Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: Маленькие проблемы при маршрутизации VPN Ikev2  (Прочитано 995 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн tarya

  • Автор темы
  • Активист
  • *
  • Сообщений: 305
    • Просмотр профиля
Привет! Настраиваю на новом сервере (с нуля) впн и все делаю как обычно, есть инструкция, генерю ключи, все что нужно везде прописываю, подключаюсь по ВПН на сервер, сервис "my ip" показывает что я работаю через уже тот адрес как будто я там сижу - но зайти на хоть один компьютер который находится в той сети я не могу. Уже и iptables такие же правила переписал с другого сервера - ничего не помогает.

Друзья подскажите куда копать.

Оффлайн bezbo

  • Старожил
  • *
  • Сообщений: 1742
    • Просмотр профиля
Re: Маленькие проблемы при маршрутизации VPN Ikev2
« Ответ #1 : 08 Августа 2020, 20:35:42 »
покажите
sudo iptables-save

Оффлайн tarya

  • Автор темы
  • Активист
  • *
  • Сообщений: 305
    • Просмотр профиля
Re: Маленькие проблемы при маршрутизации VPN Ikev2
« Ответ #2 : 08 Августа 2020, 21:19:22 »
Ну это я делал, понятно. Непонятно почему оно не пропускает пакеты внутрь сети к которой подключился. Ок, сейчас все по новой попробую.

Пользователь добавил сообщение 09 Августа 2020, 17:10:32:
Ни в какую.

Не знаю что и делать. С сервера пингуется машинка что присоединилась, а сам клиент пингует только локальный адрес сервера.

ping 192.168.0.210
PING 192.168.0.210 (192.168.0.210): 56 data bytes
64 bytes from 192.168.0.210: icmp_seq=0 ttl=64 time=154.138 ms

Но если пинговать чтото еще в этой подсети то уже ничего нет.

ping 192.168.0.201
PING 192.168.0.201 (192.168.0.201): 56 data bytes
92 bytes from 25-25-25-25.pool.tel.net (25.25.25.25): Destination Port Unreachable
Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
 4  5  00 5400 fb0f   0 0000  3f  01 ab1d 10.10.10.1  192.168.0.201

Друзья подскажите если есть у кого еще идеи. Спасибо.

Пользователь добавил сообщение 09 Августа 2020, 17:13:29:
# Generated by iptables-save v1.6.1 on Sat Aug  8 15:52:16 2020
*nat
:PREROUTING ACCEPT [336:26611]
:INPUT ACCEPT [149:10936]
:OUTPUT ACCEPT [7:567]
:POSTROUTING ACCEPT [8:578]
-A POSTROUTING -s 192.168.0.0/24 -o enp1s5 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/24 -o enp1s5 -m policy --dir out --pol ipsec -j ACCEPT
-A POSTROUTING -s 10.10.10.0/24 -o enp1s5 -m policy --dir out --pol ipsec -j ACCEPT
-A POSTROUTING -s 10.10.10.0/24 -o enp1s5 -j MASQUERADE
COMMIT
# Completed on Sat Aug  8 15:52:16 2020
# Generated by iptables-save v1.6.1 on Sat Aug  8 15:52:16 2020
*filter
:INPUT ACCEPT [187:11076]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [18017:23519161]
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p esp -j ACCEPT
-A INPUT -p udp -m udp --dport 500 -j ACCEPT
-A INPUT -p udp -m udp --dport 4500 -j ACCEPT
-A FORWARD -s 10.10.10.1/32 -i enp1s5 -m policy --dir in --pol ipsec --reqid 2 --proto esp -j ACCEPT
-A FORWARD -d 10.10.10.1/32 -o enp1s5 -m policy --dir out --pol ipsec --reqid 2 --proto esp -j ACCEPT
-A FORWARD -s 10.10.10.0/24 -i enp1s5 -m policy --dir in --pol ipsec --reqid 9 --proto esp -j ACCEPT
-A FORWARD -d 10.10.10.0/24 -o enp1s5 -m policy --dir out --pol ipsec --reqid 9 --proto esp -j ACCEPT
-A FORWARD -i enp3s0 -o enp1s5 -j ACCEPT
-A FORWARD -i enp1s5 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i enp1s5 -o enp3s0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -s 10.10.10.0/24 -m policy --dir in --pol ipsec --proto esp -j ACCEPT
-A FORWARD -d 10.10.10.0/24 -m policy --dir out --pol ipsec --proto esp -j ACCEPT
-A FORWARD -s 10.10.10.0/24 -o enp1s5 -p tcp -m policy --dir in --pol ipsec -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1361:1$
COMMIT
# Completed on Sat Aug  8 15:52:16 2020
« Последнее редактирование: 09 Августа 2020, 17:13:29 от tarya »

Оффлайн tarya

  • Автор темы
  • Активист
  • *
  • Сообщений: 305
    • Просмотр профиля
Re: Маленькие проблемы при маршрутизации VPN Ikev2
« Ответ #3 : 09 Августа 2020, 22:37:58 »
покажите
sudo iptables-save

# Generated by iptables-save v1.6.1 on Sun Aug  9 19:36:16 2020
*filter
:INPUT ACCEPT [787:42525]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [30820:38981802]
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p esp -j ACCEPT
-A INPUT -p udp -m udp --dport 500 -j ACCEPT
-A INPUT -p udp -m udp --dport 4500 -j ACCEPT
-A FORWARD -s 10.10.10.2/32 -i enp1s5 -m policy --dir in --pol ipsec --reqid 6 --proto esp -j ACCEPT
-A FORWARD -d 10.10.10.2/32 -o enp1s5 -m policy --dir out --pol ipsec --reqid 6 --proto esp -j ACCEPT
-A FORWARD -s 10.10.10.0/24 -i enp1s5 -m policy --dir in --pol ipsec --reqid 9 --proto esp -j ACCEPT
-A FORWARD -d 10.10.10.0/24 -o enp1s5 -m policy --dir out --pol ipsec --reqid 9 --proto esp -j ACCEPT
-A FORWARD -i enp3s0 -o enp1s5 -j ACCEPT
-A FORWARD -i enp1s5 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i enp1s5 -o enp3s0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -s 10.10.10.0/24 -m policy --dir in --pol ipsec --proto esp -j ACCEPT
-A FORWARD -d 10.10.10.0/24 -m policy --dir out --pol ipsec --proto esp -j ACCEPT
-A FORWARD -s 10.10.10.0/24 -o enp1s5 -p tcp -m policy --dir in --pol ipsec -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1361:1536 -j TCPMSS --set-mss 1360
COMMIT
# Completed on Sun Aug  9 19:36:16 2020
# Generated by iptables-save v1.6.1 on Sun Aug  9 19:36:16 2020
*nat
:PREROUTING ACCEPT [383:30152]
:INPUT ACCEPT [242:15530]
:OUTPUT ACCEPT [1:76]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 192.168.0.0/24 -o enp1s5 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/24 -o enp1s5 -m policy --dir out --pol ipsec -j ACCEPT
-A POSTROUTING -o enp1s5 -j SNAT --to-source xx.xx.244.25
-A POSTROUTING -s 10.10.10.0/24 -o enp1s5 -m policy --dir out --pol ipsec -j ACCEPT
-A POSTROUTING -s 10.10.10.0/24 -o enp1s5 -j MASQUERADE
-A POSTROUTING -s 10.10.10.0/24 -o enp1s5 -m policy --dir out --pol ipsec -j ACCEPT
-A POSTROUTING -s 10.10.10.0/24 -o enp1s5 -j MASQUERADE
COMMIT
# Completed on Sun Aug  9 19:36:16 2020

Где enp1s5 - внешний интерфейс, enp3s0 - внутренний.

Сорян не сразу понял что вы просили.

 

Страница сгенерирована за 0.03 секунд. Запросов: 25.