发现当
查看了
`
May 8 22:23:14 mysite kernel: [137400.496578] [UFW BLOCK] IN=eth0 OUT= MAC=04:01:4d:aa:cf:01:3c:8a:b0:0d:6f:f0:08:00 SRC=112.65.191.26 DST=192.241.215.26 LEN=44 TOS=0x00 PREC=0x00 TTL=51 ID=31806 PROTO=TCP SPT=2760 DPT=1723 WINDOW=32120 RES=0x00 SYN URGP=0`
可以看到
TCP协议
GRE协议 协议号
注意:很多文章说到需要打开47号端口,这里完全是把协议号和端口号弄混了,完全没必要也没用!!
所以在ufw里
然后重新启动
接下来再连接VPN应该会卡在验证账号密码或直接报错,再查看ufw日志:
意思是
找了好大一圈才发现问题还是出在
如果不需要用到
改为:
接下来修改
修改为:
还需要注意
修改为:
(可能不需要,我是这样修改过的)
然后保存修改,重启
注意:这里修改默认转发策略
出现连接上VPN后连Google都打不开的问题的话,可以再查看
显然
继续重启
再连上VPN就解决所有问题了。
再重复一遍,打开ufw后VPN不能连接或连接上不能联网的主要问题就是出在ufw的默认转发策略上。
如果VPN仍然连接不上,可以在连接失败后及时查看
ufw
启动后,VPN就连接不上了,开启端口后,VPN虽然能连接上,但无法访问互联网。查看了
ufw
日志后总算找到了解决办法,主要就是PPTP协议端口和DNS端口,以及ufw
转发策略的问题。ufw
默认日志路径是/var/log/ufw.log
,开启ufw后连接不上VPN是因为:`
May 8 22:23:14 mysite kernel: [137400.496578] [UFW BLOCK] IN=eth0 OUT= MAC=04:01:4d:aa:cf:01:3c:8a:b0:0d:6f:f0:08:00 SRC=112.65.191.26 DST=192.241.215.26 LEN=44 TOS=0x00 PREC=0x00 TTL=51 ID=31806 PROTO=TCP SPT=2760 DPT=1723 WINDOW=32120 RES=0x00 SYN URGP=0`
可以看到
ufw
阻止了从客户端到主机的1723
端口的访问,百度后发现PPTP VPN建立需要TCP协议
1723
端口GRE协议 协议号
47
注意:很多文章说到需要打开47号端口,这里完全是把协议号和端口号弄混了,完全没必要也没用!!
所以在ufw里
allow 1723
端口:ufw allow 1723
然后重新启动
ufw
:ufw disable
ufw enable
接下来再连接VPN应该会卡在验证账号密码或直接报错,再查看ufw日志:
May
8 23:41:35 mysite kernel: [142101.477024] [UFW BLOCK] IN=eth0 OUT=
MAC=04:01:4d:aa:cf:01:3c:8a:b0:0d:6f:f0:08:00 SRC=112.64.189.87
DST=192.241.215.26 LEN=128 TOS=0x00 PREC=0x00 TTL=242 ID=48426 PROTO=47
意思是
ufw
阻止了从客户端到主机的47
号协议,这里很清楚是PROTO=47
,即GRE协议找了好大一圈才发现问题还是出在
ufw
上,需要修改ufw
的默认转发策略,文件在/etc/default/ufw
如果不需要用到
ipv6
的话可以顺便把IPV6=yes
改为:
IPV6=no
接下来修改
DEFAULT_INPUT_POLICY="DROP"
DEFAULT_OUTPUT_POLICY="DROP"
DEFAULT_FORWARD_POLICY="DROP"
修改为:
DEFAULT_INPUT_POLICY="ACCEPT"
DEFAULT_OUTPUT_POLICY="ACCEPT"
DEFAULT_FORWARD_POLICY="ACCEPT"
还需要注意
sysctl
的问题,修改:IPT_SYSCTL=/etc/ufw/sysctl.conf
修改为:
IPT_SYSCTL=/etc/sysctl.conf
(可能不需要,我是这样修改过的)
然后保存修改,重启
ufw
服务:ufw disable
ufw enable
注意:这里修改默认转发策略
DROP
为ACCEPT
可以解决很大一部分开启ufw
后VPN连接出错或连接上VPN后不能访问互联网(还可能是DNS的问题,下面要说到)的问题!出现连接上VPN后连Google都打不开的问题的话,可以再查看
ufw
日志:May
8 22:27:47 mysite kernel: [137673.617470] [UFW BLOCK] IN=ppp0 OUT=eth0
MAC= SRC=10.100.0.2 DST=8.8.8.8 LEN=70 TOS=0x00 PREC=0x00 TTL=63
ID=48198 PROTO=UDP SPT=50459 DPT=53 LEN=50
显然
ufw
把DNS访问也阻止了,这里打开53号端口:ufw allow 53
继续重启
ufw
:ufw disable
ufw enable
再连上VPN就解决所有问题了。
再重复一遍,打开ufw后VPN不能连接或连接上不能联网的主要问题就是出在ufw的默认转发策略上。
如果VPN仍然连接不上,可以在连接失败后及时查看
ufw
日志,如果日志中没有相关记录,就基本可以断定是客户端路由器和ISP的问题(主要出在ISP不支持GRE协议,我这里就有这个问题)。
No comments:
Post a Comment