Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: 16.04 VPN L2TP  (Прочитано 1547 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн tarya

  • Автор темы
  • Активист
  • *
  • Сообщений: 296
    • Просмотр профиля
16.04 VPN L2TP
« : 22 Апрель 2017, 00:24:24 »
Прошу помочь найти инструкцию поднятия VPN через l2tp - а то после обновления сломался.

Буду благодарен. Спасибо.

Пользователь добавил сообщение 22 Апрель 2017, 00:27:51:
Что интересно на двух серверах после обновления все заработало само собою. Один с нуля поставил на 16.04 - не нашел инструкцию как ставить, а по старой не ставится так как openswan уже не ставится (как работает на тех кто обновился я не знаю).

И почему тут после обновления не работает сложно сказать.

Пользователь добавил сообщение 22 Апрель 2017, 02:24:05:
Настроил по статье IKEv2 тип соеднения - https://www.8host.com/blog/ustanovka-vpn-servera-ikev2-strongswan-v-ubuntu-16-04/

Все соединяется, работает интернет, определяется что я как бы уже с удаленного адреса сижу, но внутренние ресурсы к которым нужно подключаться я не вижу. Зараза.
« Последнее редактирование: 22 Апрель 2017, 02:24:05 от tarya »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27427
    • Просмотр профиля
Re: 16.04 VPN L2TP
« Ответ #1 : 22 Апрель 2017, 02:48:12 »
https://forum.ubuntu.ru/index.php?topic=107492.0

И не забудьте свой второй топик удалить, пока модераторы не нашли.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн tarya

  • Автор темы
  • Активист
  • *
  • Сообщений: 296
    • Просмотр профиля
Re: 16.04 VPN L2TP
« Ответ #2 : 22 Апрель 2017, 02:51:25 »
Спасибо за ответ, но у меня там интернет есть и не пропадал. У меня задача подключиться к серверу за которым есть пару компов на которые мне нужно прицепиться. Через L2TP небыло вопросов, теперь когда он загнулся - новый подключаясь дает мне без вопросов интернет, но нет возможности простучасться на ресурсы в сети. Он просто ничего не видит.

Надеюсь мы правильно друг друга понимаем.

Пользователь добавил сообщение 22 Апрель 2017, 02:53:23:
Вторую тему мне не удается удалить.
« Последнее редактирование: 22 Апрель 2017, 02:53:23 от tarya »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27427
    • Просмотр профиля
Re: 16.04 VPN L2TP
« Ответ #3 : 22 Апрель 2017, 06:08:42 »
Внимательно прочтите первое сообщение топика. Там есть инструкция, что делать, если ничего не работает.
Вторую тему мне не удается удалить.
В сообщении кнопку "удалить" кто-то не даёт нажать?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн tarya

  • Автор темы
  • Активист
  • *
  • Сообщений: 296
    • Просмотр профиля
Re: 16.04 VPN L2TP
« Ответ #4 : 22 Апрель 2017, 09:35:30 »
Я нажимал удалить, но мне пишет "у вас нет прав удалять свои сообщения". Извините конечно.


Я разобраля ночью что загвоздка в файле ipsec.conf - именно там нужно выставить какой то параметр так чтоб я мог читать устройства. Что интересно сам адрес шлюза мне доступен - там он по адресу 192.168.0.200 - открывается без вопросов, остальные же адреса не перопускаються.

config setup
        charondebug="ike 1, knl 1, cfg 0"
        uniqueids=no

conn ikev2-vpn
        auto=add
        compress=no
        type=tunnel
        keyexchange=ikev2
        fragmentation=yes
        forceencaps=yes

        ike=aes256-sha1-modp1024,3des-sha1-modp1024!
        esp=aes256-sha1,3des-sha1!
        dpdaction=clear
        dpddelay=300s
        rekey=no
        left=%any
        leftid=XXX.XXX.XXX.XXX
        leftcert=/etc/ipsec.d/certs/vpn-server-cert.pem
        leftsendcert=always
        leftsubnet=0.0.0.0/0
        right=%any
        rightid=%any
        rightauth=eap-mschapv2
        rightsourceip=192.168.0.210-192.168.0.220
        rightdns=8.8.8.8,8.8.4.4
        rightsubnet=192.168.0.0/24
        rightsendcert=never
        eap_identity=%identity

Пользователь добавил сообщение 22 Апрель 2017, 13:56:59:
Внимательно прочтите первое сообщение топика. Там есть инструкция, что делать, если ничего не работает.
Вторую тему мне не удается удалить.
В сообщении кнопку "удалить" кто-то не даёт нажать?

Друг выручай, я знаю ты можешь помочь.
« Последнее редактирование: 22 Апрель 2017, 13:56:59 от tarya »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27427
    • Просмотр профиля
Re: 16.04 VPN L2TP
« Ответ #5 : 22 Апрель 2017, 20:37:09 »
Друг
Простите, что?…
ты можешь помочь.
Помочь я могу, если вы предоставити информацию.
И вы определитесь, вы разобрались в проблеме, или нет?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн tarya

  • Автор темы
  • Активист
  • *
  • Сообщений: 296
    • Просмотр профиля
Re: 16.04 VPN L2TP
« Ответ #6 : 22 Апрель 2017, 22:01:43 »
Нет, не разобрался. Я уже не знаю что думать. Тут или с iptables что-то не так, или с настройками IPSEC. Подключаюсь без вопросов, пингую и вижу ресурс на который подлючаюсь, при том не могу пропинговать сам себя и остальную подсеть.

# Generated by iptables-save v1.6.0 on Sat Apr 22 01:25:16 2017
*mangle
:PREROUTING ACCEPT [356:32445]
:INPUT ACCEPT [254:19307]
:FORWARD ACCEPT [102:13138]
:OUTPUT ACCEPT [131:14076]
:POSTROUTING ACCEPT [227:27295]
#-A FORWARD -s 192.168.0.0/24 -o eth0 -p tcp -m policy --dir in --pol ipsec -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1361:1536 -j TCPMSS --set-mss 1360
COMMIT
# Completed on Sat Apr 22 01:25:16 2017
# Generated by iptables-save v1.6.0 on Sat Apr 22 01:25:16 2017
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [131:14076]
-A INPUT -i lo -j ACCEPT
#-A INPUT -p udp -m udp --dport 500 -j ACCEPT
#-A INPUT -p udp -m udp --dport 4500 -j ACCEPT

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
#-A INPUT -j DROP

-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j REJECT --reject-with icmp-port-unreachable
#-A FORWARD -s 192.168.0.0/24 -m policy --dir in --pol ipsec --proto esp -j ACCEPT
#-A FORWARD -d 192.168.0.0/24 -m policy --dir out --pol ipsec --proto esp -j ACCEPT
#-A FORWARD -j DROP
COMMIT
# Completed on Sat Apr 22 01:25:16 2017
# Generated by iptables-save v1.6.0 on Sat Apr 22 01:25:16 2017
*nat
:PREROUTING ACCEPT [101:7421]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [20:1475]
:POSTROUTING ACCEPT [20:1475]
-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE
#-A POSTROUTING -s 192.168.0.0/24 -o eth0 -m policy --dir out --pol ipsec -j ACCEPT
COMMIT
# Completed on Sat Apr 22 01:25:16 2017


Некоторые правила я отменил (закоментил) так как мне они какие то странные показались и все равно не работало.

Пользователь добавил сообщение 22 Апрель 2017, 22:05:16:
Я конечно не все сделал по статье что я дал линк выше. Например там есть:

Сначала отключите UFW (если этот брандмауэр включен), чтоб избежать конфликта правил:

sudo ufw disable

Затем очистите список правил UFW:

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -F
iptables -Z

Но зачем мне это очищать? Плюс сервер далеко если он загнется я просто не доеду до него, потому не могу делать эксперименты. Конечно может потому и не сработало все верно.

Пользователь добавил сообщение 22 Апрель 2017, 23:03:20:
Включил в айпитейблс все как по статье практически:

Цитировать
# Generated by iptables-save v1.6.0 on Sat Apr 22 01:25:16 2017
*mangle
:PREROUTING ACCEPT [356:32445]
:INPUT ACCEPT [254:19307]
:FORWARD ACCEPT [102:13138]
:OUTPUT ACCEPT [131:14076]
:POSTROUTING ACCEPT [227:27295]
-A FORWARD -s 192.168.0.0/24 -o eth0 -p tcp -m policy --dir in --pol ipsec -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1361:1536 -j TCPMSS --set-mss 1360
COMMIT
# Completed on Sat Apr 22 01:25:16 2017
# Generated by iptables-save v1.6.0 on Sat Apr 22 01:25:16 2017
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [131:14076]
-A INPUT -i lo -j ACCEPT
-A INPUT -p udp -m udp --dport 500 -j ACCEPT
-A INPUT -p udp -m udp --dport 4500 -j ACCEPT

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
#-A INPUT -j DROP

-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -s 192.168.0.0/24 -m policy --dir in --pol ipsec --proto esp -j ACCEPT
-A FORWARD -d 192.168.0.0/24 -m policy --dir out --pol ipsec --proto esp -j ACCEPT

#-A FORWARD -j DROP
COMMIT
# Completed on Sat Apr 22 01:25:16 2017
# Generated by iptables-save v1.6.0 on Sat Apr 22 01:25:16 2017
*nat
:PREROUTING ACCEPT [101:7421]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [20:1475]
:POSTROUTING ACCEPT [20:1475]
-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/24 -o eth0 -m policy --dir out --pol ipsec -j ACCEPT
COMMIT
# Completed on Sat Apr 22 01:25:16 2017

Когда подключаюсь и пингую сам шлюз к которому подключился - все отлично. На другие адреса вижу такое:

Request timeout for icmp_seq 0
92 bytes from iXXX-XXX-XXX-XXX.static.kv.XXX.net (XXX.XXX.XXX.XXX): Destination Port Unreachable
Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
 4  5  00 5400 207d   0 0000  3f  01 d905 192.168.0.210  192.168.0.4
« Последнее редактирование: 22 Апрель 2017, 23:03:20 от tarya »

Оффлайн tarya

  • Автор темы
  • Активист
  • *
  • Сообщений: 296
    • Просмотр профиля
Re: 16.04 VPN L2TP
« Ответ #7 : 23 Апрель 2017, 22:02:35 »
Узнал некоторые подробности!

sudo ipsec statusall
 Этот код выдает разное, а главное в конце ikev2-vpn{9}:   0.0.0.0/0 === 192.168.0.210/32 вот как бы и все, маска 32 это 1 адрес который видит, не 24. Вот вероятно потому я и не вижу всего. Но как это поменять.

Пользователь добавил сообщение 23 Апрель 2017, 22:39:38:
Если добавляю в конфиг строку "rightsubnet=0.0.0.0/0" - при соединении вырубается как мой Мак так и линукс сервер повисает!

Пользователь добавил сообщение 23 Апрель 2017, 22:47:44:
AnrDaemon, Выручай.

Пользователь добавил сообщение 24 Апрель 2017, 14:10:47:
Может лучше вернуться к L2TP но как?
« Последнее редактирование: 24 Апрель 2017, 14:10:47 от tarya »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27427
    • Просмотр профиля
Re: 16.04 VPN L2TP
« Ответ #8 : 24 Апрель 2017, 20:19:59 »
Я, честно, уже запутался, что вы делаете и в каком состоянии система сейчас.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн tarya

  • Автор темы
  • Активист
  • *
  • Сообщений: 296
    • Просмотр профиля
Re: 16.04 VPN L2TP
« Ответ #9 : 24 Апрель 2017, 20:21:06 »
Я могу с нуля все описать.

Пользователь добавил сообщение 24 Апрель 2017, 20:31:23:
Все на том же месте. Везде пускает кроме других локальный адресов.
« Последнее редактирование: 24 Апрель 2017, 20:31:23 от tarya »

Оффлайн tarya

  • Автор темы
  • Активист
  • *
  • Сообщений: 296
    • Просмотр профиля
Re: 16.04 VPN L2TP
« Ответ #10 : 25 Апрель 2017, 21:57:39 »
AnrDaemon, подскажи хоть что знаешь.

Спасибо. Если с этим не выйдет может вернуться на L2TP? Но я не могу найти какого то описания нормального для него. Сейчас состояние на моменте пару постов выше. Все запускается но не доступны другие локальные адреса, почему мне сложно понять.

Пользователь добавил сообщение 25 Апрель 2017, 22:31:21:
Сделал короче. Работает все.
« Последнее редактирование: 25 Апрель 2017, 22:31:21 от tarya »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27427
    • Просмотр профиля
Re: 16.04 VPN L2TP
« Ответ #11 : 25 Апрель 2017, 23:15:06 »
Поделитесь решением, в чём в итоге была проблема?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн tarya

  • Автор темы
  • Активист
  • *
  • Сообщений: 296
    • Просмотр профиля
Re: 16.04 VPN L2TP
« Ответ #12 : 25 Апрель 2017, 23:23:26 »
Все оказалось очень просто! В статье в опции "rightsourceip=" стоял "левый адрес" - 10.10.10.0/24 - я же подумал что у них такая подсеть потому они и прописывают такой адрес-пул. Я поменял на свой "rightsourceip=192.168.0.210-192.168.0.220" - чтоб выдавались с 210-220. Так было с L2TP. И ничего не работало. А тут я решил сам для себя поставить иной - проверить все с нуля. Вписал туда какой то, гляжу поднялось все. Ну думаю попингую - зашел в программу пинга а там уже еще с тех дней пинг пытался пробиться - гляжу пошел пинг, при том что я планировал этот левый попинговать. И гляжу заработало сразу. Получается что тебе при подключении выдается не адрес из под сети куда ты соединяешься а совершенно левый - но ты можешь пользоваться ресурсами той подсети.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27427
    • Просмотр профиля
Re: 16.04 VPN L2TP
« Ответ #13 : 26 Апрель 2017, 00:08:34 »
Не левый, а тоннель создаётся с другой адресацией.
Хотя в теории могло работать и так, как вы настраивали изначально. Просто надо было поточнее разобраться.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

 

Страница сгенерирована за 0.179 секунд. Запросов: 26.