
OS:CentOS7
OpenVPNサーバを経由して、対象サーバへping,SSH,MySQLのみ許可したい。
発生している問題・エラーメッセージ
現在新規にOpenVPNサーバを構築していますが、以下のような状態で意図したように接続制限ができません。
・OpenVPNのfirewalldの有効無効関係なく、クライアントからOpenVPNサーバへの接続が可能。
・OpenVPNサーバのfirewalldが無効の状態であれば、クライアントからOpenVPNサーバ経由で対象サーバへの通信(ping,SSH確認)が可能。
・firewalldを有効にすると、クライアントからOpenVPNサーバ経由で対象サーバへのPing応答はあるが、SSH接続できない。
Ping応答があるので、通信経路上のスイッチ等の問題はなく、OpenVPNのfirewallの設定が間違っていると考えています。
使用している両方のゾーンにsshがあるのにつながらない原因がわからないのですが、どこが問題なのでしょうか。
該当のソースコード
# ip a 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000 2: ens192: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000 5: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100 # firewall-cmd --get-zone-of-interface=ens192 public # firewall-cmd --get-zone-of-interface=tun+ openvpn # firewall-cmd --permanent --list-all --zone=openvpn openvpn (active) target: default icmp-block-inversion: no interfaces: tun+ sources: services: mysql ssh ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules: # firewall-cmd --permanent --list-all --zone=public public target: default icmp-block-inversion: no interfaces: sources: services: ssh dhcpv6-client openvpn ports: 123456/udp protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules: # cat /etc/openvpn/server.conf port 123456 proto udp dev tun ca ca.crt cert server.crt key server.key dh dh.pem server 10.8.3.0 255.255.255.0 ifconfig-pool-persist ipp.txt push "route 172.16.200.244 255.255.255.255" keepalive 10 180 tls-auth ta.key 0 comp-lzo user nobody group nobody persist-key persist-tun status openvpn-status.log log-append /var/log/openvpn.log verb 4 explicit-exit-notify 1 management localhost 7505 crl-verify crl.pem
試したこと
ゾーンが有効になっているかを試す為、public,openvpnの両方のゾーンに、以下を実行してping応答しないようにしてもping応答はありました。
# firewall-cmd --zone=openvpn --remove-icmp-block=echo-request --permanent 実行後にsystemctl restart firewalld実行
補足情報(FW/ツールのバージョンなど)
openvpn-2.4.6-1.el7.x86_64
回答1件
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2018/08/01 08:50