Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: Работа StrongSwan c персональным DNS сервером (Pi-Hole)  (Прочитано 668 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн AlexDem

  • Автор темы
  • Активист
  • *
  • Сообщений: 466
    • Просмотр профиля
Я уже как то писал в этой ветке форума про работу OpenVPN на VPS в связке с PiHole через tun0 для того, чтобы отрезалась вся реклама в интернет-трафике, идущем внутри VPN, и это решение работает замечательно. Появилась идея, чтобы сделать это на  IKE2/IPsec путем поднятия StrongSwan.
В общем то оно работает, и работает отлично, с несколькими условиями
1) Надо открыть порт 53 на сервере VPS
2) Надо указать PiHole опцию Listen on all interfaces, permit all origins в Settings -> DNS
3) Надо указать принудительно в конфиге /etc/ipsec.conf rightdns=10.100.0.1 где IP адрес - это внутренний адрес сервера Pi-Hole. и тогда все работает нормально.
Но, есть одно 'но'.
В Pi-Hole при установки опции 'Listen on all interfaces, permit all origins' сказано:
Цитировать
Note that the last option should not be used on devices which are directly connected to the Internet. This option is safe if your Pi-hole is located within your local network, i.e. protected behind your router, and you have not forwarded port 53 to this device. In virtually all other cases you have to make sure that your Pi-hole is properly firewalled.
Иными словами - если 53 порт светит в интернет, то лучше эту опцию не ставить.
И так оно и есть, в работе Pi-Hole начинают появляться внешние подключения с левых серверов для запросов 2.5-3 тыс. адресов за секунды. Явно подозрительный трафик. Поэтому от греха подальше закрыл порт 53, а без него вся конструкция не работает.
C OpenVPN такого безобразят нет, сервер поднимает tun0 и все данные идут внутри, и ему пофигу, открыт ли 53 порт, IPsec работает иначе, и почему то без открытого 53 порта он не хочет обращаться к серверу, и это непонятно почему.
Вот собственно вопрос. Нужна идея, как заставить работать VPN сервер с DNS сервером внутри одного хоста минуя внешнее подключение? Как бы абсудно это не звучало, один сервис внутри одного хоста не хочет работать с другим без внешнего подключения. Была идея сделать iptables правило
sudo ufw allow from 10.100.0.0/24 to 10.100.0.1 port 53где 10.100.0.0/24 это пул адресов VPN, но по какой то причине так тоже не работает.

/etc/ipsec.conf   
(Нажмите, чтобы показать/скрыть)

netstat -tulpn
(Нажмите, чтобы показать/скрыть)
       
« Последнее редактирование: 05 Январь 2021, 12:43:07 от AlexDem »

Оффлайн Dzhoser

  • Старожил
  • *
  • Сообщений: 2553
    • Просмотр профиля
Для реализации вашей хотелки нужно разместить pihole внутри вашей сети за nat   . Например на Raspberry Pi

Оффлайн AlexDem

  • Автор темы
  • Активист
  • *
  • Сообщений: 466
    • Просмотр профиля
Для реализации вашей хотелки нужно разместить pihole внутри вашей сети за nat   . Например на Raspberry Pi
Тогда нет смысла делать VPN, он должен быть внешний... Да и потом, если разделить то через Pihole пойдет только трафик девайсов сети, а нужно туда направить и внешние, и мобильные тоже.

Пользователь добавил сообщение 07 Январь 2021, 14:19:50:
Как говорит закон Мэрфи: "Все можно наладить, если вертеть в руках достаточно долго." :)
Я его сделал. Просто назначил для IKE2/IPsec адресное пространство 10.100.0.50/24, а не 10.100.10.0/24 как было до этого. И заработало. Костыль конечно, но решил вопрос. Я уж не знаю, почему на захотело работать в адресах 10.100.10.0/24, ну да ладно.
« Последнее редактирование: 07 Январь 2021, 14:19:50 от AlexDem »

 

Страница сгенерирована за 0.09 секунд. Запросов: 25.