Keenetic в роли VPN-клиента, нет связи обратно с сервера в сеть за кинетиком

[semenov]

Всем привет! Скорее всего такую тему уже обсуждали, но не смог найти.

У меня есть кинетик (сейчас это Speedster KN-3010 с KeeneticOS 3.5.6), он подключен к интернет через NAT (то есть его WAN-порт в сети 10.1.1.0/24, дальше стоит неизвестный роутер на 10.1.1.1, который уже делает NAT в интернет). Доступ с интернета к кинетику невозможен. Внутри кинетика локальная сеть (сегмент Home) 192.168.1.0/24. И есть мой линукс сервер в интернете с публичным IPv4. Задача: на сервере получить доступ к адресам в локальной сети кинетика, например 192.168.1.50.

Что я сделал:

1) на сервере поднял softether, включил IPSec/L2TP, создал виртуальный хаб, включил на нем SecureNAT с адресом 192.168.30.1, сделал мост этого виртуального хаба на свежесозданный tap интерфейс, повесил на tap интерфейс адрес 192.168.30.2
2) на кинетике создал VPN-соединение L2TP/IPsec к серверу, указал локальный адрес 192.168.30.5, удаленный адрес 192.168.30.1
3) на кинетике дополнительно сделал маршрут 192.168.30.0 -> 192.168.30.1 (потому что VPN-клиент на кинетике сам создает только маршрут 192.168.30.1/32 на l2tp интерфейсе)
4) на кинетике в сегментах l2tp0 и в Home добавил firewall правила "разрешить все всем по всем IP протоколам" (пока что так для отладки)
5) на сервере добавил роутинг, такие записи:
192.168.1.0/24 via 192.168.30.5 dev tap_vpn
192.168.30.0/24 dev tap_vpn proto kernel scope link src 192.168.30.2

Результаты:

1) с сервера пингуется 192.168.30.5, но не пингуется 192.168.1.1 и 192.168.1.50
2) из локалки (со 192.168.1.50) пингуется всё (и 192.168.30.5, и 192.168.30.1, и 192.168.30.2 даже)
3) если на кинетике добавить порт форвардинг (например input=l2tp0 output=192.168.150 port=8000) то тогда с сервера работает curl 192.168.30.5:8000

Вопрос: как добиться связи с сервера до 192.168.1.0? Я даже пока не пойму, где теряются пакеты. Можно как-то tcpdump хотя бы на кинетике запустить? 

Edited January 22, 2021 by semenov

[semenov]

Повторил настройки в другой локальной сети с Giga II с прошивкой 2.06-чего-то-там (последней стабильной) и тем же самым VPN-сервером. Ровно те же самые результаты, за той разницей что там пришлось сделать подключение просто L2TP без IPSec, он видимо не умеет IPSec.

Edited January 22, 2021 by semenov

[Le ecureuil]

Роутинг на 3010 обратный в сторону сервера есть?

Можно попробовать еще security-level private на l2tp/ipsec-интерфейсе.

[semenov]

Роутинг в сторону сервера есть:

Quote

на кинетике дополнительно сделал маршрут 192.168.30.0/24 -> 192.168.30.1

и пинги с 3010 до сервера ходят нормально (да и вообще в сторону сервера ото всюду все ходит нормально, проблема только назад).

security-level private поставил, не помогло (я даже no isolate-private пробовал). Не надо же перезагружаться после этих команд?

Edited January 22, 2021 by semenov

[Mamay]

1 минуту назад, semenov сказал:

Не надо же перезагружаться после этих команд?

system configuration save

[Le ecureuil]

Попробуйте с техподдержкой посмотреть, они такие инсталляции умеют правильно раскуривать.

[semenov]

Вот такая же тема: 

 

[semenov]

Перестроил связь на strongswan на сервере + IPSec site-to-site VPN на кинетике, заработало. 🤷
Жаль конечно, softether я и для обычного впн использовал, теперь IPSec порты заняты strongswan'ом.

Заморочки были только с протоколами. Если кому пригодится, остановился на таком:

conn home
	rightsubnet = 192.168.1.0/24
	auto = add
	authby = secret
	ike = aes256-aes192-aes128-sha256-sha384-modp2048-modp3072-modp4096-modp8192,aes128gcm16-sha384-x25519!
	esp = aes256-aes192-aes128-sha256-sha384-modp2048-modp3072-modp4096-modp8192,aes128gcm16-sha256-sha384-x25519!

при этом на кинетике: IKE AES128 + SHA384 + DH16, SA AES128 + SHA256 + DH16.

Все остальные настройки strongswan не нужны, дефолты нормально работают.