16.04 VPN L2TP

[tarya]

Прошу помочь найти инструкцию поднятия VPN через l2tp - а то после обновления сломался.

Буду благодарен. Спасибо.
Пользователь добавил сообщение 22 Апреля 2017, 00:27:51:Что интересно на двух серверах после обновления все заработало само собою. Один с нуля поставил на 16.04 - не нашел инструкцию как ставить, а по старой не ставится так как openswan уже не ставится (как работает на тех кто обновился я не знаю).

И почему тут после обновления не работает сложно сказать.
Пользователь добавил сообщение 22 Апреля 2017, 02:24:05:Настроил по статье IKEv2 тип соеднения - https://www.8host.com/blog/ustanovka-vpn-servera-ikev2-strongswan-v-ubuntu-16-04/

Все соединяется, работает интернет, определяется что я как бы уже с удаленного адреса сижу, но внутренние ресурсы к которым нужно подключаться я не вижу. Зараза.

[AnrDaemon]

https://forum.ubuntu.ru/index.php?topic=107492.0

И не забудьте свой второй топик удалить, пока модераторы не нашли.

[tarya]

Спасибо за ответ, но у меня там интернет есть и не пропадал. У меня задача подключиться к серверу за которым есть пару компов на которые мне нужно прицепиться. Через L2TP небыло вопросов, теперь когда он загнулся - новый подключаясь дает мне без вопросов интернет, но нет возможности простучасться на ресурсы в сети. Он просто ничего не видит.

Надеюсь мы правильно друг друга понимаем.
Пользователь добавил сообщение 22 Апреля 2017, 02:53:23:Вторую тему мне не удается удалить.

[AnrDaemon]

Внимательно прочтите первое сообщение топика. Там есть инструкция, что делать, если ничего не работает.

Вторую тему мне не удается удалить.

В сообщении кнопку "удалить" кто-то не даёт нажать?

[tarya]

Я нажимал удалить, но мне пишет "у вас нет прав удалять свои сообщения". Извините конечно.


Я разобраля ночью что загвоздка в файле ipsec.conf - именно там нужно выставить какой то параметр так чтоб я мог читать устройства. Что интересно сам адрес шлюза мне доступен - там он по адресу 192.168.0.200 - открывается без вопросов, остальные же адреса не перопускаються.

Код: [Выделить]

config setup
        charondebug="ike 1, knl 1, cfg 0"
        uniqueids=no

conn ikev2-vpn
        auto=add
        compress=no
        type=tunnel
        keyexchange=ikev2
        fragmentation=yes
        forceencaps=yes

        ike=aes256-sha1-modp1024,3des-sha1-modp1024!
        esp=aes256-sha1,3des-sha1!
        dpdaction=clear
        dpddelay=300s
        rekey=no
        left=%any
        leftid=XXX.XXX.XXX.XXX
        leftcert=/etc/ipsec.d/certs/vpn-server-cert.pem
        leftsendcert=always
        leftsubnet=0.0.0.0/0
        right=%any
        rightid=%any
        rightauth=eap-mschapv2
        rightsourceip=192.168.0.210-192.168.0.220
        rightdns=8.8.8.8,8.8.4.4
        rightsubnet=192.168.0.0/24
        rightsendcert=never
        eap_identity=%identityПользователь добавил сообщение 22 Апреля 2017, 13:56:59:

Внимательно прочтите первое сообщение топика. Там есть инструкция, что делать, если ничего не работает.

Вторую тему мне не удается удалить.

В сообщении кнопку "удалить" кто-то не даёт нажать?

Друг выручай, я знаю ты можешь помочь.

[AnrDaemon]

Друг

Простите, что?…

ты можешь помочь.

Помочь я могу, если вы предоставити информацию.
И вы определитесь, вы разобрались в проблеме, или нет?

[tarya]

Нет, не разобрался. Я уже не знаю что думать. Тут или с iptables что-то не так, или с настройками IPSEC. Подключаюсь без вопросов, пингую и вижу ресурс на который подлючаюсь, при том не могу пропинговать сам себя и остальную подсеть.

Код: [Выделить]

# Generated by iptables-save v1.6.0 on Sat Apr 22 01:25:16 2017
*mangle
:PREROUTING ACCEPT [356:32445]
:INPUT ACCEPT [254:19307]
:FORWARD ACCEPT [102:13138]
:OUTPUT ACCEPT [131:14076]
:POSTROUTING ACCEPT [227:27295]
#-A FORWARD -s 192.168.0.0/24 -o eth0 -p tcp -m policy --dir in --pol ipsec -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1361:1536 -j TCPMSS --set-mss 1360
COMMIT
# Completed on Sat Apr 22 01:25:16 2017
# Generated by iptables-save v1.6.0 on Sat Apr 22 01:25:16 2017
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [131:14076]
-A INPUT -i lo -j ACCEPT
#-A INPUT -p udp -m udp --dport 500 -j ACCEPT
#-A INPUT -p udp -m udp --dport 4500 -j ACCEPT

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
#-A INPUT -j DROP

-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j REJECT --reject-with icmp-port-unreachable
#-A FORWARD -s 192.168.0.0/24 -m policy --dir in --pol ipsec --proto esp -j ACCEPT
#-A FORWARD -d 192.168.0.0/24 -m policy --dir out --pol ipsec --proto esp -j ACCEPT
#-A FORWARD -j DROP
COMMIT
# Completed on Sat Apr 22 01:25:16 2017
# Generated by iptables-save v1.6.0 on Sat Apr 22 01:25:16 2017
*nat
:PREROUTING ACCEPT [101:7421]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [20:1475]
:POSTROUTING ACCEPT [20:1475]
-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE
#-A POSTROUTING -s 192.168.0.0/24 -o eth0 -m policy --dir out --pol ipsec -j ACCEPT
COMMIT
# Completed on Sat Apr 22 01:25:16 2017


Некоторые правила я отменил (закоментил) так как мне они какие то странные показались и все равно не работало.
Пользователь добавил сообщение 22 Апреля 2017, 22:05:16:Я конечно не все сделал по статье что я дал линк выше. Например там есть:

Код: [Выделить]

Сначала отключите UFW (если этот брандмауэр включен), чтоб избежать конфликта правил:

sudo ufw disable

Затем очистите список правил UFW:

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -F
iptables -Z
Но зачем мне это очищать? Плюс сервер далеко если он загнется я просто не доеду до него, потому не могу делать эксперименты. Конечно может потому и не сработало все верно.
Пользователь добавил сообщение 22 Апреля 2017, 23:03:20:Включил в айпитейблс все как по статье практически:

# Generated by iptables-save v1.6.0 on Sat Apr 22 01:25:16 2017
*mangle
:PREROUTING ACCEPT [356:32445]
:INPUT ACCEPT [254:19307]
:FORWARD ACCEPT [102:13138]
:OUTPUT ACCEPT [131:14076]
:POSTROUTING ACCEPT [227:27295]
-A FORWARD -s 192.168.0.0/24 -o eth0 -p tcp -m policy --dir in --pol ipsec -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1361:1536 -j TCPMSS --set-mss 1360
COMMIT
# Completed on Sat Apr 22 01:25:16 2017
# Generated by iptables-save v1.6.0 on Sat Apr 22 01:25:16 2017
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [131:14076]
-A INPUT -i lo -j ACCEPT
-A INPUT -p udp -m udp --dport 500 -j ACCEPT
-A INPUT -p udp -m udp --dport 4500 -j ACCEPT

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
#-A INPUT -j DROP

-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -s 192.168.0.0/24 -m policy --dir in --pol ipsec --proto esp -j ACCEPT
-A FORWARD -d 192.168.0.0/24 -m policy --dir out --pol ipsec --proto esp -j ACCEPT

#-A FORWARD -j DROP
COMMIT
# Completed on Sat Apr 22 01:25:16 2017
# Generated by iptables-save v1.6.0 on Sat Apr 22 01:25:16 2017
*nat
:PREROUTING ACCEPT [101:7421]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [20:1475]
:POSTROUTING ACCEPT [20:1475]
-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/24 -o eth0 -m policy --dir out --pol ipsec -j ACCEPT
COMMIT
# Completed on Sat Apr 22 01:25:16 2017

Когда подключаюсь и пингую сам шлюз к которому подключился - все отлично. На другие адреса вижу такое:

Код: [Выделить]

Request timeout for icmp_seq 0
92 bytes from iXXX-XXX-XXX-XXX.static.kv.XXX.net (XXX.XXX.XXX.XXX): Destination Port Unreachable
Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
 4  5  00 5400 207d   0 0000  3f  01 d905 192.168.0.210  192.168.0.4

[tarya]

Узнал некоторые подробности!

Код: [Выделить]

sudo ipsec statusall
 Этот код выдает разное, а главное в конце ikev2-vpn{9}:   0.0.0.0/0 === 192.168.0.210/32 вот как бы и все, маска 32 это 1 адрес который видит, не 24. Вот вероятно потому я и не вижу всего. Но как это поменять.
Пользователь добавил сообщение 23 Апреля 2017, 22:39:38:Если добавляю в конфиг строку "rightsubnet=0.0.0.0/0" - при соединении вырубается как мой Мак так и линукс сервер повисает!
Пользователь добавил сообщение 23 Апреля 2017, 22:47:44:AnrDaemon, Выручай.
Пользователь добавил сообщение 24 Апреля 2017, 14:10:47:Может лучше вернуться к L2TP но как?

[AnrDaemon]

Я, честно, уже запутался, что вы делаете и в каком состоянии система сейчас.

[tarya]

Я могу с нуля все описать.
Пользователь добавил сообщение 24 Апреля 2017, 20:31:23:Все на том же месте. Везде пускает кроме других локальный адресов.

[tarya]

AnrDaemon, подскажи хоть что знаешь.

Спасибо. Если с этим не выйдет может вернуться на L2TP? Но я не могу найти какого то описания нормального для него. Сейчас состояние на моменте пару постов выше. Все запускается но не доступны другие локальные адреса, почему мне сложно понять.
Пользователь добавил сообщение 25 Апреля 2017, 22:31:21:Сделал короче. Работает все.

[AnrDaemon]

Поделитесь решением, в чём в итоге была проблема?

[tarya]

Все оказалось очень просто! В статье в опции "rightsourceip=" стоял "левый адрес" - 10.10.10.0/24 - я же подумал что у них такая подсеть потому они и прописывают такой адрес-пул. Я поменял на свой "rightsourceip=192.168.0.210-192.168.0.220" - чтоб выдавались с 210-220. Так было с L2TP. И ничего не работало. А тут я решил сам для себя поставить иной - проверить все с нуля. Вписал туда какой то, гляжу поднялось все. Ну думаю попингую - зашел в программу пинга а там уже еще с тех дней пинг пытался пробиться - гляжу пошел пинг, при том что я планировал этот левый попинговать. И гляжу заработало сразу. Получается что тебе при подключении выдается не адрес из под сети куда ты соединяешься а совершенно левый - но ты можешь пользоваться ресурсами той подсети.

[AnrDaemon]

Не левый, а тоннель создаётся с другой адресацией.
Хотя в теории могло работать и так, как вы настраивали изначально. Просто надо было поточнее разобраться.