LINUX.ORG.RU
ФорумAdmin

клиент не получает доступ к локальной сети strongswan

 ,


0

1

Здравсвтуйте.

Не могу понять проблему. Если клиент получает IP адрес с той же сети, к которой подключается - нет маршрута к хостам сети, если адрес из другой сети все гут.

ipsec.conf:

conn ikev2-vpn
    auto=add
    compress=no
    type=tunnel
    keyexchange=ikev2
    fragmentation=yes
    forceencaps=yes
    ike=aes256-sha1-modp1024,aes256-sha1-modp4096,3des-sha1-modp1024!
    esp=aes256-sha1,3des-sha1!
    dpdaction=clear
    dpddelay=300s
    rekey=no
    left=%any%
    leftid=x.x.x.x
    leftcert=/etc/ipsec.d/certs/host.pem
    leftsendcert=always
    leftsubnet=10.0.1.0/24 
    leftfirewall=yes
    right=%any
    rightid=%any
    rightauth=eap-mschapv2
    rightdns=8.8.8.8,8.8.4.4
    rightsourceip=10.0.1.64/28 #(если тут 10.0.2.64/28 к примеру или что угодно другое, все работает)
    rightsendcert=never
    eap_identity=%identity

iptables пустая.

ip ro:

default via x.x.x.1 dev ens19 proto dhcp src x.x.x.x metric 100
10.0.1.0/24 via 10.0.1.1 dev ens18
10.0.1.1 dev ens18 proto dhcp scope link src 10.0.1.78 metric 100
x.x.x.0/24 dev ens19 proto kernel scope link src x.x.x.x
x.x.x.1 dev ens19 proto dhcp scope link src x.x.x.x metric 100

ipsec status:

Security Associations (1 up, 0 connecting):
   ikev2-vpn[1]: ESTABLISHED 9 minutes ago, x.x.x.x[x.x.x.x]...y.y.y.y[y.y.y.y]
   ikev2-vpn{2}:  INSTALLED, TUNNEL, reqid 2, ESP in UDP SPIs: c20c72c2_i ab617b88_o
   ikev2-vpn{2}:   10.0.1.0/24 === 10.0.1.65/32

В целом все логично. Вы отправляете пакет с адреса 10.0.1.65 например на 10.0.1.200, но он не знает о том что урезанная сеть за вашим ipsec, поэтому будет искать как отправить ответ на этот адрес в локалке 10.0.1.0/24, а такого нет.
Вариантов больше одного. Можно раздать клиентам сети 10.0.1.0/24 с dhcp роут до 10.0.1.64/28 через ваш 10.0.1.1. Это самое простое и скорее правильное. Или заморочиться snat но тут нюансы. А в целом вы не описали чего достичь хотите, с учетом какого-то странного пула 10.0.1.64/28 во второй четверти сети 10.0.1.0/24 все странно выглядит.

anc ★★★★★ ()
Последнее исправление: anc (всего исправлений: 2)
Ответ на: комментарий от anc

В целом желание ограничить все сетью /28. Это вынужденная банальность для некоторых клиентов freepbx. Там с интернетом очень жестко. Но, если я в leftsubnet=10.0.1.64/28 указываю, казалось бы, четко ограничивая клиентов их подсетью, тоже не работает… Доступ нужен по факту только до/от 10.0.1.77. Пытался на нем отписать маршрут ip route add 10.0.1.64/28 via 10.0.1.78 Но не работает. В глубине души я понимаю, что здесь где-то банальная мелочь…

При всем этом я вхожу в заблуждение, т.к. на втором сервере, при том же конфиге, и leftsubnet=0.0.0.0/0, rightsourceip=10.0.1.128/27 все отлично работает

alexni ()