freebsd 감옥에서 Killswitch를 사용하여 openvpn 설정

tag-icon tag-icon networking freebsd openvpn vpn ipfw
freebsd 감옥에서 Killswitch를 사용하여 openvpn 설정

OpenVPN이 비활성화되면 다른 모든 연결이 차단되도록 킬 스위치를 설정하려고 합니다. 적응하려고 노력해요이것Linux 설정은 괜찮지만 FreeBSD에서는 작동하지 않는 것 같습니다.

이것은 내 openvpn.config입니다.

group openvpn
dev tun
remote url.xxx.com 443
resolv-retry infinite
nobind
persist-key
persist-tun
auth-nocache
verb 3
explicit-exit-notify 5
rcvbuf 262144
sndbuf 262144
push-peer-info
setenv UV_IPV6 yes
ca ".../keys/ca.crt"
cert ".../keys/user.crt"
key ".../keys/user.key"
remote-cert-tls server
cipher AES-256-CBC
comp-lzo no
proto udp
tls-auth ".../keys/ta.key" 1

이것은 내 ipfw 구성 스크립트입니다.

#!/bin/bash
ipfw -q -f flush
cmd="ipfw -q add"
$cmd 00001 allow all from any to any via lo0
$cmd 00010 allow all from any to any via tun0 # the vpn interface
$cmd 00101 allow all from me to 192.168.0.0/16
$cmd 00102 allow all from 192.168.0.0/16 to me
$cmd 00103 allow all from any to any gid openvpn 
$cmd 00104 allow all from any to any established
$cmd 00110 allow tcp from any to any dst-port 53 out setup keep-state
$cmd 00111 allow udp from any to any dst-port 53 out keep-state
$cmd 00201 deny all from any to any

안타깝게도 OpenVPN은 이 구성을 사용하여 연결을 설정할 수 없습니다.

Mon Jul 20 22:13:17 2020 WARNING: file '/opt/openvpn/keys/user.key' is group or others accessible
Mon Jul 20 22:13:17 2020 WARNING: file '/opt/openvpn/keys/ta.key' is group or others accessible
Mon Jul 20 22:13:17 2020 OpenVPN 2.4.9 amd64-portbld-freebsd11.3 [SSL (OpenSSL)] [LZO] [LZ4] [MH/RECVDA] [AEAD] built on Jun 12 2020
Mon Jul 20 22:13:17 2020 library versions: OpenSSL 1.0.2u-freebsd  20 Dec 2019, LZO 2.10
Mon Jul 20 22:13:17 2020 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Jul 20 22:13:17 2020 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Jul 20 22:13:17 2020 TCP/UDP: Preserving recently used remote address: [AF_INET]184.75.221.34:443
Mon Jul 20 22:13:17 2020 Socket Buffers: R=[42080->262144] S=[9216->262144]
Mon Jul 20 22:13:17 2020 UDP link local: (not bound)
Mon Jul 20 22:13:17 2020 UDP link remote: [AF_INET]184.75.221.34:443
Mon Jul 20 22:13:17 2020 NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
Mon Jul 20 22:13:17 2020 write UDP: Permission denied (code=13)
Mon Jul 20 22:13:19 2020 write UDP: Permission denied (code=13)

freebsd의 openvpn이 루트/휠로 시작하려는 것 같습니다. 어떤 AD에 관계없이 첫 번째 연결이 성공적으로 설정된 후에만 사용자 지정 그룹으로 다운그레이드됩니다. 이 문제를 해결할 방법이 있나요?

또한 url.xxx.com과의 연결을 허용하도록 ipfw를 구성하려고 시도했지만 ipfw가 해당 URL을 지원하지 않는 것 같습니다.

FreeBSD에서 Killswitch를 성공적으로 설정한 사람이 있습니까?

관련 정보