Openvpn sur Debian 11 - Port DMZ bloqués

jcpamart · Décembre 8, 2021, 5:35pm

Bonjour,
Je viens d’installer un openvpn sur un Debian 11 hébergé sur un VPS.
J’ai repris la même config que sur mon ancien VPS qui était sous Debian 9.
J’ai mis les mêmes ports en DMZ qu’avant, pour les avoir ouverts lorsque je suis connecté sur le VPN (laissant les autres fermés par défaut).
Je n’ai fais aucune modif sur la D11, sauf 1 chose que m’a conseillé le support d’openvpn :

update-alternatives --set iptables /usr/sbin/iptables-legacy
update-alternatives --set ip6tables /usr/sbin/ip6tables-legacy

Mais les ports restent fermés.
Est-ce que vous avez une idée d’où cela pourrait venir ?

Merci de votre aide.
JC

Si ça peut vous aider, voici le résultat de la commande

root@openvpn:~# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
AS0_ACCEPT all -- anywhere anywhere state RELATED,EST ABLISHED
AS0_ACCEPT all -- anywhere anywhere
AS0_IN_PRE all -- anywhere anywhere mark match 0x2000 000/0x2000000
AS0_ACCEPT udp -- anywhere openvpn.seedbox.top state NEW udp dpt :openvpn
AS0_WEBACCEPT all -- anywhere anywhere state RELATED, ESTABLISHED
AS0_WEBACCEPT tcp -- anywhere openvpn.seedbox.top state NEW tcp dpt:943

Chain FORWARD (policy ACCEPT)
target prot opt source destination
AS0_ACCEPT all -- anywhere anywhere state RELATED,EST ABLISHED
AS0_IN_PRE all -- anywhere anywhere mark match 0x2000 000/0x2000000
AS0_OUT_S2C all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
AS0_OUT_LOCAL all -- anywhere anywhere

Chain AS0_ACCEPT (4 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere

Chain AS0_IN (4 references)
target prot opt source destination
ACCEPT all -- anywhere 172.27.224.1
AS0_IN_POST all -- anywhere anywhere

Chain AS0_IN_NAT (0 references)
target prot opt source destination
MARK all -- anywhere anywhere MARK or 0x8000000
ACCEPT all -- anywhere anywhere

Chain AS0_IN_POST (1 references)
target prot opt source destination
ACCEPT all -- anywhere 10.0.0.0/24
AS0_OUT all -- anywhere anywhere
DROP all -- anywhere anywhere

Chain AS0_IN_PRE (2 references)
target prot opt source destination
AS0_IN all -- anywhere 169.254.0.0/16
AS0_IN all -- anywhere 192.168.0.0/16
AS0_IN all -- anywhere 172.16.0.0/12
AS0_IN all -- anywhere 10.0.0.0/8
ACCEPT all -- anywhere anywhere

Chain AS0_IN_ROUTE (0 references)
target prot opt source destination
MARK all -- anywhere anywhere MARK or 0x4000000
ACCEPT all -- anywhere anywhere

Chain AS0_OUT (2 references)
target prot opt source destination
AS0_OUT_POST all -- anywhere anywhere

Chain AS0_OUT_LOCAL (1 references)
target prot opt source destination
DROP icmp -- anywhere anywhere icmp redirect
ACCEPT all -- anywhere anywhere

Chain AS0_OUT_POST (1 references)
target prot opt source destination
DROP all -- anywhere anywhere

Chain AS0_OUT_S2C (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere mark match 0x10000 00/0x1000000
AS0_OUT all -- anywhere anywhere

Chain AS0_WEBACCEPT (2 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere

PascalHambourg · Décembre 8, 2021, 8:16am

Entre quoi et quoi ? Dans quel but ?

Qu’entends-tu par « mettre des ports en DMZ » ?

Incomplet et peu lisible. J’aurais préféré la sortie de iptables-save.

jcpamart · Décembre 8, 2021, 5:34pm

Salut, voici l’objet du montage :
NAS Synology => OpenVPN => Torrent

Mettre des ports en DMZ, reviens à dire d’ouvrir certains ports lorsque l’on est connecté via le VPN, en laissant les autres fermés bien sûr.

Pour ce qui est de la commande, voici le résultat :

root@openvpn:~# iptables-save
# Generated by iptables-save v1.8.7 on Wed Dec  8 15:16:11 2021
*nat
:PREROUTING ACCEPT [6817:607041]
:INPUT ACCEPT [6748:601451]
:OUTPUT ACCEPT [23:1642]
:POSTROUTING ACCEPT [23:1642]
:AS0_DNAT_POST - [0:0]
:AS0_DNAT_PRE - [0:0]
:AS0_NAT - [0:0]
:AS0_NAT_POST_REL_EST - [0:0]
:AS0_NAT_PRE - [0:0]
:AS0_NAT_PRE_REL_EST - [0:0]
:AS0_NAT_TEST - [0:0]
-A PREROUTING -m state --state RELATED,ESTABLISHED -j AS0_NAT_PRE_REL_EST
-A PREROUTING -m mark --mark 0x1000000/0x1000000 -j AS0_DNAT_PRE
-A POSTROUTING -m state --state RELATED,ESTABLISHED -j AS0_NAT_POST_REL_EST
-A POSTROUTING -m mark --mark 0x2000000/0x2000000 -j AS0_NAT_PRE
-A POSTROUTING -m mark --mark 0x1000000/0x1000000 -j AS0_DNAT_POST
-A AS0_DNAT_POST -j SNAT --to-source 172.27.224.1
-A AS0_DNAT_PRE -m mark --mark 0x1000100/0x1ffff00 -j ACCEPT
-A AS0_DNAT_PRE -j ACCEPT
-A AS0_NAT -o eth0 -j SNAT --to-source 193.135.134.227
-A AS0_NAT -j ACCEPT
-A AS0_NAT_POST_REL_EST -j ACCEPT
-A AS0_NAT_PRE -m mark --mark 0x8000000/0x8000000 -j AS0_NAT
-A AS0_NAT_PRE -d 169.254.0.0/16 -j AS0_NAT_TEST
-A AS0_NAT_PRE -d 192.168.0.0/16 -j AS0_NAT_TEST
-A AS0_NAT_PRE -d 172.16.0.0/12 -j AS0_NAT_TEST
-A AS0_NAT_PRE -d 10.0.0.0/8 -j AS0_NAT_TEST
-A AS0_NAT_PRE -j AS0_NAT
-A AS0_NAT_PRE_REL_EST -j ACCEPT
-A AS0_NAT_TEST -o as0t+ -j ACCEPT
-A AS0_NAT_TEST -m mark --mark 0x4000000/0x4000000 -j ACCEPT
-A AS0_NAT_TEST -d 10.0.0.0/24 -j ACCEPT
-A AS0_NAT_TEST -d 172.27.224.0/24 -j ACCEPT
-A AS0_NAT_TEST -j AS0_NAT
COMMIT
# Completed on Wed Dec  8 15:16:11 2021
# Generated by iptables-save v1.8.7 on Wed Dec  8 15:16:11 2021
*mangle
:PREROUTING ACCEPT [68701:8353636]
:INPUT ACCEPT [63626:7842986]
:FORWARD ACCEPT [3362:1967421]
:OUTPUT ACCEPT [35713:6898351]
:POSTROUTING ACCEPT [39075:8865772]
:AS0_MANGLE_PRE_REL_EST - [0:0]
:AS0_MANGLE_TUN - [0:0]
:AS0_U_TORRENT_DNAT - [0:0]
-A PREROUTING -m state --state RELATED,ESTABLISHED -j AS0_MANGLE_PRE_REL_EST
-A PREROUTING -d 193.135.134.227/32 -p tcp -m tcp --dport 9091 -m state --state                                                                                                                                     NEW -j AS0_U_TORRENT_DNAT
-A PREROUTING -d 193.135.134.227/32 -p tcp -m tcp --dport 51413 -m state --state                                                                                                                                     NEW -j AS0_U_TORRENT_DNAT
-A PREROUTING -d 193.135.134.227/32 -p udp -m udp --dport 51413 -m state --state                                                                                                                                     NEW -j AS0_U_TORRENT_DNAT
-A PREROUTING -i as0t+ -j AS0_MANGLE_TUN
-A AS0_MANGLE_PRE_REL_EST -j ACCEPT
-A AS0_MANGLE_TUN -j MARK --set-xmark 0x2000000/0xffffffff
-A AS0_MANGLE_TUN -j ACCEPT
-A AS0_U_TORRENT_DNAT -j MARK --set-xmark 0x1000100/0xffffffff
-A AS0_U_TORRENT_DNAT -j ACCEPT
COMMIT
# Completed on Wed Dec  8 15:16:11 2021
# Generated by iptables-save v1.8.7 on Wed Dec  8 15:16:11 2021
*filter
:INPUT ACCEPT [60459:7113869]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [35713:6898351]
:AS0_ACCEPT - [0:0]
:AS0_IN - [0:0]
:AS0_IN_NAT - [0:0]
:AS0_IN_POST - [0:0]
:AS0_IN_PRE - [0:0]
:AS0_IN_ROUTE - [0:0]
:AS0_OUT - [0:0]
:AS0_OUT_LOCAL - [0:0]
:AS0_OUT_POST - [0:0]
:AS0_OUT_S2C - [0:0]
:AS0_WEBACCEPT - [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j AS0_ACCEPT
-A INPUT -i lo -j AS0_ACCEPT
-A INPUT -m mark --mark 0x2000000/0x2000000 -j AS0_IN_PRE
-A INPUT -d 193.135.134.227/32 -p udp -m state --state NEW -m udp --dport 1194 -                                                                                                                                    j AS0_ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j AS0_WEBACCEPT
-A INPUT -d 193.135.134.227/32 -p tcp -m state --state NEW -m tcp --dport 943 -j                                                                                                                                     AS0_WEBACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j AS0_ACCEPT
-A FORWARD -m mark --mark 0x2000000/0x2000000 -j AS0_IN_PRE
-A FORWARD -o as0t+ -j AS0_OUT_S2C
-A OUTPUT -o as0t+ -j AS0_OUT_LOCAL
-A AS0_ACCEPT -j ACCEPT
-A AS0_IN -d 172.27.224.1/32 -j ACCEPT
-A AS0_IN -j AS0_IN_POST
-A AS0_IN_NAT -j MARK --set-xmark 0x8000000/0x8000000
-A AS0_IN_NAT -j ACCEPT
-A AS0_IN_POST -d 10.0.0.0/24 -j ACCEPT
-A AS0_IN_POST -o as0t+ -j AS0_OUT
-A AS0_IN_POST -j DROP
-A AS0_IN_PRE -d 169.254.0.0/16 -j AS0_IN
-A AS0_IN_PRE -d 192.168.0.0/16 -j AS0_IN
-A AS0_IN_PRE -d 172.16.0.0/12 -j AS0_IN
-A AS0_IN_PRE -d 10.0.0.0/8 -j AS0_IN
-A AS0_IN_PRE -j ACCEPT
-A AS0_IN_ROUTE -j MARK --set-xmark 0x4000000/0x4000000
-A AS0_IN_ROUTE -j ACCEPT
-A AS0_OUT -j AS0_OUT_POST
-A AS0_OUT_LOCAL -p icmp -m icmp --icmp-type 5 -j DROP
-A AS0_OUT_LOCAL -j ACCEPT
-A AS0_OUT_POST -j DROP
-A AS0_OUT_S2C -m mark --mark 0x1000000/0x1000000 -j ACCEPT
-A AS0_OUT_S2C -j AS0_OUT
-A AS0_WEBACCEPT -j ACCEPT
COMMIT
# Completed on Wed Dec  8 15:16:11 2021

Désolé, mais je n’ai pas vu comment mettre ces lignes de commandes en mode fenêtré dans le post. Il y a un gentil (ou une) admin qui me corrige mes posts, c’est pas que je veux pas, mais j’ai pas vu comment le faire… Merci de votre aide en tout cas.

EDIT modo: il suffit de placer trois backquotes (AltGr+7) au-dessus et en-dessous du bloc de texte.

Almtesh · Décembre 8, 2021, 10:25pm

Tiens, c’est marrant moi aussi, je ne sais pas d’où sort la mode de donner le retour de iptables -L.

Woah !
J’ai une question bête, à quoi servent les règles de la table mangle dans ta configuration ?
Sinon, autre question, tu mentionnes ça :

Du coup, on peut voir tes règles pour l’IPv6 (ip6tables-save) ?

jcpamart · Décembre 9, 2021, 2:31pm

J’ai dis que le Debian 11 était installé sans aucune modif, les règles mangle sont donc d’origine.

Ca ne donne rien. J’ai simplement suivi ce que m’a donné le support d’openvpn.
Je débute sous linux, et j’ai choisi Debian car elle semble la plus à jour.
Si le FW pouvait avoir une interface graphique, ce serait plus simple, mais visiblement c’est pas impossible, mais très compliqué…

jcpamart · Décembre 9, 2021, 1:56pm

Les règles Mangle ont été établie par openvpn de ce que je viens de comprendre

Almtesh · Décembre 10, 2021, 6:08pm

L’installation d’origine de Debian ne comporte aucune table activées par défaut.

OpenVPN ne gère absolument pas les règles de pare-feu, ce n’est pas son boulot du tout. Si tu veux des règles de pare-feu avec ton tunnel OpenVPN, c’est à toi de gérer ça.

Pourquoi une interface graphique ? Si tu sais ce que tu fais et que tu le comprends, tu peux très bien mettre tes règles en place.
Si tu veux te simplifier la tâche de mise en œuvre et la restauration des règles à chaque démarrage, tu peux toujours installer le paquet iptables-persistent, avec, tu peux mettre tes règles dans /etc/iptable/rules.v4 et elle s’appliquent à chaque démarrage.

jcpamart · Décembre 11, 2021, 5:56am

J’ai deux machines sur lesquelles les réactions de Debian 11 ne sont pas les mêmes. Pour l’un, les ports en DMZ fonctionnent nickel, pour l’autre, pas moyen ! C’est ce qui m’interroge… Et les deux config sont identiques.
Sur Debian 11, on dirait cependant qu’aucun port n’est ouvert par défaut, même si aucune table n’est installé…
Je vais faire comme tu dis, installer iptables-persistent et modifier uniquement ce que j’ai besoin.
Merci pour tes conseils. J’ai profité d’une promo, y a une formation iptables sur Udemy, je prendrais du temps la semaine prochaine de la suivre, ça me fera toujours une formation en plus.

Almtesh · Décembre 11, 2021, 6:18am

Si les deux configs sont identiques, c’est que ton problème vient d’un équipement d’interconnexion sur une des machines qui pose problème, ou que les deux configs ne sont pas vraiment identiques.

Par défaut, comme aucune table n’est activée, il n’y a aucun filtrage sur le trafic. N’importe quelle application peut communiquer ou attendre des communication réseau sur n’importe quel port sans aucune restriction. Si une communication réseau ne fonctionne pas sous Debian avec des tables vides, c’est que le problème vient d’ailleurs.

Bonne idée, ça peut aider. Par contre, quitte à faire une formation pour ça, essaie plutôt de te former sur nftables, iptables va devenir obsolète.