Для решения этой задачи потребуется сетевой эксперт !! ...
Использование сервера ubuntu 18.04 в VPS Digital Ocean и клиента Debian Raspbian.
Следуйте этому руководству, чтобы завести сервер:
https://computingforgeeks.com/build-ipsec-vpn-server-with-ipsec-l2tp-and-cisco-ipsec-linux/
и это руководство для клиента:
https://github.com/hwdsl2/setup-ipsec-vpn/blob/master/docs/clients.md#access -vpn-servers-su bnet
Я пытаюсь заставить клиентский сервер <> пинговать друг друга, чтобы я мог подтвердить, что трафик c выполняется маршрутизируется правильно.
Все работает без проблем для L2TP, но мне пришлось выполнить следующие действия, рекомендованные в настройке клиента выше: https://github.com/hwdsl2/setup-ipsec-vpn/blob/master/docs/clients.md#access -vpn-servers-su bnet
# For IPsec/L2TP
iptables -I FORWARD 2 -i ppp+ -d 192.168.0.0/24 -j ACCEPT
iptables -I FORWARD 2 -s 192.168.0.0/24 -o ppp+ -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
Однако, когда я подключаюсь с помощью клиента IPsec / auth, такого как ShrewSoft, я получаю подтверждение соединения на клиенте и на сервере. Все хорошо, и клиент может перемещаться по inte rnet под этим VPN. НО ни клиент, ни сервер не могут пропинговать друг друга. Нет сообщений, только мигающий курсор, затем тайм-аут.
Так что для l2p, ping 192.168.42.1 от клиента (192.168.42.10) достигает сервера нормально. И наоборот.
, но для xauth ping 192.168.43.1 от клиента (192.168.43.10) не работает. И наоборот.
Что я пытался это исправить:
убрал правила iptables выше - без эффекта
добавлены правила iptables по вышеуказанной ссылке, но для xauth su bnet (192.168.43.0/24) - без эффекта
iptables -I FORWARD 2 -s 192.168.43.0/24 -d 192.168.0.0/24 -j ACCEPT
iptables -I FORWARD 2 -s 192.168.0.0/24 -d 192.168.43.0/24 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
уничтожить / воссоздать дроплет Digital Ocean и запустить fre sh с помощью сценария установки vpn. На этот раз я сначала не вводил вышеупомянутые iptables для L2P, а вместо этого ввел вышеуказанные iptables для xauth.
без эффекта Я не могу заставить ни один узел видеть другой при использовании xauth, несмотря на то, что клиент и сервер правильно согласовывают и открывают туннель, и оба подтверждают успех.
Текущие iptables (для соединений xauth), работающие с точки зрения доступа к inte rnet, но клиент / сервер не может пропинговать друг друга - выглядит следующим образом; это fre sh установка на чистой дроплет + сборка vpn сервера + xauth iptables выше: -
Chain INPUT (policy ACCEPT 20 packets, 1259 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:1701 policy match dir in pol none
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID
5684 1120K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
3 3564 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 500,4500
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:1701 policy match dir in pol ipsec
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:1701
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID
0 0 ACCEPT all -- * * 192.168.0.0/24 192.168.43.0/24 ctstate RELATED,ESTABLISHED
0 0 ACCEPT all -- * * 192.168.43.0/24 192.168.0.0/24
0 0 ACCEPT all -- eth0 ppp+ 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
0 0 ACCEPT all -- ppp+ eth0 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- ppp+ ppp+ 192.168.42.0/24 192.168.42.0/24
3470 4030K ACCEPT all -- eth0 * 0.0.0.0/0 192.168.43.0/24 ctstate RELATED,ESTABLISHED
3451 671K ACCEPT all -- * eth0 192.168.43.0/24 0.0.0.0/0
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
На сервере я замечаю, что при использовании L2P создается интерфейс ppp0, и это соответствует с исходными iptables, созданными сценарием vpnsetup. Но при использовании xauth интерфейс ppp0 не создается, но соединение успешно. Есть другой интерфейс -
ip_vti0@NONE: <NOARP> mtu 1480 qdisc noop state DOWN group default qlen 1000
link/ipip 0.0.0.0 brd 0.0.0.0
Есть ли у гуру дровосека какие-нибудь идеи, пожалуйста?