LINUX.ORG.RU
ФорумAdmin

клиент не получает доступ к локальной сети strongswan

 ,


0

2

Здравсвтуйте.

Не могу понять проблему. Если клиент получает IP адрес с той же сети, к которой подключается - нет маршрута к хостам сети, если адрес из другой сети все гут.

ipsec.conf:

conn ikev2-vpn
    auto=add
    compress=no
    type=tunnel
    keyexchange=ikev2
    fragmentation=yes
    forceencaps=yes
    ike=aes256-sha1-modp1024,aes256-sha1-modp4096,3des-sha1-modp1024!
    esp=aes256-sha1,3des-sha1!
    dpdaction=clear
    dpddelay=300s
    rekey=no
    left=%any%
    leftid=x.x.x.x
    leftcert=/etc/ipsec.d/certs/host.pem
    leftsendcert=always
    leftsubnet=10.0.1.0/24 
    leftfirewall=yes
    right=%any
    rightid=%any
    rightauth=eap-mschapv2
    rightdns=8.8.8.8,8.8.4.4
    rightsourceip=10.0.1.64/28 #(если тут 10.0.2.64/28 к примеру или что угодно другое, все работает)
    rightsendcert=never
    eap_identity=%identity

iptables пустая.

ip ro:

default via x.x.x.1 dev ens19 proto dhcp src x.x.x.x metric 100
10.0.1.0/24 via 10.0.1.1 dev ens18
10.0.1.1 dev ens18 proto dhcp scope link src 10.0.1.78 metric 100
x.x.x.0/24 dev ens19 proto kernel scope link src x.x.x.x
x.x.x.1 dev ens19 proto dhcp scope link src x.x.x.x metric 100

ipsec status:

Security Associations (1 up, 0 connecting):
   ikev2-vpn[1]: ESTABLISHED 9 minutes ago, x.x.x.x[x.x.x.x]...y.y.y.y[y.y.y.y]
   ikev2-vpn{2}:  INSTALLED, TUNNEL, reqid 2, ESP in UDP SPIs: c20c72c2_i ab617b88_o
   ikev2-vpn{2}:   10.0.1.0/24 === 10.0.1.65/32


В целом все логично. Вы отправляете пакет с адреса 10.0.1.65 например на 10.0.1.200, но он не знает о том что урезанная сеть за вашим ipsec, поэтому будет искать как отправить ответ на этот адрес в локалке 10.0.1.0/24, а такого нет.
Вариантов больше одного. Можно раздать клиентам сети 10.0.1.0/24 с dhcp роут до 10.0.1.64/28 через ваш 10.0.1.1. Это самое простое и скорее правильное. Или заморочиться snat но тут нюансы. А в целом вы не описали чего достичь хотите, с учетом какого-то странного пула 10.0.1.64/28 во второй четверти сети 10.0.1.0/24 все странно выглядит.

anc ★★★★★ ()
Последнее исправление: anc (всего исправлений: 2 )
Ответ на: комментарий от anc

В целом желание ограничить все сетью /28. Это вынужденная банальность для некоторых клиентов freepbx. Там с интернетом очень жестко. Но, если я в leftsubnet=10.0.1.64/28 указываю, казалось бы, четко ограничивая клиентов их подсетью, тоже не работает… Доступ нужен по факту только до/от 10.0.1.77. Пытался на нем отписать маршрут ip route add 10.0.1.64/28 via 10.0.1.78 Но не работает. В глубине души я понимаю, что здесь где-то банальная мелочь…

При всем этом я вхожу в заблуждение, т.к. на втором сервере, при том же конфиге, и leftsubnet=0.0.0.0/0, rightsourceip=10.0.1.128/27 все отлично работает

alexni ()
Ответ на: комментарий от alexni

Тема закрыта. У кого возникают такие вопросы, на всех хостах надо прописать маршрут до подсети указанной в rightsourceip.

Пример ip route add 10.0.1.64/28 via 10.0.1.78

alexni ()
Ответ на: комментарий от alexni

ЧТД. Я вам об этом в первом ответе написал. Сам ОП в виде ipsec не имеет никакого значения. Простой роутинг.

anc ★★★★★ ()
20 октября 2021 г.
Ответ на: комментарий от anc

Подскажите как это настроить

  1. Имеется инфраструктура в облаке. Там локальная сеть 10.8.1.* и разные сервера Centos, Windows. На одном из linux серверов установлен strongswan и по внешнему адресу можно подключаться по VPN и например подключаться к нужным серверам по SSH. До недавнего времени это всё всех совершенно устраивало, пока не понадобился доступ из одного windows сервера этой сети 10.8.1.3 до VPN клиента, который при подключении получает адрес той же сети 10.8.1.202. Сейчас получается с клиента VPN(из виртуальной сети) есть доступ к хостам локальной сети, а обратно нет. Подскажите, пожалуйста, как это сделать: «Можно раздать клиентам сети 10.0.1.0/24 с dhcp роут до 10.0.1.64/28 через ваш 10.0.1.1. Это самое простое и скорее правильное.» или «Или заморочиться snat но тут нюансы». Чего именно хотим достичь - доступа по SSH с хоста локальной машины 10.8.1.3 - до виртуального хоста 10.8.1.202 по 22 порту. Как уже firewalld на сервере с VPN не настраивал, ничего не выходит.

  2. Можно ли через VPN настроить полноценную сеть, чтобы: с windows VPN клиента с ip 10.8.1.200 увидеть шару с хоста локальной сети 10.8.1.3, через VPN strongswan, который на Centos 7.

#global configuration IPsec
#chron logger
config setup
    charondebug="ike 1, knl 1, cfg 0"
    uniqueids=no

#define new ipsec connection
conn hakase-vpn
    auto=add
    compress=no
    type=tunnel
    keyexchange=ikev2
    ike=aes128-sha1-modp1024,aes128-sha1-modp1536,aes128-sha1-modp2048,aes128-sha256-ecp256,aes128-sha256-modp1024,aes128-sha256-modp1536,aes128-sha256-modp2048,aes256-aes128-sha256-sha1-modp2048-modp4096-modp1024,aes256-sha1-modp1024,aes256-sha256-modp1024,aes256-sha256-modp1536,aes256-sha256-modp2048,aes256-sha256-modp4096,aes256-sha384-ecp384,aes256-sha384-modp1024,aes256-sha384-modp1536,aes256-sha384-modp2048,aes256-sha384-modp4096,aes256gcm16-aes256gcm12-aes128gcm16-aes128gcm12-sha256-sha1-modp2048-modp4096-modp1024,3des-sha1-modp1024!
    esp=aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes128-sha1,aes128-sha1-modp1024,aes128-sha1-modp1536,aes128-sha1-modp2048,aes128-sha256,aes128-sha256-ecp256,aes128-sha256-modp1024,aes128-sha256-modp1536,aes128-sha256-modp2048,aes128gcm12-aes128gcm16-aes256gcm12-aes256gcm16-modp2048-modp4096-modp1024,aes128gcm16,aes128gcm16-ecp256,aes256-sha1,aes256-sha256,aes256-sha256-modp1024,aes256-sha256-modp1536,aes256-sha256-modp2048,aes256-sha256-modp4096,aes256-sha384,aes256-sha384-ecp384,aes256-sha384-modp1024,aes256-sha384-modp1536,aes256-sha384-modp2048,aes256-sha384-modp4096,aes256gcm16,aes256gcm16-ecp384,3des-sha1!
    fragmentation=yes
    forceencaps=yes
    dpdaction=clear
    dpddelay=300s
    rekey=no
    left=%any
    leftid=@stairwaytoheaven.1c.com.vn
    leftcert=fullchain.pem
    leftsendcert=always
    leftsubnet=10.8.1.0/24
    leftsourceip=%config
    leftfirewall=yes
    modeconfig=push
    right=%any
    rightid=%any
    rightauth=eap-mschapv2
    rightsourceip=10.8.1.200-10.8.1.254
    rightdns=8.8.8.8,8.8.4.4
    rightsendcert=never
    eap_identity=%identity
ryzn ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.