LINUX.ORG.RU
ФорумAdmin

Strongswan нет инета

 


0

1

Привет всем, настроил по инструкции: https://www.digitalocean.com/community/tutorials/how-to-set-up-an-ikev2-vpn-server-with-strongswan-on-ubuntu-18-04-2-ru vpn, соединение клиента с сервером проходит нормально, Ip получает клиент и аунтификацию проходит, но инет не появляется через vpn, форвардинг настроен, Iptables тоже, в чем головоломка не пойму…подскажите пожалуйста кто знает


Если под фразой

но инет не появляется через vpn

Подразумевается tcp (браузеры и т.п.) понизьте значение в TCPMSS найдете в вашей же инструкции где это.

anc ★★★★★
()

присоедниняюсь к вопросу. Настраивал по этой же инструкции - на андроиде ест интернет, а на линуксе нет, если указать в ipsec.conf auto=route

anonymous
()
Ответ на: комментарий от micronekodesu

Если вы про настройку в винде: «использовать шлюз», то да галка стоит. Подключение работает почти полноценно, т.е. по putty и ftp работают, но интернета нет…

art_pr
() автор топика
Ответ на: комментарий от anc

просто изменил значение в команде на меньшее:

-A FORWARD –match policy –pol ipsec –dir in -s 10.10.10.0/24 -o eth0 -p tcp -m tcp –tcp-flags SYN,RST SYN -m tcpmss –mss 800:1100 -j TCPMSS –set-mss 801

art_pr
() автор топика
Ответ на: комментарий от art_pr

т.е. по putty и ftp работают, но интернета нет…

putty и ftp работают до сервера, правильно? Или до каких-то узлов в Интернете тоже?

micronekodesu ★★★
()
Ответ на: комментарий от micronekodesu

putty и ftp работают до сервера, правильно? Или до каких-то узлов в Интернете тоже?

до сервера

art_pr
() автор топика
Ответ на: комментарий от art_pr

Окей, мне все-таки кажется что клиент не знает что ему нужно слать запросы в интернеты через vpn. Хорошо бы чтоб вы показали конфиги, но для начала можно проверить что у вас на клиенте rightsubnet=0.0.0.0/0.

micronekodesu ★★★
()
Ответ на: комментарий от micronekodesu

Да там так и есть, скидываю конфиг:

config setup charondebug=«ike 1, knl 1, cfg 0» uniqueids=no

conn ikev2-vpn auto=add compress=no type=tunnel keyexchange=ikev2 fragmentation=yes forceencaps=yes dpdaction=clear dpddelay=300s rekey=no left=%any leftid=*************** # my ip leftcert=server-cert.pem leftsendcert=always leftsubnet=0.0.0.0/0 right=%any rightid=%any rightauth=eap-mschapv2 rightsourceip=10.10.10.0/24 rightdns=8.8.8.8,8.8.4.4 rightsendcert=never eap_identity=%identity

art_pr
() автор топика
Ответ на: комментарий от anc

исправил, все также, сейчас вообще отваливается с винды 10 подключение пишет: «ошибка сопоставления групповой политики» и главное я что-то менял до этого все нормально стало, теперь опять…скорее всего какая то не согласованность клиента и ipsec.conf с андройда заходит но инета также нет :(

art_pr
() автор топика
Ответ на: комментарий от anc

Сейчас вообще не подключается, вот ошибка которую писал выше, когда подключался то трассировка шла только до сервера и дальше никуда

art_pr
() автор топика
Ответ на: комментарий от art_pr

1. Ну верните конфиги к исходному состоянию.
2. Покажите cat /proc/sys/net/ipv4/ip_forward
3. Покажите iptables-save возможно правила выше блокируют

anc ★★★★★
()
Ответ на: комментарий от anc
  1. Ну верните конфиги к исходному состоянию.

Вернул давно, но уже сломалось (( винда глючит с этим ikev2

  1. Покажите cat /proc/sys/net/ipv4/ip_forward

вышло 1 и все…

  1. Покажите iptables-save возможно правила выше блокируют

список сильно большой не грузит сюда может в личку?

art_pr
() автор топика
Ответ на: комментарий от anc

а тут лички нету…))

Generated by iptables-save v1.6.1 on Wed May 20 20:12:52 2020

*mangle :PREROUTING ACCEPT [793:178851] :INPUT ACCEPT [793:178851] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [942:192992] :POSTROUTING ACCEPT [942:192992] -A FORWARD -s 10.10.10.0/24 -o eth0 -p tcp -m policy –dir in –pol ipsec -m tcp –tcp-flags SYN,RST SYN -m tcpmss –mss 1361:1536 -j TCPMSS –set-ms s 1360 COMMIT

Completed on Wed May 20 20:12:52 2020

Generated by iptables-save v1.6.1 on Wed May 20 20:12:52 2020

*nat :PREROUTING ACCEPT [11:4908] :INPUT ACCEPT [11:4908] :OUTPUT ACCEPT [27:2341] :POSTROUTING ACCEPT [27:2341] -A POSTROUTING -s 10.10.10.0/24 -o eth0 -m policy –dir out –pol ipsec -j ACCEPT -A POSTROUTING -s 10.10.10.0/24 -o eth0 -j MASQUERADE COMMIT

Completed on Wed May 20 20:12:52 2020

Generated by iptables-save v1.6.1 on Wed May 20 20:12:52 2020

*filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [0:0] :f2b-plesk-modsecurity - [0:0] :f2b-ssh - [0:0] :ufw-after-forward - [0:0] :ufw-after-input - [0:0] :ufw-after-logging-forward - [0:0] :ufw-after-logging-input - [0:0] :ufw-after-logging-output - [0:0] :ufw-after-output - [0:0] :ufw-before-forward - [0:0] :ufw-before-input - [0:0] :ufw-before-logging-forward - [0:0] :ufw-before-logging-input - [0:0] :ufw-before-logging-output - [0:0] :ufw-before-output - [0:0] :ufw-logging-allow - [0:0] :ufw-logging-deny - [0:0] :ufw-not-local - [0:0] :ufw-reject-forward - [0:0] :ufw-reject-input - [0:0] :ufw-reject-output - [0:0] :ufw-skip-to-policy-forward - [0:0] :ufw-skip-to-policy-input - [0:0] :ufw-skip-to-policy-output - [0:0] :ufw-track-forward - [0:0] :ufw-track-input - [0:0] :ufw-track-output - [0:0] :ufw-user-forward - [0:0] :ufw-user-input - [0:0] :ufw-user-limit - [0:0] :ufw-user-limit-accept - [0:0] :ufw-user-logging-forward - [0:0] :ufw-user-logging-input - [0:0] :ufw-user-logging-output - [0:0] :ufw-user-output - [0:0] -A INPUT -p tcp -m multiport –dports 80,443,7080,7081 -j f2b-plesk-modsecurity -A INPUT -p tcp -m tcp –dport 22 -j f2b-ssh -A INPUT -p tcp -m multiport –dports 80,443,7080,7081 -j f2b-plesk-modsecurity -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp -m tcp ! –tcp-flags FIN,SYN,RST,ACK SYN -m state –state NEW -j REJECT –reject-with tcp-reset -A INPUT -m state –state INVALID -j DROP -A INPUT -i lo -j ACCEPT -A INPUT -p udp -m udp –dport 500 -j ACCEPT -A INPUT -p udp -m udp –dport 4500 -j ACCEPT -A INPUT -p tcp -m tcp –dport 49152:65535 -j ACCEPT -A INPUT -p tcp -m tcp –dport 12443 -j ACCEPT -A INPUT -p tcp -m tcp –dport 11443 -j ACCEPT -A INPUT -p tcp -m tcp –dport 11444 -j ACCEPT -A INPUT -p tcp -m tcp –dport 8447 -j ACCEPT -A INPUT -p tcp -m tcp –dport 8443 -j ACCEPT -A INPUT -p tcp -m tcp –dport 8880 -j ACCEPT -A INPUT -p tcp -m tcp –dport 80 -j ACCEPT -A INPUT -p tcp -m tcp –dport 443 -j ACCEPT -A INPUT -p tcp -m tcp –dport 21 -j ACCEPT -A INPUT -p tcp -m tcp –dport 22 -j ACCEPT -A INPUT -p tcp -m tcp –dport 587 -j ACCEPT -A INPUT -p tcp -m tcp –dport 25 -j ACCEPT -A INPUT -p tcp -m tcp –dport 465 -j ACCEPT -A INPUT -p tcp -m tcp –dport 110 -j ACCEPT -A INPUT -p tcp -m tcp –dport 995 -j ACCEPT -A INPUT -p tcp -m tcp –dport 143 -j ACCEPT -A INPUT -p tcp -m tcp –dport 993 -j ACCEPT -A INPUT -p tcp -m tcp –dport 106 -j ACCEPT -A INPUT -p tcp -m tcp –dport 3306 -j ACCEPT -A INPUT -p tcp -m tcp –dport 5432 -j ACCEPT -A INPUT -p udp -m udp –dport 137 -j ACCEPT -A INPUT -p udp -m udp –dport 138 -j ACCEPT -A INPUT -p tcp -m tcp –dport 139 -j ACCEPT -A INPUT -p tcp -m tcp –dport 445 -j ACCEPT -A INPUT -p udp -m udp –dport 53 -j ACCEPT -A INPUT -p tcp -m tcp –dport 53 -j ACCEPT -A INPUT -p icmp -m icmp –icmp-type 8/0 -j ACCEPT -A INPUT -j DROP -A FORWARD -m state –state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -p tcp -m tcp ! –tcp-flags FIN,SYN,RST,ACK SYN -m state –state NEW -j REJECT –reject-with tcp-reset -A FORWARD -m state –state INVALID -j DROP -A FORWARD -i lo -o lo -j ACCEPT -A FORWARD -j DROP -A OUTPUT -m state –state RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -p tcp -m tcp ! –tcp-flags FIN,SYN,RST,ACK SYN -m state –state NEW -j REJECT –reject-with tcp-reset -A OUTPUT -m state –state INVALID -j DROP -A OUTPUT -o lo -j ACCEPT -A OUTPUT -j ACCEPT -A f2b-plesk-modsecurity -j RETURN -A f2b-plesk-modsecurity -j RETURN -A f2b-ssh -j RETURN -A ufw-after-input -p udp -m udp –dport 137 -j ufw-skip-to-policy-input -A ufw-after-input -p udp -m udp –dport 138 -j ufw-skip-to-policy-input -A ufw-after-input -p tcp -m tcp –dport 139 -j ufw-skip-to-policy-input -A ufw-after-input -p tcp -m tcp –dport 445 -j ufw-skip-to-policy-input -A ufw-after-input -p udp -m udp –dport 67 -j ufw-skip-to-policy-input -A ufw-after-input -p udp -m udp –dport 68 -j ufw-skip-to-policy-input -A ufw-after-input -m addrtype –dst-type BROADCAST -j ufw-skip-to-policy-input -A ufw-after-logging-forward -m limit –limit 3/min –limit-burst 10 -j LOG –log-prefix "[UFW BLOCK] " -A ufw-after-logging-input -m limit –limit 3/min –limit-burst 10 -j LOG –log-prefix "[UFW BLOCK] " -A ufw-before-forward -s 10.10.10.0/24 -m policy –dir in –pol ipsec –proto esp -j ACCEPT -A ufw-before-forward -d 10.10.10.0/24 -m policy –dir out –pol ipsec –proto esp -j ACCEPT -A ufw-before-forward -m conntrack –ctstate RELATED,ESTABLISHED -j ACCEPT -A ufw-before-forward -p icmp -m icmp –icmp-type 3 -j ACCEPT -A ufw-before-forward -p icmp -m icmp –icmp-type 11 -j ACCEPT -A ufw-before-forward -p icmp -m icmp –icmp-type 12 -j ACCEPT -A ufw-before-forward -p icmp -m icmp –icmp-type 8 -j ACCEPT -A ufw-before-forward -j ufw-user-forward -A ufw-before-input -i lo -j ACCEPT -A ufw-before-input -m conntrack –ctstate RELATED,ESTABLISHED -j ACCEPT -A ufw-before-input -m conntrack –ctstate INVALID -j ufw-logging-deny -A ufw-before-input -m conntrack –ctstate INVALID -j DROP -A ufw-before-input -p icmp -m icmp –icmp-type 3 -j ACCEPT -A ufw-before-input -p icmp -m icmp –icmp-type 11 -j ACCEPT -A ufw-before-input -p icmp -m icmp –icmp-type 12 -j ACCEPT -A ufw-before-input -p icmp -m icmp –icmp-type 8 -j ACCEPT -A ufw-before-input -p udp -m udp –sport 67 –dport 68 -j ACCEPT -A ufw-before-input -j ufw-not-local -A ufw-before-input -d 224.0.0.251/32 -p udp -m udp –dport 5353 -j ACCEPT -A ufw-before-input -d 239.255.255.250/32 -p udp -m udp –dport 1900 -j ACCEPT -A ufw-before-input -j ufw-user-input -A ufw-before-output -o lo -j ACCEPT -A ufw-before-output -m conntrack –ctstate RELATED,ESTABLISHED -j ACCEPT -A ufw-before-output -j ufw-user-output -A ufw-logging-allow -m limit –limit 3/min –limit-burst 10 -j LOG –log-prefix "[UFW ALLOW] " -A ufw-logging-deny -m conntrack –ctstate INVALID -m limit –limit 3/min –limit-burst 10 -j RETURN -A ufw-logging-deny -m limit –limit 3/min –limit-burst 10 -j LOG –log-prefix "[UFW BLOCK] " -A ufw-not-local -m addrtype –dst-type LOCAL -j RETURN -A ufw-not-local -m addrtype –dst-type MULTICAST -j RETURN -A ufw-not-local -m addrtype –dst-type BROADCAST -j RETURN -A ufw-not-local -m limit –limit 3/min –limit-burst 10 -j ufw-logging-deny -A ufw-not-local -j DROP -A ufw-skip-to-policy-forward -j DROP -A ufw-skip-to-policy-input -j DROP -A ufw-skip-to-policy-output -j ACCEPT -A ufw-track-output -p tcp -m conntrack –ctstate NEW -j ACCEPT -A ufw-track-output -p udp -m conntrack –ctstate NEW -j ACCEPT -A ufw-user-input -p tcp -m tcp –dport 22 -m comment –comment «'dapp_OpenSSH'» -j ACCEPT -A ufw-user-input -p udp -m multiport –dports 500,4500 -j ACCEPT -A ufw-user-limit -m limit –limit 3/min -j LOG –log-prefix "[UFW LIMIT BLOCK] " -A ufw-user-limit -j REJECT –reject-with icmp-port-unreachable -A ufw-user-limit-accept -j ACCEPT COMMIT

Completed on Wed May 20 20:12:52 2020

art_pr
() автор топика
Ответ на: комментарий от art_pr

список сильно большой не грузит сюда может в личку?

Здесь нет лички. Но раз правил много, для начала лучше не надо, парсить лениво :)
Для теста разово можно отключить fw и добавить два правила.
iptables -A FORWARD -j ACCEPT
iptables -t nat -A POSTROUTING -o $EXT_IF -s $IPSEC_NET -j MASQUERADE
Где $EXT_IF интерфейс через который будут улетать пакеты в инет.
$IPSEC_NET - внутренняя сеть ipsec.
Ещё раз убедиться что в cat /proc/sys/net/ipv4/ip_forward 1(единица) если ноль, то echo 1 >/proc/sys/net/ipv4/ip_forward

Проверять traceroute большего для теста не надо. Если заработает, то разбирать детально по частям будем потом.

ЗЫ
Ещё посмотрите на
cat /proc/sys/net/ipv4/conf/*/rp_filter

anc ★★★★★
()
Ответ на: комментарий от anc

Ещё посмотрите на cat /proc/sys/net/ipv4/conf/*/rp_filter

1 1 1 1 0

вот так выходит, fw отключить имеется ввиду очистить все правила?

art_pr
() автор топика
Ответ на: комментарий от art_pr

Используйте форматирование при создании сообщения, внизу формы есть ссылки
Внимание: прочитайте описание разметки Markdown или LORCODE.
По умолчанию Markdown
И так же там есть кнопка Предосмотр.

anc ★★★★★
()
Ответ на: комментарий от art_pr

cat /proc/sys/net/ipv4/conf/*/rp_filter

Выставите в ноль все
for IF in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 0 > $IF; done

fw отключить имеется ввиду очистить все правила?

В целом да, но поскольку у вас полиси DROP потеряете связь при простом iptables -F. Расписывать последовательность дольше, а вроде как при штатной остановке оно само очиститься. :)

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anc

когда rp_filter выставил в 0 перестало заходить в Plesk ну и так на телефоне не появился инет через vpn, потому вернул на 1. По fw подскажите пожалуйста команду, sudo ufw reset ? это она? SSH потом будет работать? )

art_pr
() автор топика
Ответ на: комментарий от art_pr

когда rp_filter выставил в 0 перестало заходить в Plesk

Это крайне странно. Но не так давно кто-то тут описывал случай как раз с хостингом. Попробуйте не 0 а 2.

По fw подскажите пожалуйста команду, sudo ufw reset ?

Не знаю, я как бэ не убунтовод (да и в целом всякие надстройки вида ufw/firewalld не использую), думал вы в курсе как у вас там делается :)

Можно так

iptables -I FORWARD -j ACCEPT
iptables -t nat -I POSTROUTING -o $EXT_IF -s $IPSEC_NET -j MASQUERADE
И потом посмотрите на счетчики iptables
iptables -L FORWARD -nv
iptables -t nat -L POSTROUTING -nv

anc ★★★★★
()
Ответ на: комментарий от art_pr

А вообще пора расчехлять tcpdump и смотреть на выхлоп.

anc ★★★★★
()
Ответ на: комментарий от anc

iptables -I FORWARD -j ACCEPT iptables -t nat -I POSTROUTING -o $EXT_IF -s $IPSEC_NET -j MASQUERADE

Получилось! после вот этой команды инет на телефоне заработал, Ip взял сервака, все нормально, но наверно опасно так оставлять?

art_pr
() автор топика
Ответ на: комментарий от anc

1. Выложите правила в нормальной разметке.
2. Но то что я увидел наискосок в вашей лапше, это то что цепочка ufw-before-forward вообще не используется, замените на FORWARD. Кратко так, проблема в том что у вас дропаеться на цепочке FORWARD.

anc ★★★★★
()
Ответ на: комментарий от anc
  • *mangle
  • :PREROUTING ACCEPT [406576:341232626]
  • :INPUT ACCEPT [161938:26494109]
  • :FORWARD ACCEPT [244333:314700189]
  • :OUTPUT ACCEPT [248019:328859544]
  • :POSTROUTING ACCEPT [492352:643559733]
  • -A FORWARD -s 10.10.10.0/24 -o eth0 -p tcp -m policy –dir in –pol ipsec -m tcp –tcp-flags SYN,RST SYN -m tcpmss –mss 1361:1536 -j TCPMSS –set-mss 1360
  • -A FORWARD -s 10.10.10.0/24 -o eth0 -p tcp -m policy –dir in –pol ipsec -m tcp –tcp-flags SYN,RST SYN -m tcpmss –mss 1361:1536 -j TCPMSS –set-mss 1360
  • COMMIT
  • *nat
  • :PREROUTING ACCEPT [2555:526867]
  • :INPUT ACCEPT [55:6404]
  • :OUTPUT ACCEPT [128:11563]
  • :POSTROUTING ACCEPT [130:11643]
  • -A POSTROUTING -o -s -j MASQUERADE
  • -A POSTROUTING -s 10.10.10.0/24 -o eth0 -m policy –dir out –pol ipsec -j ACCEPT
  • -A POSTROUTING -s 10.10.10.0/24 -o eth0 -j MASQUERADE
  • -A POSTROUTING -s 10.10.10.0/24 -o eth0 -m policy –dir out –pol ipsec -j ACCEPT
  • -A POSTROUTING -s 10.10.10.0/24 -o eth0 -j MASQUERADE
  • COMMIT
  • *filter
  • :INPUT DROP [0:0]
  • :FORWARD DROP [0:0]
  • :OUTPUT ACCEPT [0:0]
  • :f2b-plesk-modsecurity - [0:0]
  • :f2b-ssh - [0:0]
  • :ufw-after-forward - [0:0]
  • :ufw-after-input - [0:0]
  • :ufw-after-logging-forward - [0:0]
  • :ufw-after-logging-input - [0:0]
  • :ufw-after-logging-output - [0:0]
  • :ufw-after-output - [0:0]
  • :ufw-before-forward - [0:0]
  • :ufw-before-input - [0:0]
  • :ufw-before-logging-forward - [0:0]
  • :ufw-before-logging-input - [0:0]
  • :ufw-before-logging-output - [0:0]
  • :ufw-before-output - [0:0]
  • :ufw-logging-allow - [0:0]
  • :ufw-logging-deny - [0:0]
  • :ufw-not-local - [0:0]
  • :ufw-reject-forward - [0:0]
  • :ufw-reject-input - [0:0]
  • :ufw-reject-output - [0:0]
  • :ufw-skip-to-policy-forward - [0:0]
  • :ufw-skip-to-policy-input - [0:0]
  • :ufw-skip-to-policy-output - [0:0]
  • :ufw-track-forward - [0:0]
  • :ufw-track-input - [0:0]
  • :ufw-track-output - [0:0]
  • :ufw-user-forward - [0:0]
  • :ufw-user-input - [0:0]
  • :ufw-user-limit - [0:0]
  • :ufw-user-limit-accept - [0:0]
  • :ufw-user-logging-forward - [0:0]
  • :ufw-user-logging-input - [0:0]
  • :ufw-user-logging-output - [0:0]
  • :ufw-user-output - [0:0]
  • -A INPUT -p tcp -m multiport –dports 80,443,7080,7081 -j f2b-plesk-modsecurity
  • -A INPUT -p tcp -m tcp –dport 22 -j f2b-ssh
  • -A INPUT -p tcp -m multiport –dports 80,443,7080,7081 -j f2b-plesk-modsecurity
  • -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
  • -A INPUT -p tcp -m tcp ! –tcp-flags FIN,SYN,RST,ACK SYN -m state –state NEW -j REJECT –reject-with tcp-reset
  • -A INPUT -m state –state INVALID -j DROP
  • -A INPUT -i lo -j ACCEPT
  • -A INPUT -p udp -m udp –dport 500 -j ACCEPT
  • -A INPUT -p udp -m udp –dport 4500 -j ACCEPT
  • -A INPUT -p tcp -m tcp –dport 49152:65535 -j ACCEPT
  • -A INPUT -p tcp -m tcp –dport 12443 -j ACCEPT
  • -A INPUT -p tcp -m tcp –dport 11443 -j ACCEPT
  • -A INPUT -p tcp -m tcp –dport 11444 -j ACCEPT
  • -A INPUT -p tcp -m tcp –dport 8447 -j ACCEPT
  • -A INPUT -p tcp -m tcp –dport 8443 -j ACCEPT
  • -A INPUT -p tcp -m tcp –dport 8880 -j ACCEPT
  • -A INPUT -p tcp -m tcp –dport 80 -j ACCEPT
  • -A INPUT -p tcp -m tcp –dport 443 -j ACCEPT
  • -A INPUT -p tcp -m tcp –dport 21 -j ACCEPT
  • -A INPUT -p tcp -m tcp –dport 22 -j ACCEPT
  • -A INPUT -p tcp -m tcp –dport 587 -j ACCEPT
  • -A INPUT -p tcp -m tcp –dport 25 -j ACCEPT
  • -A INPUT -p tcp -m tcp –dport 465 -j ACCEPT
  • -A INPUT -p tcp -m tcp –dport 110 -j ACCEPT
  • -A INPUT -p tcp -m tcp –dport 995 -j ACCEPT
  • -A INPUT -p tcp -m tcp –dport 143 -j ACCEPT
  • -A INPUT -p tcp -m tcp –dport 993 -j ACCEPT
  • -A INPUT -p tcp -m tcp –dport 106 -j ACCEPT
  • -A INPUT -p tcp -m tcp –dport 3306 -j ACCEPT
  • -A INPUT -p tcp -m tcp –dport 5432 -j ACCEPT
  • -A INPUT -p udp -m udp –dport 137 -j ACCEPT
  • -A INPUT -p udp -m udp –dport 138 -j ACCEPT
  • -A INPUT -p tcp -m tcp –dport 139 -j ACCEPT
  • -A INPUT -p tcp -m tcp –dport 445 -j ACCEPT
  • -A INPUT -p udp -m udp –dport 53 -j ACCEPT
  • -A INPUT -p tcp -m tcp –dport 53 -j ACCEPT
  • -A INPUT -p icmp -m icmp –icmp-type 8/0 -j ACCEPT
  • -A INPUT -j DROP
  • -A FORWARD -j ACCEPT
  • -A FORWARD -m state –state RELATED,ESTABLISHED -j ACCEPT
  • -A FORWARD -p tcp -m tcp ! –tcp-flags FIN,SYN,RST,ACK SYN -m state –state NEW -j REJECT –reject-with tcp-reset
  • -A FORWARD -m state –state INVALID -j DROP
  • -A FORWARD -i lo -o lo -j ACCEPT
  • -A FORWARD -j DROP
  • -A OUTPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
  • -A OUTPUT -p tcp -m tcp ! –tcp-flags FIN,SYN,RST,ACK SYN -m state –state NEW -j REJECT –reject-with tcp-reset
  • -A OUTPUT -m state –state INVALID -j DROP
  • -A OUTPUT -o lo -j ACCEPT
  • -A OUTPUT -j ACCEPT
  • -A f2b-plesk-modsecurity -j RETURN
  • -A f2b-plesk-modsecurity -j RETURN
  • -A f2b-ssh -j RETURN
  • -A ufw-after-input -p udp -m udp –dport 137 -j ufw-skip-to-policy-input
  • -A ufw-after-input -p udp -m udp –dport 138 -j ufw-skip-to-policy-input
  • -A ufw-after-input -p tcp -m tcp –dport 139 -j ufw-skip-to-policy-input
  • -A ufw-after-input -p tcp -m tcp –dport 445 -j ufw-skip-to-policy-input
  • -A ufw-after-input -p udp -m udp –dport 67 -j ufw-skip-to-policy-input
  • -A ufw-after-input -p udp -m udp –dport 68 -j ufw-skip-to-policy-input
  • -A ufw-after-input -m addrtype –dst-type BROADCAST -j ufw-skip-to-policy-input
  • -A ufw-after-logging-forward -m limit –limit 3/min –limit-burst 10 -j LOG –log-prefix "[UFW BLOCK] "
  • -A ufw-after-logging-input -m limit –limit 3/min –limit-burst 10 -j LOG –log-prefix "[UFW BLOCK] "
  • -A ufw-before-forward -s 10.10.10.0/24 -m policy –dir in –pol ipsec –proto esp -j ACCEPT
  • -A ufw-before-forward -d 10.10.10.0/24 -m policy –dir out –pol ipsec –proto esp -j ACCEPT
  • -A ufw-before-forward -m conntrack –ctstate RELATED,ESTABLISHED -j ACCEPT
  • -A ufw-before-forward -p icmp -m icmp –icmp-type 3 -j ACCEPT
  • -A ufw-before-forward -p icmp -m icmp –icmp-type 11 -j ACCEPT
  • -A ufw-before-forward -p icmp -m icmp –icmp-type 12 -j ACCEPT
  • -A ufw-before-forward -p icmp -m icmp –icmp-type 8 -j ACCEPT
  • -A ufw-before-forward -j ufw-user-forward
  • -A ufw-before-input -i lo -j ACCEPT
  • -A ufw-before-input -m conntrack –ctstate RELATED,ESTABLISHED -j ACCEPT
  • -A ufw-before-input -m conntrack –ctstate INVALID -j ufw-logging-deny
  • -A ufw-before-input -m conntrack –ctstate INVALID -j DROP
  • -A ufw-before-input -p icmp -m icmp –icmp-type 3 -j ACCEPT
  • -A ufw-before-input -p icmp -m icmp –icmp-type 11 -j ACCEPT
  • -A ufw-before-input -p icmp -m icmp –icmp-type 12 -j ACCEPT
  • -A ufw-before-input -p icmp -m icmp –icmp-type 8 -j ACCEPT
  • -A ufw-before-input -p udp -m udp –sport 67 –dport 68 -j ACCEPT
  • -A ufw-before-input -j ufw-not-local
  • -A ufw-before-input -d 224.0.0.251/32 -p udp -m udp –dport 5353 * -j ACCEPT
  • -A ufw-before-input -d 239.255.255.250/32 -p udp -m udp –dport 1900 -j ACCEPT
  • -A ufw-before-input -j ufw-user-input
  • -A ufw-before-output -o lo -j ACCEPT
  • -A ufw-before-output -m conntrack –ctstate RELATED,ESTABLISHED -j ACCEPT
  • -A ufw-before-output -j ufw-user-output
  • -A ufw-logging-allow -m limit –limit 3/min –limit-burst 10 -j LOG –log-prefix "[UFW ALLOW] "
  • -A ufw-logging-deny -m conntrack –ctstate INVALID -m limit –limit 3/min –limit-burst 10 -j RETURN
  • -A ufw-logging-deny -m limit –limit 3/min –limit-burst 10 -j LOG –log-prefix "[UFW BLOCK] "
  • -A ufw-not-local -m addrtype –dst-type LOCAL -j RETURN
  • -A ufw-not-local -m addrtype –dst-type MULTICAST -j RETURN
  • -A ufw-not-local -m addrtype –dst-type BROADCAST -j RETURN
  • -A ufw-not-local -m limit –limit 3/min –limit-burst 10 -j ufw-logging-deny
art_pr
() автор топика
Ответ на: комментарий от art_pr
  • -A ufw-not-local -j DROP
  • -A ufw-skip-to-policy-forward -j DROP
  • -A ufw-skip-to-policy-input -j DROP
  • -A ufw-skip-to-policy-output -j ACCEPT
  • -A ufw-track-output -p tcp -m conntrack –ctstate NEW -j ACCEPT
  • -A ufw-track-output -p udp -m conntrack –ctstate NEW -j ACCEPT
  • -A ufw-user-input -p tcp -m tcp –dport 22 -m comment –comment «'dapp_OpenSSH'» -j ACCEPT
  • -A ufw-user-input -p udp -m multiport –dports 500,4500 -j ACCEPT
  • -A ufw-user-limit -m limit –limit 3/min -j LOG –log-prefix "[UFW LIMIT BLOCK] "
  • -A ufw-user-limit -j REJECT –reject-with icmp-port-unreachable
  • -A ufw-user-limit-accept -j ACCEPT
art_pr
() автор топика
Ответ на: комментарий от art_pr

Смотрим мой ответ

2. Но то что я увидел наискосок в вашей лапше, это то что цепочка ufw-before-forward вообще не используется, замените на FORWARD. Кратко так, проблема в том что у вас дропаеться на цепочке FORWARD.

То есть в правилах из инструкции заменить цепочку.

anc ★★★★★
()
Ответ на: комментарий от art_pr

Не забудьте почистить лишние правила.

anc ★★★★★
()
Ответ на: комментарий от art_pr

Не по теме. Пересмотрел простыню. «Простите, а зачем вам столько галоперидола?» (c) я в смысле открытых портов в fw муська, smb, почта и других... вы правда понимаете что делаете настраивая fw? или у вас действительно все это на одной машинке крутиться? но тогда вы не понимаете в какую каку можете вляпаться.

anc ★★★★★
()
Ответ на: комментарий от anc

Да я как бы новичек ) мне линукс для веб сервака и впн онли. Порты несколько(4500 и 500 для стронга) я открыл а остальные plesk сам открывает, у него еще свой вайервол встроенный mod. Если есть рекомендации по закрытию или статья хорошая киньте пожалуйста. Еще раз спасибо за участие ))

art_pr
() автор топика
8 марта 2022 г.
Ответ на: комментарий от anc

:) да как бы подробностей шибко нет, работало, потом перестало, возможно на стороне сервака, что то включилось, plesk такая штука которая много чего включает и не предупреждает. Подскажите что нужно рассказать еще? Готов все рассказать, кроме пароля от root)

art_pr
() автор топика
Ответ на: комментарий от anc

это в свете темы означает опять трафик не заворачивается через vpn подключается, Ip получает а инета нет, ftp и ssh работает

art_pr
() автор топика
Ответ на: комментарий от anc

) настроен strongswan на ubuntu, пытаюсь с винды 10 подключиться по vpn, соединение проходит успешно, со стороны сервера вижу что коннект произошел, но интернет не работает через сервак а работает по прежнему с ограничениями.

art_pr
() автор топика
Ответ на: комментарий от anc

трасерт вот что пишет(первый трасерт без впн, второй с вкл. впн):

Трассировка маршрута к dns.google [8.8.8.8] с максимальным числом прыжков 30:

1 <1 мс <1 мс <1 мс router.lan [192.168.88.1]
2 1 ms 1 ms 1 ms ppp-gw.tis-dialog.ru [83.219.128.0]
3 1 ms <1 мс <1 мс 10.192.168.12
4 1 ms 1 ms <1 мс 10.192.168.135
5 31 ms 31 ms 31 ms ^C

Трассировка маршрута к dns.google [8.8.8.8] с максимальным числом прыжков 30:

1 48 ms 48 ms 48 ms 172.*.*.*
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.
5 * * * Превышен интервал ожидания для запроса.

art_pr
() автор топика
Ответ на: комментарий от art_pr

Посмотри таблицу маршрутизации и удостоверься, что маршрут до нужных тебе IP адресов идёт именно через шлюз в VPN.

Проверь, что так же идут DNS запросы и DNS сервер так же доступен через VPN шлюз.

infomeh ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.