OpenVPNトラフィックはCentOSのファイアウォールによってLANに到達するのをブロックします。

OpenVPNトラフィックはCentOSのファイアウォールによってLANに到達するのをブロックします。

CentOSコンピュータにOpenVPNをインストールしました。クライアントはVPNに正しく接続し、そのリソースにアクセスしてサーバーのLANアドレスをpingできます。ただし、OpenVPNクライアントがOpenVPNサーバーに接続されているLAN上のコンピュータにアクセスできるようにしたいです。サーバーでIP転送を有効にして、読み取ったとおりに実行する必要があるパスをプッシュしましたが、OpenVPNクライアントをテストするときにサーバーLAN上のコンピューターをpingすることもできません。

ファイアウォールを無効にした後、問題は消え、クライアントはopenvpnサーバーの背後にあるLAN上のコンピュータを正常にpingできました。 openvpnゾーンをテストのように許可するために、Firewalldにset-targetを設定し、openvpnサブネット上のすべてのトラフィックを許可するルールを作成しましたが、何も変更されませんでした。動作するように見える唯一の方法は、ファイアウォールを完全に停止することです。他の人の中にこのような問題があり、私を正しい方向に案内してくれる人がいますか?

これは、openvpn が配置されている地域の Firewalld list コマンド出力のコピーです。

Firewalldを確認した後、そのポートを許可するためにhttp / https、openvpn、およびsshサービスを選択することに加えて、このシステムには豊富なルールや手動ポート転送はありません。以下は、openvpn領域のlistコマンドのコピーです。

target: default
icmp-block-inversion: no
interfaces: enp8s0 enp9s0 tun0
sources: 
services: http https openvpn ssh
ports:
protocols: 
forward: no
masquerade: yes
forward-ports: 
source-ports: 
icmp-blocks: 
rich rules:

結局、次のルールを追加する必要がありました。

firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i tun0 -o virbr2 -j ACCEPT
firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i virbr2 -o tun0 -j ACCEPT

唯一の問題は、これが機能している間にオプションを使用して追加しようとするとpermanent適用されないことです。direct.xml

ありがとう、ジェームズ。

関連情報