Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: VPN Ikev2 не видит ресурсы удаленной локальной сети  (Прочитано 435 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн tarya

  • Автор темы
  • Активист
  • *
  • Сообщений: 291
    • Просмотр профиля
Сорри что создал еще одну тему, горит жутко. Я уже не знаю что пробовать. Настроил на сервере 18.04 VPN IKEV2 по инструкции с диджитал оушен. Все работает, но не видно локальных ресурсов, кроме того на который я собственно и подключаюсь.

Друзья, помогите, иначе проблемы. Вычитал что по умолчанию так и есть, что нужно роутинг добавить. Добавлял и так и сяк и все равно с локальной машинки не пингуется ничего что там есть кроме 192.168.0.210 - на который и подключаюсь.

Пользователь добавил сообщение 09 Август 2020, 22:38:42:
sudo iptables-save
# Generated by iptables-save v1.6.1 on Sun Aug  9 19:36:16 2020
*filter
:INPUT ACCEPT [787:42525]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [30820:38981802]
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p esp -j ACCEPT
-A INPUT -p udp -m udp --dport 500 -j ACCEPT
-A INPUT -p udp -m udp --dport 4500 -j ACCEPT
-A FORWARD -s 10.10.10.2/32 -i enp1s5 -m policy --dir in --pol ipsec --reqid 6 --proto esp -j ACCEPT
-A FORWARD -d 10.10.10.2/32 -o enp1s5 -m policy --dir out --pol ipsec --reqid 6 --proto esp -j ACCEPT
-A FORWARD -s 10.10.10.0/24 -i enp1s5 -m policy --dir in --pol ipsec --reqid 9 --proto esp -j ACCEPT
-A FORWARD -d 10.10.10.0/24 -o enp1s5 -m policy --dir out --pol ipsec --reqid 9 --proto esp -j ACCEPT
-A FORWARD -i enp3s0 -o enp1s5 -j ACCEPT
-A FORWARD -i enp1s5 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i enp1s5 -o enp3s0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -s 10.10.10.0/24 -m policy --dir in --pol ipsec --proto esp -j ACCEPT
-A FORWARD -d 10.10.10.0/24 -m policy --dir out --pol ipsec --proto esp -j ACCEPT
-A FORWARD -s 10.10.10.0/24 -o enp1s5 -p tcp -m policy --dir in --pol ipsec -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1361:1536 -j TCPMSS --set-mss 1360
COMMIT
# Completed on Sun Aug  9 19:36:16 2020
# Generated by iptables-save v1.6.1 on Sun Aug  9 19:36:16 2020
*nat
:PREROUTING ACCEPT [383:30152]
:INPUT ACCEPT [242:15530]
:OUTPUT ACCEPT [1:76]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 192.168.0.0/24 -o enp1s5 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/24 -o enp1s5 -m policy --dir out --pol ipsec -j ACCEPT
-A POSTROUTING -o enp1s5 -j SNAT --to-source xx.xx.244.25
-A POSTROUTING -s 10.10.10.0/24 -o enp1s5 -m policy --dir out --pol ipsec -j ACCEPT
-A POSTROUTING -s 10.10.10.0/24 -o enp1s5 -j MASQUERADE
-A POSTROUTING -s 10.10.10.0/24 -o enp1s5 -m policy --dir out --pol ipsec -j ACCEPT
-A POSTROUTING -s 10.10.10.0/24 -o enp1s5 -j MASQUERADE
COMMIT
# Completed on Sun Aug  9 19:36:16 2020
« Последнее редактирование: 09 Август 2020, 22:38:42 от tarya »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27317
    • Просмотр профиля
ping/tracepath ?
Форвардинг на сервере включён?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн tarya

  • Автор темы
  • Активист
  • *
  • Сообщений: 291
    • Просмотр профиля
Форвардинг включил.

Цитировать
Осталось включить пересылку пакетов. Пересылка пакетов позволяет серверу поддерживать маршрутизацию данных от одного IP-адреса к другому. По сути, теперь сервер будет действовать как маршрутизатор.

Откройте /etc/sysctl.conf:

sudo nano /etc/sysctl.conf

В файле нужно:

* Включить пересылку пакетов IPv4.

* Отключить Path MTU Discovery, чтобы предотвратить фрагментацию пакетов.

* Отключить поддержку icmp-редиректов, чтобы предупредить атаки посредника.

Все изменения выделены ниже красным:

. . .
# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward=1
. . .
# Do not accept ICMP redirects (prevent MITM attacks)
net.ipv4.conf.all.accept_redirects = 0
# Do not send ICMP redirects (we are not a router)
net.ipv4.conf.all.send_redirects = 0
. . .
net.ipv4.ip_no_pmtu_disc = 1
Сохраните и закройте файл.

Пользователь добавил сообщение 10 Август 2020, 13:16:38:
ping/tracepath ?
Форвардинг на сервере включён?

Настраивал на всех серверах своих и проблем не было, а тут такое. Поставил только что 16.04 - как везде все равно тоже самое. Не могу понять в чем причина.

Пользователь добавил сообщение 10 Август 2020, 13:22:33:
ping/tracepath ?
Форвардинг на сервере включён?

Про пинг до конца не понял что вы имеете в виду.
« Последнее редактирование: 10 Август 2020, 13:22:33 от tarya »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27317
    • Просмотр профиля
* Отключить Path MTU Discovery, чтобы предотвратить фрагментацию пакетов.

* Отключить поддержку icmp-редиректов, чтобы предупредить атаки посредника.

Бред собачий.

Про пинг до конца не понял что вы имеете в виду.
Диагностику показывайте!
tracepath с клиента на клиента.
tracepath с клиента на компьютер в локальной сети.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн tarya

  • Автор темы
  • Активист
  • *
  • Сообщений: 291
    • Просмотр профиля
Диагностику показывайте!
tracepath с клиента на клиента.
tracepath с клиента на компьютер в локальной сети.

Постараюсь ответить максимально как понял что вы спросили.

С сервера на клиента - тоесть компьютер с которого я поключаюсь:

tracepath 10.10.10.1
 1?: [LOCALHOST]                                         pmtu 1500
 1?: [LOCALHOST]                                         pmtu 1438
 1:  10.10.10.1                                            7.921ms reached
 1:  10.10.10.1                                           11.513ms reached
     Resume: pmtu 1438 hops 1 back 1

С моего компьютера который подключился по ВПН - на сам сервер

traceroute 192.168.0.210
traceroute to 192.168.0.210 (192.168.0.210), 64 hops max, 52 byte packets
 1  192.168.0.210 (192.168.0.210)  7.379 ms  7.511 ms  7.003 ms

Тут нет возможности запустить tracepath как вы просите, но в интернете говорят что это аналог. Пакеты проходят.

А вот на другой хост сразу другая картина:

traceroute 192.168.0.201
traceroute to 192.168.0.201 (192.168.0.201), 64 hops max, 52 byte packets
 1  25-244-201-46.pool.ukrtel.net (46.201.244.11)  7.427 ms  7.015 ms  6.992 ms
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  * * *
 8  * * *
 9  * * *

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27317
    • Просмотр профиля
Маршруты в сеть за сервером не прописаны.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн tarya

  • Автор темы
  • Активист
  • *
  • Сообщений: 291
    • Просмотр профиля
А как это сделать? Помогите пожалуйста, вообще жопа.

Пользователь добавил сообщение 11 Август 2020, 15:42:35:
Переустановил все опять с нуля. Все как в аптеке отмерял, сделал через netplan - не менял назад на /network/interface не делал eth0 и все такое. Подключается сразу, с первого пинка - но ничего кроме себя не видит. Что делать не знаю. Нужно запустить машинку просто жуть, а что куда прописать не знаю уже. Подскажи.

Пользователь добавил сообщение 11 Август 2020, 15:49:01:
sudo route add -net 10.0.0.0/8 gw 192.168.1.1 eth0 - рыть в этом направлении?
« Последнее редактирование: 11 Август 2020, 15:49:01 от tarya »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27317
    • Просмотр профиля
Да, только маршруты сами должны выставляться, по идее.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн tarya

  • Автор темы
  • Активист
  • *
  • Сообщений: 291
    • Просмотр профиля
Да, только маршруты сами должны выставляться, по идее.

Сейчас я вам расскажу как это поборол таки сегодня. Пробовал я и так и сяк, и меня просто диво удивляло что ранее все везде работало а тут нет. Очень странная ситуация. В итоге так как я не смог побороть я решил попробовать ход конем. Забрать винт с системой уже рабочей, на которой ВПН крутился и все за ним видно и поставить туда где сейчас это крайне необходимо.

Поменял винты, настроил тут все - а рабочий винт забрал. Кстати за пару дней я делал через ddrescue клонирование диска с рабочей системой, но она у меня не поднялась так как были ошибки диска которые я поборол через fsck но повылазили новые. Короче, поменял диски, привез туда этот точно рабочий диск с системой, перед тем проверял все - подключил, все завелося, настроил на телефоне ВПН, подключаюсь и нифига! Я вообще офигел просто. Ну как так может быть. Уже начал думать что это чтото не то с оборудованием, почему так!!! Потом зашел в телефоне в программу которая делает пинги, ничего не пингуется, но тут я решил запинговать всю сеть, он там по одному перебирает подсеть. И тут гляжу один адрес 192.168.0.3 откликнулся! Ну и 192.168.0.210 сам сервер он и ранее пинговал сам себя.

Я думаю как так? Зашел на этот 0.3 - все работает! Почему?

Нашел причину и пока не знаю что и думать и почему так. Пока я в винде не поменял шлюз на этот новый сервер - устройства в сети не видны. Почему так? Какой ему фиг дело кто внутри сетки тебя пингует. Тоесть только изменил в винде значение шлюза как все сразу заработало! Как так и почему? Я пока ответа не знаю. У вас нет мыслей почему так?

Выходит что ранее я нормально все настраивал, а не работало только потому что в локальной сети устройства в качестве шлюза в интернет имели другой сервер.

Пользователь добавил сообщение 12 Август 2020, 14:04:49:
Что еще интересно - как только я поменял шлюз эти тазики сразу перестали быть доступными на том первом сервере где все работает хорошо.

Мне просто уже интересно понять почему так.
« Последнее редактирование: 12 Август 2020, 14:07:24 от tarya »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27317
    • Просмотр профиля
Да вот нет, это особенность PPP соединений. Связь устанавливается только между двумя компьютерами сети. Если маршрутизация не настроена, остальная сеть видна не будет.
У PPTP есть способы поднять видимость сети. Вероятно, есть и у L2TP, но я не нашёл вменяемой инструкции по поднятию совместимой с виндовым клиентом конфигурации.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн tarya

  • Автор темы
  • Активист
  • *
  • Сообщений: 291
    • Просмотр профиля
Может не только с виндовым клиентом, я сижу на мак, и айфон, оба не поднялись. Пока проблема решена, буду знать такую особенность. Выходит пока был один сервер и он же и был шлюзом - все на него выходили, и он на всех. А тут такая засада. Очен интересно.

 

Страница сгенерирована за 0.116 секунд. Запросов: 24.