Do you use OpenVPN on a raspberry?

Løs OpenVPN Fejl: Operation not permitted

09/11/2014

Rating: 4.67 (15045 votes)

Støder du på den frustrerende fejlmeddelelse write UDP: Operation not permitted (code=1), når du forsøger at starte din OpenVPN-klient? Du er ikke alene. Denne fejl er et klassisk symptom på et underliggende problem, der næsten altid er relateret til din servers firewall-konfiguration. Mange administratorer fokuserer på indgående regler, men glemmer, at OpenVPN-klienten også skal have tilladelse til at sende trafik ud. I denne dybdegående artikel vil vi dissekere problemet, forklare hvorfor det opstår, og give dig konkrete, trin-for-trin løsninger for både iptables og UFW (Uncomplicated Firewall), så du kan genoprette din VPN-forbindelse og sikre dit netværk.

How do I make OpenVPN a client config?
First of all, your openvpn instance is acting as a client (even if the conf file is named "server.conf"). In order to get it work, you need to remove the nobind parameter from the configuration file. The OP stated it was a client config, and it's more than just that one line that makes it a client config: client and tls-client do as well.
Indholdsfortegnelse

Forståelse af Symptomet: Hvad Betyder "Operation not permitted"?

Før vi kan ordinere en behandling, er det vigtigt at forstå diagnosen. Fejlmeddelelsen write UDP: Operation not permitted er operativsystemets kernel, der fortæller OpenVPN-processen, at den ikke har tilladelse til at udføre en skrivehandling på en UDP-socket. I praksis betyder det, at din firewall aktivt blokerer OpenVPN-klientens forsøg på at sende udgående UDP-pakker til VPN-serveren. Når klienten starter, forsøger den at etablere en forbindelse ved at sende en pakke til serverens IP-adresse på den angivne port (typisk 1194 for UDP). Hvis din firewalls udgående regler (OUTPUT chain) er for restriktive og ikke eksplicit tillader denne trafik, vil kernen afvise handlingen, og OpenVPN vil logge denne fejl og forsøge igen, indtil den giver op.

Det er en almindelig misforståelse at tro, at kun indgående trafik (INPUT) skal administreres stramt. I sikre opsætninger, hvor standardpolitikken er at afvise al trafik (både indgående og udgående), er det afgørende at oprette specifikke "tillad"-regler for alle legitime tjenester, herunder den udgående trafik fra din OpenVPN-klient.

Kuren for iptables-brugere: Korrektion af OUTPUT-kæden

For brugere af iptables ligger problemet ofte i en forkert konfigureret regel i OUTPUT-kæden. Lad os analysere en typisk fejlbehæftet regel og derefter rette den.

Den Fejlbehæftede Regel

En almindelig fejl er at begrænse udgående trafik baseret på kildeporten (source port) i stedet for destinationsporten (destination port). For eksempel:

-A OUTPUT -o eth0 -p udp -m state --state ESTABLISHED -m udp --sport 1194 -j ACCEPT

Denne regel er problematisk af to årsager:

  1. --sport 1194: Den antager, at den udgående trafik fra din klient vil have 1194 som kildeport. Dette er forkert. Klienten vil bruge en tilfældig, høj port til at sende trafikken fra, og destinationsporten på serveren vil være 1194.
  2. --state ESTABLISHED: Den tillader kun pakker, der er en del af en allerede etableret forbindelse. Den allerførste pakke, som klienten sender for at starte forbindelsen, har tilstanden NEW, og vil derfor blive blokeret af denne regel.

Den Korrekte Behandling

For at løse problemet skal du tilføje en regel, der eksplicit tillader udgående UDP-pakker til din VPN-servers destinationsport 1194. Den korrekte regel bør se således ud:

-A OUTPUT -o eth0 -p udp -m udp --dport 1194 -j ACCEPT

Denne regel siger: "Tillad al udgående (OUTPUT) trafik på interfacet eth0, der bruger UDP-protokollen, og som er bestemt til destinationsport (dport) 1194." Denne regel vil tillade OpenVPN-klienten at sende den indledende forbindelsesanmodning.

Trin-for-trin guide til rettelse:

  1. Åbn din iptables-regelfil, typisk placeret i /etc/iptables/rules.v4.
  2. Find din OUTPUT-kæde (linjer, der starter med -A OUTPUT).
  3. Fjern eller ret den forkerte regel.
  4. Indsæt den korrekte regel: -A OUTPUT -o eth0 -p udp -m udp --dport 1194 -j ACCEPT. Sørg for at placere den før en generel REJECT- eller DROP-regel.
  5. Gem filen.
  6. Genindlæs dine iptables-regler med kommandoen: sudo iptables-restore < /etc/iptables/rules.v4
  7. Genstart din OpenVPN-klient. Fejlen bør nu være forsvundet.

Kuren for UFW-brugere: Opsætning af en VPN Killswitch

Brugere af UFW støder på samme problem, især når de forsøger at oprette en "killswitch". En killswitch er en sikkerhedsforanstaltning, hvor al internettrafik blokeres, hvis VPN-forbindelsen afbrydes. Dette opnås ved at sætte standardpolitikken til at afvise al udgående trafik og kun tillade trafik gennem VPN-tunnelen (tun0) og til selve VPN-serveren.

Den Typiske Fejlkonfiguration

Problemet opstår, når man glemmer at tillade den indledende udgående forbindelse til VPN-serveren på det fysiske interface (f.eks. eth0 eller wlan0), før tunnelen er etableret.

Den Korrekte Behandling med UFW

Her er en komplet og sikker opskrift på en fungerende UFW-konfiguration, der fungerer som en killswitch og undgår "Operation not permitted"-fejlen. Udskift eth0 med dit netværksinterface og 1194 med din VPN-servers port, hvis den er anderledes.

How do I make OpenVPN a client config?
First of all, your openvpn instance is acting as a client (even if the conf file is named "server.conf"). In order to get it work, you need to remove the nobind parameter from the configuration file. The OP stated it was a client config, and it's more than just that one line that makes it a client config: client and tls-client do as well.
# 1. Nulstil UFW for en ren start sudo ufw reset # 2. Sæt standardpolitikker til at blokere alt sudo ufw default deny incoming sudo ufw default deny outgoing # 3. Tillad trafik på det lokale netværk (valgfrit, men nyttigt for SSH etc.) sudo ufw allow in on eth0 from 192.168.1.0/24 sudo ufw allow out on eth0 to 192.168.1.0/24 # 4. DEN VIGTIGSTE REGEL: Tillad udgående trafik til VPN-serveren # Dette er kuren mod "Operation not permitted" sudo ufw allow out on eth0 to any port 1194 proto udp # 5. Tillad al trafik gennem VPN-tunnelen (når den er etableret) sudo ufw allow out on tun0 sudo ufw allow in on tun0 # 6. Aktiver UFW sudo ufw enable

Ved at tilføje reglen i trin 4 giver du eksplicit OpenVPN lov til at kontakte serveren og etablere tunnelen. Når tunnelen (tun0) er aktiv, vil reglerne i trin 5 overtage og sikre, at al din internettrafik kun kan gå gennem VPN-forbindelsen. Dette er essensen af en funktionel killswitch.

Sammenligningstabel: iptables vs. UFW

For at hjælpe dig med at vælge det rigtige værktøj, er her en sammenligning mellem de to firewall-systemer.

FunktioniptablesUFW (Uncomplicated Firewall)
BrugervenlighedLav. Kræver detaljeret viden om kæder, tabeller og syntaks.Høj. Designet til at være enkel og intuitiv med en mere menneskelig syntaks.
KontrolniveauMeget højt. Giver finkornet kontrol over alle aspekter af netværkspakker.Middel. Abstraherer mange af de komplekse detaljer væk, hvilket gør det lettere, men mindre fleksibelt.
MålgruppeSystemadministratorer og avancerede brugere, der har brug for kompleks routing og filtrering.Begyndere, desktop-brugere og administratorer, der har brug for hurtig og simpel firewall-opsætning.
Underliggende teknologiDirekte interface til Linux-kerneens netfilter-framework.Et frontend-værktøj, der genererer iptables-regler i baggrunden.

Ofte Stillede Spørgsmål (FAQ)

Hvorfor opstår denne fejl overhovedet?

Fejlen er et tegn på en sund og restriktiv firewall-politik. En firewall, der som standard blokerer al ukendt udgående trafik, er mere sikker. Problemet opstår ikke på grund af en fejl i OpenVPN, men fordi administratoren har glemt at oprette en specifik undtagelse for OpenVPNs egen kommunikation.

Kan jeg bruge en anden port end 1194?

Ja, absolut. Hvis din OpenVPN-server kører på en anden port (f.eks. 443 for at omgå visse netværksblokeringer), skal du blot erstatte `1194` med det korrekte portnummer i dine firewall-regler for både iptables og UFW.

Hvad hvis jeg bruger TCP i stedet for UDP til min OpenVPN-forbindelse?

Princippet er nøjagtig det samme, men du skal specificere protokollen som `tcp` i stedet for `udp` i dine firewall-regler. For UFW ville kommandoen for eksempel være: sudo ufw allow out on eth0 to any port 1194 proto tcp.

Mine regler ser korrekte ud, men det virker stadig ikke. Hvad nu?

Dobbelttjek følgende:

  • Interface-navn: Er du sikker på, at dit netværksinterface hedder `eth0`? Brug kommandoen `ip a` for at verificere navnet (`enp3s0`, `wlan0` etc.).
  • Regelrækkefølge: I iptables er rækkefølgen afgørende. Sørg for, at din `ACCEPT`-regel kommer før en generel `REJECT`- eller `DROP`-regel for udgående trafik.
  • VPN Server IP: Hvis du vil være endnu mere specifik, kan du i stedet for `any` i din UFW-regel specificere den præcise IP-adresse på din VPN-server: sudo ufw allow out on eth0 to [VPN_SERVER_IP] port 1194 proto udp.
  • Logs: Tjek dine systemlogs (f.eks. via journalctl -u openvpn-client@dinconfig eller /var/log/syslog) for yderligere ledetråde.

Ved systematisk at gennemgå og korrigere din firewalls udgående regler, kan du effektivt kurere "Operation not permitted"-fejlen og sikre en stabil og sikker OpenVPN-forbindelse. Husk altid, at en firewall, der blokerer for meget, er bedre end en, der blokerer for lidt - det kræver blot den rette konfiguration.

Hvis du vil læse andre artikler, der ligner Løs OpenVPN Fejl: Operation not permitted, kan du besøge kategorien Teknologi.

Go up