Jump to content

semenov

Forum Members
  • Posts

    5
  • Joined

  • Last visited

Posts posted by semenov

  1. Перестроил связь на strongswan на сервере + IPSec site-to-site VPN на кинетике, заработало. 🤷
    Жаль конечно, softether я и для обычного впн использовал, теперь IPSec порты заняты strongswan'ом.

    Заморочки были только с протоколами. Если кому пригодится, остановился на таком:

    conn home
    	rightsubnet = 192.168.1.0/24
    	auto = add
    	authby = secret
    	ike = aes256-aes192-aes128-sha256-sha384-modp2048-modp3072-modp4096-modp8192,aes128gcm16-sha384-x25519!
    	esp = aes256-aes192-aes128-sha256-sha384-modp2048-modp3072-modp4096-modp8192,aes128gcm16-sha256-sha384-x25519!

    при этом на кинетике: IKE AES128 + SHA384 + DH16, SA AES128 + SHA256 + DH16.

    Все остальные настройки strongswan не нужны, дефолты нормально работают.

    • Upvote 1
  2. Роутинг в сторону сервера есть:

    Quote

    на кинетике дополнительно сделал маршрут 192.168.30.0/24 -> 192.168.30.1

    и пинги с 3010 до сервера ходят нормально (да и вообще в сторону сервера ото всюду все ходит нормально, проблема только назад).

    security-level private поставил, не помогло (я даже no isolate-private пробовал). Не надо же перезагружаться после этих команд?

  3. Повторил настройки в другой локальной сети с Giga II с прошивкой 2.06-чего-то-там (последней стабильной) и тем же самым VPN-сервером. Ровно те же самые результаты, за той разницей что там пришлось сделать подключение просто L2TP без IPSec, он видимо не умеет IPSec.

  4. Всем привет! Скорее всего такую тему уже обсуждали, но не смог найти.

    У меня есть кинетик (сейчас это Speedster KN-3010 с KeeneticOS 3.5.6), он подключен к интернет через NAT (то есть его WAN-порт в сети 10.1.1.0/24, дальше стоит неизвестный роутер на 10.1.1.1, который уже делает NAT в интернет). Доступ с интернета к кинетику невозможен. Внутри кинетика локальная сеть (сегмент Home) 192.168.1.0/24. И есть мой линукс сервер в интернете с публичным IPv4. Задача: на сервере получить доступ к адресам в локальной сети кинетика, например 192.168.1.50.

    Что я сделал:

    1) на сервере поднял softether, включил IPSec/L2TP, создал виртуальный хаб, включил на нем SecureNAT с адресом 192.168.30.1, сделал мост этого виртуального хаба на свежесозданный tap интерфейс, повесил на tap интерфейс адрес 192.168.30.2
    2) на кинетике создал VPN-соединение L2TP/IPsec к серверу, указал локальный адрес 192.168.30.5, удаленный адрес 192.168.30.1
    3) на кинетике дополнительно сделал маршрут 192.168.30.0 -> 192.168.30.1 (потому что VPN-клиент на кинетике сам создает только маршрут 192.168.30.1/32 на l2tp интерфейсе)
    4) на кинетике в сегментах l2tp0 и в Home добавил firewall правила "разрешить все всем по всем IP протоколам" (пока что так для отладки)
    5) на сервере добавил роутинг, такие записи:
    192.168.1.0/24 via 192.168.30.5 dev tap_vpn
    192.168.30.0/24 dev tap_vpn proto kernel scope link src 192.168.30.2

    Результаты:

    1) с сервера пингуется 192.168.30.5, но не пингуется 192.168.1.1 и 192.168.1.50
    2) из локалки (со 192.168.1.50) пингуется всё (и 192.168.30.5, и 192.168.30.1, и 192.168.30.2 даже)
    3) если на кинетике добавить порт форвардинг (например input=l2tp0 output=192.168.150 port=8000) то тогда с сервера работает curl 192.168.30.5:8000

    Вопрос: как добиться связи с сервера до 192.168.1.0? Я даже пока не пойму, где теряются пакеты. Можно как-то tcpdump хотя бы на кинетике запустить? 

×
×
  • Create New...