OpenVPN: accès soudain impossible cause perte configuration(ufw...)!?!

El_Gecko · 05-06-2023 21:09:30

Hello,

Il m'est arrivé un truc très curieux sur un VPS (2 CPU, 4 Go RAM ) sous Debian 11.

J'avais configuré récemment un serveur OpenVPN qui marchait très bien sur le port 443 en TCP et il y a 2 jours, impossible d'y accéder, à partir d'un client Unix ou Android.

Le service OpenVPN démarrait très bien mais impossible d'y accéder.
J'ai même perdu l'accès SSH !

En fait, j'ai du refaire à la main presque toute la partie réseau de l'installation:

sudo nano /etc/sysctl.conf

Ajout:

net.ipv4.ip_forward = 1

---

sudo nano /etc/ufw/before.rules

Ajout:

# START OPENVPN RULES

# NAT table rules

*nat

:POSTROUTING ACCEPT [0:0] 

# Allow traffic from OpenVPN client to eth0 (change to the interface you discovered!)

-A POSTROUTING -s 10.8.0.0/8 -o eth0 -j MASQUERADE

COMMIT

# END OPENVPN RULES

---

sudo nano /etc/default/ufw

Modif:

DEFAULT_FORWARD_POLICY="ACCEPT"

----

sudo ufw allow 22

sudo ufw allow 443

Je ne comprends vraiment pas ce qui a pu se passer. Comment ces réglages ont pu disparaître soudainement ?!?

Je soupçonne une mise à jour de sécurité faite le 3/6/2023 mais je trouve ça extrême !

Voici l'historique intégral des commandes lancées avant l'incident, sans utiliser le VPN, avec un compte du groupe sudo :

-----------------

sync; dd if=/dev/zero of=tempfile bs=1M count=1024; sync

sudo hdparm -Tt /dev/sda

sudo apt-get install hdparm

sudo apt update

sudo apt list --upgradable

sudo apt dist-upgrade

sudo apt list --upgradable

sudo apt update

sudo hdparm -Tt /dev/sda

sync; dd if=/dev/zero of=tempfile bs=1M count=1024; sync

ls

rm tempfile

hdinfo

sud hdinfo

lspci

lsusb

w

smartctl -a /dev/sda

sudo smartctl -a /dev/sda

sudo apt install smartctl

sudo smartctl

smartctl

sudo lshw -c disk

cat /sys/block/sda/queue/rotational

lsblk -d -o name,rota

time for i in `seq 1 1000`; do     dd bs=4k if=/dev/sda count=1 skip=$(( $RANDOM * 128 )) >/dev/null 2>&1; done

cat /proc/scsi/scsi

sudo  cat /proc/scsi/scsi

sg_vpd --page=bdc /dev/sda

sudo sg_vpd --page=bdc /dev/sda

sudo lshw -short -C disk

lsblk

cat /sys/block/sda/queue/rotational

sudo smartctl -a /dev/sda | grep 'Rotation Rate'

sudo hdparm -I /dev/sd*X* | grep SATA

sudo hdparm -I /dev/sda | grep SATA

sudo hdparm -I /dev/sda

cat /sys/block/vda/queue/rotational

cat /proc/scsi/scsi

sudo apt-get install fio

fio --randrepeat=1 --ioengine=libaio --direct=1 --gtod_reduce=1 --name=test --filename=random_read_write.fio --bs=4k --iodepth=64 --size=250M --readwrite=randrw --rwmixread=80

cd T*

cd ..

ls

cd Dow*

ls

cd Gee*

cd Geekbench-6.0.3-Linux

ls

./geekbench6

ps -ef | grep vpn

-----------------------
Je n'ai pas souvenir d'avoir lancé autre chose qu'un browser en mode graphique (Chromium ou Opera), j'ai très peu d'apllis graphiques installées, j'utilise principalement le terminal.

Avez-vous déjà rencontré ce genre de problème ???
Franchement, j'aimerais bien comprendre pour éviter que cela ne se reproduise.

@+

El Gecko.

Priareos · 05-06-2023 22:33:07

Salut,

Il m'est arrivé des histoires similaires avec des conteneurs LXC Debian. Ca ne m'étonnerait pas que ton VPS soit un conteneur LXC.

Quand tu dis que tu as perdu l'accès ssh quel en est la cause? Pb de mot de passe / clé ? Pb de daemon openssh? Pb de package openssh?

El_Gecko · 06-06-2023 22:04:39

Hello Priareos,

Ha, je me sens un peu moins seul avec cette histoire de fou !

Ce VPS est apparemment sous KVM d'après le résultat de lscpu .

$ lscpu

Architecture:                    x86_64

CPU op-mode(s):                  32-bit, 64-bit

Byte Order:                      Little Endian

Address sizes:                   40 bits physical, 48 bits virtual

CPU(s):                          2

On-line CPU(s) list:             0,1

Thread(s) per core:              1

Core(s) per socket:              2

Socket(s):                       1

NUMA node(s):                    1

Vendor ID:                       GenuineIntel

CPU family:                      6

Model:                           45

Model name:                      Intel(R) Core(TM) i7-3930K CPU @ 3.20GHz

Stepping:                        7

CPU MHz:                         3200.350

BogoMIPS:                        6400.70

Hypervisor vendor:               KVM   <= <= <= <= <=

Virtualization type:             full

L1d cache:                       64 KiB

L1i cache:                       64 KiB

L2 cache:                        8 MiB

L3 cache:                        16 MiB

NUMA node0 CPU(s):               0,1

Vulnerability Itlb multihit:     KVM: Mitigation: VMX unsupported

Vulnerability L1tf:              Mitigation; PTE Inversion

Vulnerability Mds:               Vulnerable: Clear CPU buffers attempted, no microcode; SMT Host state unknown

Vulnerability Meltdown:          Mitigation; PTI

Vulnerability Mmio stale data:   Unknown: No mitigations

Vulnerability Retbleed:          Not affected

Vulnerability Spec store bypass: Mitigation; Speculative Store Bypass disabled via prctl and seccomp

Vulnerability Spectre v1:        Mitigation; usercopy/swapgs barriers and __user pointer sanitization

Vulnerability Spectre v2:        Mitigation; Retpolines, IBPB conditional, IBRS_FW, STIBP disabled, RSB filling, PBRSB-

                                 eIBRS Not affected

Vulnerability Srbds:             Not affected

Vulnerability Tsx async abort:   Not affected

Flags:                           fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush mmx fx

                                 sr sse sse2 ss ht syscall nx pdpe1gb rdtscp lm constant_tsc arch_perfmon rep_good nopl

                                  xtopology cpuid tsc_known_freq pni pclmulqdq ssse3 cx16 pcid sse4_1 sse4_2 x2apic pop

                                 cnt tsc_deadline_timer aes xsave avx hypervisor lahf_lm cpuid_fault pti ssbd ibrs ibpb

                                  tsc_adjust xsaveopt arat umip

Les causes de la perte du SSH sont hyper obscures aussi.
Via une connexion x2go en SSH sur le port 22, j'ai réparé la conf OpenVPN puis a un moment j'ai arrêté et redémarré ufw puis j'ai rebooté et là, impossible de me reconnecter en SSH !?!
J'ai du passer par VNC et galéré un max avec la saisie de mon mot de passe root complexe, avec un pb de clavier mal géré... grrrrr... !

C'est quand même très pète burettes ces config qui disparaissent pour de très sombres raisons !
Heureusement, ce n'est pas de la PROD...

Je peux signaler le pb. au support de l'hébergeur mais avec mon tarif à 4€/mois de 2019, je n'ai rien à espérer !
Pour 2 CPU, 4 Go de RAM, 300Go de disque, 100Mbit/s, c'est cadeau mais faut pas trop en attendre...

@+

El Gecko.

Debian-facile

#1 05-06-2023 21:09:30

OpenVPN: accès soudain impossible cause perte configuration(ufw...)!?!

#2 05-06-2023 22:33:07

Re : OpenVPN: accès soudain impossible cause perte configuration(ufw...)!?!

#3 06-06-2023 22:04:39

Re : OpenVPN: accès soudain impossible cause perte configuration(ufw...)!?!

Pied de page des forums