Debian-facile

El_Gecko

Membre

Lieu : IDF

Inscription : 30-01-2022

OpenVPN: accès soudain impossible cause perte configuration(ufw...)!?!

Hello,

Il m'est arrivé un truc très curieux sur un VPS (2 CPU, 4 Go RAM ) sous Debian 11.

J'avais configuré récemment un serveur OpenVPN qui marchait très bien sur le port 443 en TCP et il y a 2 jours, impossible d'y accéder, à partir d'un client Unix ou Android.

Le service OpenVPN démarrait très bien mais impossible d'y accéder.
J'ai même perdu l'accès SSH !

En fait, j'ai du refaire à la main presque toute la partie réseau de l'installation:

sudo nano /etc/sysctl.conf
Ajout:
net.ipv4.ip_forward = 1

---
sudo nano /etc/ufw/before.rules

Ajout:
# START OPENVPN RULES
# NAT table rules
*nat
:POSTROUTING ACCEPT [0:0]
# Allow traffic from OpenVPN client to eth0 (change to the interface you discovered!)
-A POSTROUTING -s 10.8.0.0/8 -o eth0 -j MASQUERADE
COMMIT
# END OPENVPN RULES

---
sudo nano /etc/default/ufw
Modif:
DEFAULT_FORWARD_POLICY="ACCEPT"

----
sudo ufw allow 22
sudo ufw allow 443

Je ne comprends vraiment pas ce qui a pu se passer. Comment ces réglages ont pu disparaître soudainement ?!?

Je soupçonne une mise à jour de sécurité faite le 3/6/2023 mais je trouve ça extrême !

Voici l'historique intégral des commandes lancées avant l'incident, sans utiliser le VPN, avec un compte du groupe sudo :

-----------------

sync; dd if=/dev/zero of=tempfile bs=1M count=1024; sync
sudo hdparm -Tt /dev/sda
sudo apt-get install hdparm
sudo apt update
sudo apt list --upgradable
sudo apt dist-upgrade
sudo apt list --upgradable
sudo apt update
sudo hdparm -Tt /dev/sda
sync; dd if=/dev/zero of=tempfile bs=1M count=1024; sync
ls
rm tempfile
hdinfo
sud hdinfo
lspci
lsusb
w
smartctl -a /dev/sda
sudo smartctl -a /dev/sda
sudo apt install smartctl
sudo smartctl
smartctl
sudo lshw -c disk
cat /sys/block/sda/queue/rotational
lsblk -d -o name,rota
time for i in `seq 1 1000`; do     dd bs=4k if=/dev/sda count=1 skip=$(( $RANDOM * 128 )) >/dev/null 2>&1; done
cat /proc/scsi/scsi
sudo  cat /proc/scsi/scsi
sg_vpd --page=bdc /dev/sda
sudo sg_vpd --page=bdc /dev/sda
sudo lshw -short -C disk
lsblk
cat /sys/block/sda/queue/rotational
sudo smartctl -a /dev/sda | grep 'Rotation Rate'
sudo hdparm -I /dev/sd*X* | grep SATA
sudo hdparm -I /dev/sda | grep SATA
sudo hdparm -I /dev/sda
cat /sys/block/vda/queue/rotational
cat /proc/scsi/scsi
sudo apt-get install fio
fio --randrepeat=1 --ioengine=libaio --direct=1 --gtod_reduce=1 --name=test --filename=random_read_write.fio --bs=4k --iodepth=64 --size=250M --readwrite=randrw --rwmixread=80
cd T*
cd ..
ls
cd Dow*
ls
cd Gee*
cd Geekbench-6.0.3-Linux
ls
./geekbench6
ps -ef | grep vpn

-----------------------
Je n'ai pas souvenir d'avoir lancé autre chose qu'un browser en mode graphique (Chromium ou Opera), j'ai très peu d'apllis graphiques installées, j'utilise principalement le terminal.

Avez-vous déjà rencontré ce genre de problème ???
Franchement, j'aimerais bien comprendre pour éviter que cela ne se reproduise.

@+

El Gecko.

---

On commence à vieillir quand on finit d'apprendre (proverbe japonais)

Priareos

Membre

Distrib. : Debian 11 Mate et 12 Gnome

Inscription : 25-07-2021

Re : OpenVPN: accès soudain impossible cause perte configuration(ufw...)!?!

Salut,

Il m'est arrivé des histoires similaires avec des conteneurs LXC Debian. Ca ne m'étonnerait pas que ton VPS soit un conteneur LXC.

Quand tu dis que tu as perdu l'accès ssh quel en est la cause? Pb de mot de passe / clé ? Pb de daemon openssh? Pb de package openssh?

El_Gecko

Membre

Lieu : IDF

Inscription : 30-01-2022

Re : OpenVPN: accès soudain impossible cause perte configuration(ufw...)!?!

Hello Priareos,

Ha, je me sens un peu moins seul avec cette histoire de fou !

Ce VPS est apparemment sous KVM d'après le résultat de lscpu .

$ lscpu
Architecture:                    x86_64
CPU op-mode(s):                  32-bit, 64-bit
Byte Order:                      Little Endian
Address sizes:                   40 bits physical, 48 bits virtual
CPU(s):                          2
On-line CPU(s) list:             0,1
Thread(s) per core:              1
Core(s) per socket:              2
Socket(s):                       1
NUMA node(s):                    1
Vendor ID:                       GenuineIntel
CPU family:                      6
Model:                           45
Model name:                      Intel(R) Core(TM) i7-3930K CPU @ 3.20GHz
Stepping:                        7
CPU MHz:                         3200.350
BogoMIPS:                        6400.70
Hypervisor vendor:               KVM   <= <= <= <= <=
Virtualization type:             full
L1d cache:                       64 KiB
L1i cache:                       64 KiB
L2 cache:                        8 MiB
L3 cache:                        16 MiB
NUMA node0 CPU(s):               0,1
Vulnerability Itlb multihit:     KVM: Mitigation: VMX unsupported
Vulnerability L1tf:              Mitigation; PTE Inversion
Vulnerability Mds:               Vulnerable: Clear CPU buffers attempted, no microcode; SMT Host state unknown
Vulnerability Meltdown:          Mitigation; PTI
Vulnerability Mmio stale data:   Unknown: No mitigations
Vulnerability Retbleed:          Not affected
Vulnerability Spec store bypass: Mitigation; Speculative Store Bypass disabled via prctl and seccomp
Vulnerability Spectre v1:        Mitigation; usercopy/swapgs barriers and __user pointer sanitization
Vulnerability Spectre v2:        Mitigation; Retpolines, IBPB conditional, IBRS_FW, STIBP disabled, RSB filling, PBRSB-
                                 eIBRS Not affected
Vulnerability Srbds:             Not affected
Vulnerability Tsx async abort:   Not affected
Flags:                           fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush mmx fx
                                 sr sse sse2 ss ht syscall nx pdpe1gb rdtscp lm constant_tsc arch_perfmon rep_good nopl
                                  xtopology cpuid tsc_known_freq pni pclmulqdq ssse3 cx16 pcid sse4_1 sse4_2 x2apic pop
                                 cnt tsc_deadline_timer aes xsave avx hypervisor lahf_lm cpuid_fault pti ssbd ibrs ibpb
                                  tsc_adjust xsaveopt arat umip

Les causes de la perte du SSH sont hyper obscures aussi.
Via une connexion x2go en SSH sur le port 22, j'ai réparé la conf OpenVPN puis a un moment j'ai arrêté et redémarré ufw puis j'ai rebooté et là, impossible de me reconnecter en SSH !?!
J'ai du passer par VNC et galéré un max avec la saisie de mon mot de passe root complexe, avec un pb de clavier mal géré... grrrrr... !

C'est quand même très pète burettes ces config qui disparaissent pour de très sombres raisons !
Heureusement, ce n'est pas de la PROD...

Je peux signaler le pb. au support de l'hébergeur mais avec mon tarif à 4€/mois de 2019, je n'ai rien à espérer !
Pour 2 CPU, 4 Go de RAM, 300Go de disque, 100Mbit/s, c'est cadeau mais faut pas trop en attendre...

@+

El Gecko.

---

On commence à vieillir quand on finit d'apprendre (proverbe japonais)