Strongswan нет инета

да конечно )

Ну и зачем было звездочки ставить? Этот 172.*.*.* видимо как раз ваш ipsec ? Если да, то вы не забыли на сервере разрешить форвард и правило nat прописать?

это же безопасность ) зачем палить свой Ip итак ботов немерено ломются благо fail2ban спасает, форвард разрешен, правило в нат тоже было, сейчас проверю еще раз

это же безопасность ) зачем палить свой Ip

Ага, дайте угадаю, а после 172 стоит чиселко от 16 до 31? Я угадал?

да, но я не совсем понимаю как это мне поможет )

Это был ответ только на вашу фразу про «безопасность». Считайте офтопик. Не смог удержаться от комментария увидев звездочки там где предположительно их быть не должно.

можно вопрос ламерский? ufw это как я понимаю файервол для убунты если ufw установить iptables не нужно тогда трогать? В какой связке работают ufw и iptables? Просто все инструкции по настройке stronswan по ufw в основном, а я его не ставил, пытался через iptables…

В какой связке работают ufw и iptables?

ufw это не более чем надстройка.

если ufw установить iptables не нужно тогда трогать?

без понятия, не трогал даже издалека и не планирую этого делать, так же как и любые другие надстройки.

Просто все инструкции по настройке stronswan по ufw в основном, а я его не ставил, пытался через iptables…

Та там «полтора» правила, я про iptables.

ЗЫ Забавно совпало, сейчас как раз настраиваю strongswan на новом серваке :))

очень забавно ) по этой же инструкции или самостоятельно?

Самостоятельно. Инструкция давно не была нужна :)

скинь пожалуйста какие правила прописываешь для iptables для маскарадинга, для forward и проброса портов ну вообщем все что нужно в iptables для стронга

-A INPUT -i $EXT_IF -p 50 -j ACCEPT
-A INPUT  -i $EXT_IF -p udp --dport 500 -j ACCEPT
-A INPUT  -i $EXT_IF -p udp --dport 4500 -j ACCEPT
-A INPUT -m policy --pol ipsec --dir in -j ACCEPT
-A FORWARD -m policy --pol ipsec --dir in -m state --state NEW -j ACCEPT
-t nat -A POSTROUTING -s $IPSEC_NET -o $EXT_IF -j SNAT --to-source $EXT_IP1

$EXT_IF - интерфейс смотрящий в инет
$IPSEC_NET - сеть раздаваемая клиентам ipsec
$EXT_IP1 - ip на интерфейсе смотрящем в инет
Да, OUTPUT у меня в ACCEPT
Вроде ничего не пропустил.

Спасибо большое, уточняющих несколько вопросов, вместо $EXT_IF мне подставить свой eth0? а вместо IPSEC_NET что подставить? eth1? И еще на амазоне сервак, там свой файервол над всем стоит, например SSH порт поменять нельзя(типа для админов как я чтоб потом зайти могли), есть файервол в PLESK правила примерно везде одинаковые прописаны, но как это все работает я не пойму, если я в iptables поменяю правило, то после перезагрузки сервака оно опять вернется даже если iptables-save делать…Не сталкивался с этим? Как эти все файерволы работают с iptables? И почему все после перезагрузки слетает на дефолтные правила

вместо $EXT_IF мне подставить свой eth0?

Если это интерфейс с которого выходит в инет, то да.

а вместо IPSEC_NET что подставить?

Сеть из которой раздаются адреса клиентам.

PLESK

Ничего не могу сказать про это.

iptables-save

Команда iptables-save выводит правила на stdout, не более чем.

получается iptables не хранит свои настройки типа как в реестре проги, и каждый раз после перезагрузки надо их накатывать через iptables-restore?

в реестре проги

На этой фразе мой мозг взорвался.

после перезагрузки надо их накатывать через iptables-restore?

Да. Вроде в каких-то дистрах это даже автоматизированно, но не точно.

про реестр это в винде имеется ввиду )

Это я догадался, но это не как не поспособствовало предотвращению взрыва.
ЗЫ Блин, перечитал. Крыша вернулась на место. :)

эххх….сделал все как у тебя все равно инет не идет через впн…а ты можешь подключиться ко мне посмотреть? За платно )

Покажите с шинды выхлоп route print до и после подключения. О! Там же емнип была галочка "...использовать...шлюз..."(как точно звучало не помню) короче намек на defgw.

Это без впн http://joxi.ru/Q2KOLOyuOyLk02 это с впн http://joxi.ru/Q2KOLOyuOyLk02

Ссылки одинаковые

что то не пойму как редактировать сообщения, http://joxi.ru/82QyOygC8VwGV2

Отлично. Теперь с шинды выхлоп tracert ya.ru И что бы два раза не вставать с сервера iptables-save

что то не пойму как редактировать сообщения

Сообщения на которые кто-то ответил редактировать нельзя.

без впн http://joxi.ru/a2XMKM6fQlw6MA прикольный у яндекса поддомен - марионетка ) с впн http://joxi.ru/12MXZX8Hgwl5Zm

Это не всё что я просил

сори, https://cloud.mail.ru/public/qkXz/SRK7a1a31 культурно такую простыню не знаю как оформить, выкладываю файликом

коннект происходит вот команда ipsec status до http://joxi.ru/8AnZpZMcNoz5KA а теперь после конекта http://joxi.ru/Vrw1b1Lfoj7NP2

А теперь добавляем правила которые я привел выше.

культурно такую простыню не знаю как оформить, выкладываю файликом

www.linux.org.ru/help/markdown.md
www.linux.org.ru/help/lorcode.md

я добавлял их…

их нет

они не добавляются (

набираете sudo iptables -A INPUT -i eth0 -p 50 -j ACCEPT и далее следующее, следующее...

вроде добавил, только не знаю насчет: $EXT_IF - интерфейс смотрящий в инет $IPSEC_NET - сеть раздаваемая клиентам ipsec $EXT_IP1 - ip на интерфейсе смотрящем в инет

интерфейса у меня два io и eth0, eth0 пишу сеть раздаваемая пишу 10.10.10.0/24 правильно? ip на интерфейсе 35...* который и в впн забиваю

не работает все равно…

Ну показываете ваш iptables-save

та есть, есть там ) https://cloud.mail.ru/public/m5Dw/pcEujxHti

Добрый человек, ты где?

В моих командах замените -A на -I и когда заработает выкиньте из правил добавленные ранее, всё равно от них нет толку т.к. у вас там -j DROP

Добавил все правила, записал их даже в rules.v4 после перезапуска iptables чтоб не затирались, все равно инет не поднимается…

Ещё раз iptables-save

https://cloud.mail.ru/public/bEov/GARqDf9Ab

Покажите ещё cat /proc/sys/net/ipv4/ip_forward

результат: 1

Хм вроде всё верно. Ещё раз в выни tracert ya.ru покажите.

http://joxi.ru/KAgQPQyt5N9NLm

Урааааа ) получилось добавил правила из инструкции в nat:

• -A POSTROUTING -s 10.10.10.0/24 -o eth0 -m policy --pol ipsec --dir out -j ACCEPT
• -A POSTROUTING -s 10.10.10.0/24 -o eth0 -j MASQUERADE

-A POSTROUTING -s 10.10.10.0/24 -o eth0 -m policy --pol ipsec --dir out -j ACCEPT

Не нужно, у вас и так accept

-A POSTROUTING -s 10.10.10.0/24 -o eth0 -j MASQUERADE

Похоже что у вас была ошибка в 35.*.*.*

спасибо большое, добрый человек )