l2tp/ipsec за NAT

0

1

Есть сервер в локалке l2tp/ipsec на Mikrotik, локально все ок подключается. Пытаюсь выкинуть его наружу. Гейтом Debiаn.

iptables -L -nv -t nat
Chain PREROUTING (policy ACCEPT 12957 packets, 1236K bytes)
 pkts bytes target     prot opt in     out     source               destination
...
    0     0 DNAT       esp  —  eth0   *       0.0.0.0/0            0.0.0.0/0            to:192.168.0.2
    0     0 DNAT       ah   —  eth0   *       0.0.0.0/0            0.0.0.0/0            to:192.168.0.2
    2  1216 DNAT       udp  —  eth0   *       0.0.0.0/0            0.0.0.0/0            udp dpt:500 to:192.168.0.2:500
    0     0 DNAT       udp  —  eth0   *       0.0.0.0/0            0.0.0.0/0            udp dpt:1701 to:192.168.0.2:1701
    2   216 DNAT       udp  —  eth0   *       0.0.0.0/0            0.0.0.0/0            udp dpt:4500 to:192.168.0.2:4500
....
Chain POSTROUTING (policy ACCEPT 4830 packets, 309K bytes)
 pkts bytes target     prot opt in     out     source               destination
...
 986K  100M MASQUERADE  all  —  *      eth0    0.0.0.0/0            0.0.0.0/0           
....

Пакетики вроде как ходят но в одну сторону. Что не так?

Ссылка

←	Proxmox differential backups

CentOS зависает намертво

→

Без содержимого цепочки FORWARD сложно что-то сказать. К слову l2tp поверх IPSEC, поэтому порт 1701 тебе пробрасывать по идее не надо

~~Что говорят логи на самом сервере где l2tp/ipsec? IPSEC-сессия устанавливается?~~

Аааа, там микротик, тогда сложнее, я хз как там подробность логгирования подымать так чтобы тебе весь лог не засрало

Таблицу маршрутизации на Mikrotik покажи тогда хотя бы

Pinkbyte ★★★★★
(30.05.17 17:11:23 MSK)
Последнее исправление: Pinkbyte 30.05.17 17:12:46 MSK (всего исправлений: 2)

Ответ на: комментарий от Pinkbyte 30.05.17 17:11:23 MSK

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         

логи микротика
May 30 13:22:25 192.168.0.2/192.168.0.2 l2tp,info first L2TP UDP packet received from x.x.x.x
May 30 13:22:45 192.168.0.2/192.168.0.2 l2tp,info first L2TP UDP packet received from x.x.x.x
May 30 13:23:03 192.168.0.2/192.168.0.2 l2tp,info first L2TP UDP packet received from x.x.x.x

Есть подозрение что при подмене обратного адреса он не совпадет с тем что в пакете, при том что клиент тоже за натом. tcpdump показал что пакеты к клиенту уходят но клиент их отвергает. Пробовал через GPRS возможно ОпСоС режет. Позже попробую Linux клиентом.

Spinel
(30.05.17 17:26:50 MSK) автор топика

Ответ на: комментарий от Spinel 30.05.17 17:26:50 MSK

Все верно IPsec за натом работает по UDP по портами 500 и 4500. Т.е надо открыть протоколы ESP, AH и UDP для NAT. IPSec exchange mode надо установить IKE2.

L2TP поверх IPSec это плохо, не пробивается двойной NAT. Например 1 NAT на 3G модеме, второй NAT у ОпСоСа. Лучше использовать IPSec поверх L2TP, тогда на число NAT можно не обращать внимания.

По настройке IPSec поверх L2TP есть неплохая статья https://bozza.ru/art-248.html

fox-mage
(01.06.17 09:37:32 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Proxmox differential backups

Admin

CentOS зависает намертво

→

Похожие темы