Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: Strongswan за роутером провайдера  (Прочитано 1980 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Dimonchik

  • Автор темы
  • Новичок
  • *
  • Сообщений: 13
    • Просмотр профиля
Strongswan за роутером провайдера
« : 07 Октября 2019, 19:53:47 »
Есть 2 сервера Ubuntu они настроены как шлюз для внутренней сети. Перед ними роутеры провайдера настроенные со своей внутренней сетью 192.168.0.0 На серверах установлен strongswan 5.3.5. Если настраивать site-to-site как в инструкциях с указанием внешних адресов и с указанием внутренней сети серверов 1 сервер 192.168.4.0 и 2 сервер 192.168.5.0 то канал поднимается но трафик(пинг сети на другом конце сервера) в него не идёт, я так понимаю что канал устанавливается между сетями роутеров 192.168.0.0. 1 Подскажите пожалуйста конфиг для настройки канала в сеть 192.168.4.0 и 192.168.5.0.
2 Или просто нужно правило прописать для проброса портов 500 и 4500 с интерфейса eth0(192.168.0.7) на интерфейс eth1(192.168.4.1)?

(Нажмите, чтобы показать/скрыть)
(Нажмите, чтобы показать/скрыть)

Оффлайн acetone

  • Участник
  • *
  • Сообщений: 168
    • Просмотр профиля
    • Fediverse
Re: Strongswan за роутером провайдера
« Ответ #1 : 09 Октября 2019, 08:52:04 »
Два сервера-маршрутизатора смотрят на внешний роутер, на сколько я понял. Ты хочешь организовать сообщение двух твоих серверов через третий, неподконтрольный тебе сервер? Если так, то пинга не будет, ибо маршрутов сервер 192.168.0.Х не знает.
Сервер провайдера назначен как дефолт-гейтвэй? Если так, но на нем не настроена маршрутизация, 192.168.4.1 посылает в поисках 192.168.5.1 пакет третьему серверу 192.168.0.Х, а он по идее хочет выйти в глобальную сеть (интернет), но адрес запроса локальный, поэтому он его выкидывает, как ошибочный.
Много написал, да и сути твоего вопроса, возможно,  не уловил.
Если понял верно: нужно прописать маршрутизацию на сервере провайдера, который в сети 192.168.0.0, если нет такой возможности, то организовать сеть иначе: ПЕРВЫЙ твой сервер смотрит на ВНЕШНИЙ сервак, а ВТОРОЙ сервер непосредственно общается с первым и в случае надобности через него же выходит на ВНЕШНИЙ. Тут пинговаться будет, ибо все настройки в твоих руках.
Если я чего-то не понял - напиши.
Пошутил про демона - нажал иконку.

Оффлайн Dimonchik

  • Автор темы
  • Новичок
  • *
  • Сообщений: 13
    • Просмотр профиля
Re: Strongswan за роутером провайдера
« Ответ #2 : 21 Октября 2019, 20:42:41 »
Вот так выглядит сеть. Канал поднимается трафик в него не идёт.

Оффлайн acetone

  • Участник
  • *
  • Сообщений: 168
    • Просмотр профиля
    • Fediverse
Re: Strongswan за роутером провайдера
« Ответ #3 : 22 Октября 2019, 07:53:40 »
Спасибо за рисунок, так намного проще!  :coolsmiley:
Что значит "канал поднимается" конкретно в вашем случае? Машины пингуются (команда ping 192.168.Х.Х)? Можете, исходя из схемы, дать точные данные откуда и куда вы пытаетесь отослать пакеты. Желательно с разных периметров, например:
-
192.168.5.5 > 192.168.4.5
192.168.4.5 > 192.168.5.5
(зеркально, для проверки маршрутизации в обе стороны)
-
xxx.xxx.xxx.xxx > vvv.vvv.vvv.vvv
(роутеры)
-
Возможная причина, на мой взгляд - очевидная: у роутеров уникальный IP? Эта услуга предоставляется провайдерами за отдельную плату, называется что-то типа "выделенный IP-адрес". В противном случае выши роутеры X и V (как на схеме), выходят не на прямую в провайдера, а в его NAT-сеть. Приведенные вами IP "X" и "V" - всего лишь локальные ИПы провайдера.
Не поленился нарисовать схему, чтобы этот вопрос стал понятнее.
Если проблема не в этом - пишите, рассмотрим все и перевернем вашу сеть :)


Пошутил про демона - нажал иконку.

Оффлайн Dimonchik

  • Автор темы
  • Новичок
  • *
  • Сообщений: 13
    • Просмотр профиля
Re: Strongswan за роутером провайдера
« Ответ #4 : 26 Октября 2019, 12:11:12 »
Спасибо за помощь. Решил этот вопрос. У меня правило ACCEPT для трафика esp располагалось ниже правила MASQUARADE.

Только есть нюанс работы, если на одном конце VPN теряет связь(например выключили сервер), после включения, канал не поднимается до тех пор пока strongswan не перезапустишь на конце где связь не пропадала, при этом отображается одно подключение и время его состояния(10мин-30 мин-1 час-2 часа. т.е оно увеличивается), думал решить это параметрами dpddelay = 300s, dpdtimeout = 600s, dpdaction = restart( не помогло). Добавил параметр closeaction = restart(dpddelay = 300s, dpdtimeout = 600s, dpdaction = restart отключал и оставлял), канал стал подниматься после потери связи но при получение статуса VPN канала(sudo ipsec status) теперь отображается 3-6 подключения и время его состояния(жизни) максимум 20сек(при чём у всех подключений разное время жизни(1 5сек, 2 10сек, 3 18сек)). Я так понимаю что он постоянно перезапускается. Это нормальная работа или что то я не то сделал? В нормальном режиме должно быть 1 подключение с увеличивающимся временем жизни и при потере связи восстанавливаться при появлении связи( отработает dpdaction=restart) я так предполагаю.

параметры подключения
(Нажмите, чтобы показать/скрыть)
« Последнее редактирование: 26 Октября 2019, 12:45:33 от Dimonchik »

 

Страница сгенерирована за 0.08 секунд. Запросов: 25.