Форум русскоязычного сообщества Ubuntu


Автор Тема: Site-2-Site IPSec VPN  (Прочитано 452 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Negociador

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Site-2-Site IPSec VPN
« : 01 Декабрь 2020, 02:23:42 »
Доброго дня!
Вопрос по IPSec соединению. Перерыл массу мануалов, но похоже чего-то не догоняю.
Есть локальная сеть (A) с адресом 192.168.21.0/24 В качестве маршрутизатора Mikrotik, внешний адрес y.y.y.y
На второй стороне  VSD с адресом x.x.x.x. На сервере крутится сервис, к которому необходим доступ из локальной сети (A). В качестве внутреннего интерфейса сервера используется дополнительный адрес 192.168.133.133/32 на интерфейсе lo
С микротиком вопросов не возникает. Тот же сайт по схожим настройкам соединен туннелем с Zyxel USG без проблем. С тем лишь различием, что за Zyxel реальная сеть. т.е. Я считаю, что Mikrotik настроен верно.
Вопросы начинаются с настройкой strongswan и маршрутизации.

Текущая конфигурация:
ipsec.сonf
(Нажмите, чтобы показать/скрыть)


ip addr show
(Нажмите, чтобы показать/скрыть)

ip xfrm policy
(Нажмите, чтобы показать/скрыть)

ip xfrm state
(Нажмите, чтобы показать/скрыть)

/etc/sysctl.conf
(Нажмите, чтобы показать/скрыть)

Что указывать в правилах Firewall NAT, учитывая, что я использую интерфейс lo в качестве ip обратной сети,
понять не могу. Вероятно в этом и есть проблема. А может в чем-то другом...

Текущий конфиг:
 /sbin/iptables -L
(Нажмите, чтобы показать/скрыть)

sbin/iptables -t nat -L
(Нажмите, чтобы показать/скрыть)

Туннель, вроде есть, а пингов между сетями нет..
Буду рад любым комментариям для решения проблемы...
« Последнее редактирование: 01 Декабрь 2020, 02:57:52 от Negociador »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27660
    • Просмотр профиля
Re: Site-2-Site IPSec VPN
« Ответ #1 : 01 Декабрь 2020, 08:27:11 »
адрес 192.168.133.133/32 на интерфейсе lo
чо

Пользователь добавил сообщение 01 Декабрь 2020, 08:32:39:
Вероятно в этом и есть проблема.
Естественно. Создайте новый интерфейс.
« Последнее редактирование: 01 Декабрь 2020, 08:32:39 от AnrDaemon »
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн aSmile

  • Активист
  • *
  • Сообщений: 750
    • Просмотр профиля
Re: Site-2-Site IPSec VPN
« Ответ #2 : 01 Декабрь 2020, 13:52:59 »
Я не совсем понял, зачем туннель. Ведь сеть А ходит в интернет через микротик, в т.ч. и х.х.х.х доступен. Почему на него сервис не повесить? Или надо трафик зашифровать?

Оффлайн AlexDem

  • Активист
  • *
  • Сообщений: 466
    • Просмотр профиля
Re: Site-2-Site IPSec VPN
« Ответ #3 : 01 Декабрь 2020, 14:11:57 »
В качестве внутреннего интерфейса сервера используется дополнительный адрес 192.168.133.133/32 на интерфейсе lo
По идее это не внутренний сервис, это localhost
Вот что создает VPN сервер (текущая, рабочая конфигурация, правда не Swan, а OpenVPN, но принцип думаю тот же).

(Нажмите, чтобы показать/скрыть)

Тоесть VPN на сервере должен создать ВНУТРЕННЮЮ сеть tun (или tap), вот по ней и надо настраивать клиента для доступа к удаленной сети. Ну если я правильно понял вопрос.

Оффлайн Negociador

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: Site-2-Site IPSec VPN
« Ответ #4 : 01 Декабрь 2020, 15:45:03 »
чо
По поводу lo - вытащил отсуда...
http://www.nsg.ru/help/static_c.php?chapter=likbez&section=Ipsec&subsection=_10

На VSD один физический интерфейс eth0. И, в принципе, ничего не мешает создать eth0:0, но я решил
упороться именно с loopback, раз уж указано, что я могу его использовать. Кроме всего, в случае eth0:0, у меня
есть подозрение, что будут кидаться arp в сторону оборудования хостера, что не совсем хорошо и его придется тщательно прикрывать фаерволом... 


Я не совсем понял, зачем туннель. Ведь сеть А ходит в интернет через микротик, в т.ч. и х.х.х.х доступен. Почему на него сервис не повесить? Или надо трафик зашифровать?
Не совсем внятно я описал задачу. Внутри VSD cервера Zabbix, и он должен снимать данные с оборудования внутри сети за микротом. Поэтому туннель в данном случае предпочтительнее.



Тоесть VPN на сервере должен создать ВНУТРЕННЮЮ сеть tun (или tap), вот по ней и надо настраивать клиента для доступа к удаленной сети. Ну если я правильно понял вопрос.

Для OpenVPN это верно, но в случае с IPsec совсем иначе. Там можно поднять виртуальные интерфейсы с обоих сторон и на их основе построить маршрутизацию - route based ipsec, но есть же примеры, когда работает и без них. Из того, что мне удалось понять: IPsec не использует стандартную маршрутизацию. Вместо них используются селекторы трафика на основе политик соединения.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27660
    • Просмотр профиля
Re: Site-2-Site IPSec VPN
« Ответ #5 : 01 Декабрь 2020, 16:08:27 »
Ваш туннель уже создаёт новый интерфейс при подключении.
Не понимаю проблемы.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Negociador

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: Site-2-Site IPSec VPN
« Ответ #6 : 01 Декабрь 2020, 17:41:21 »
Ваш туннель уже создаёт новый интерфейс при подключении.
А можно привести команду которой я могу могу посмотреть этот интерфейс?
Как я понимаю, интерфейс может быть поднят, если я использую в ipsec.conf параметры
leftsourceip=
rightsourceip=

Проблема в том, что на основании моих политик туннель поднимается. Но пакеты в него не уходят. Или уходят, но не достигают цели...
В случае с микротом и zyxel: на микроте я поднимаю привила фаервола raw-> prerouting-> notrack для пакетов в(из)локальных сетей участвующих в туннеле. тем самым запрещаю пакетам в этих направлениях проходить NAT. На zyxel вообще ничего не делаю. там маршрутизатор разруливает привила автоматом. А вот что писать на стороне strongswan я не понимаю.

 

Страница сгенерирована за 0.076 секунд. Запросов: 25.