Jump to content

Keenetic в роли VPN-клиента, нет связи обратно с сервера в сеть за кинетиком


Recommended Posts

Всем привет! Скорее всего такую тему уже обсуждали, но не смог найти.

У меня есть кинетик (сейчас это Speedster KN-3010 с KeeneticOS 3.5.6), он подключен к интернет через NAT (то есть его WAN-порт в сети 10.1.1.0/24, дальше стоит неизвестный роутер на 10.1.1.1, который уже делает NAT в интернет). Доступ с интернета к кинетику невозможен. Внутри кинетика локальная сеть (сегмент Home) 192.168.1.0/24. И есть мой линукс сервер в интернете с публичным IPv4. Задача: на сервере получить доступ к адресам в локальной сети кинетика, например 192.168.1.50.

Что я сделал:

1) на сервере поднял softether, включил IPSec/L2TP, создал виртуальный хаб, включил на нем SecureNAT с адресом 192.168.30.1, сделал мост этого виртуального хаба на свежесозданный tap интерфейс, повесил на tap интерфейс адрес 192.168.30.2
2) на кинетике создал VPN-соединение L2TP/IPsec к серверу, указал локальный адрес 192.168.30.5, удаленный адрес 192.168.30.1
3) на кинетике дополнительно сделал маршрут 192.168.30.0 -> 192.168.30.1 (потому что VPN-клиент на кинетике сам создает только маршрут 192.168.30.1/32 на l2tp интерфейсе)
4) на кинетике в сегментах l2tp0 и в Home добавил firewall правила "разрешить все всем по всем IP протоколам" (пока что так для отладки)
5) на сервере добавил роутинг, такие записи:
192.168.1.0/24 via 192.168.30.5 dev tap_vpn
192.168.30.0/24 dev tap_vpn proto kernel scope link src 192.168.30.2

Результаты:

1) с сервера пингуется 192.168.30.5, но не пингуется 192.168.1.1 и 192.168.1.50
2) из локалки (со 192.168.1.50) пингуется всё (и 192.168.30.5, и 192.168.30.1, и 192.168.30.2 даже)
3) если на кинетике добавить порт форвардинг (например input=l2tp0 output=192.168.150 port=8000) то тогда с сервера работает curl 192.168.30.5:8000

Вопрос: как добиться связи с сервера до 192.168.1.0? Я даже пока не пойму, где теряются пакеты. Можно как-то tcpdump хотя бы на кинетике запустить? 

Edited by semenov
Link to comment
Share on other sites

Повторил настройки в другой локальной сети с Giga II с прошивкой 2.06-чего-то-там (последней стабильной) и тем же самым VPN-сервером. Ровно те же самые результаты, за той разницей что там пришлось сделать подключение просто L2TP без IPSec, он видимо не умеет IPSec.

Edited by semenov
Link to comment
Share on other sites

Роутинг в сторону сервера есть:

Quote

на кинетике дополнительно сделал маршрут 192.168.30.0/24 -> 192.168.30.1

и пинги с 3010 до сервера ходят нормально (да и вообще в сторону сервера ото всюду все ходит нормально, проблема только назад).

security-level private поставил, не помогло (я даже no isolate-private пробовал). Не надо же перезагружаться после этих команд?

Edited by semenov
Link to comment
Share on other sites

Перестроил связь на strongswan на сервере + IPSec site-to-site VPN на кинетике, заработало. 🤷
Жаль конечно, softether я и для обычного впн использовал, теперь IPSec порты заняты strongswan'ом.

Заморочки были только с протоколами. Если кому пригодится, остановился на таком:

conn home
	rightsubnet = 192.168.1.0/24
	auto = add
	authby = secret
	ike = aes256-aes192-aes128-sha256-sha384-modp2048-modp3072-modp4096-modp8192,aes128gcm16-sha384-x25519!
	esp = aes256-aes192-aes128-sha256-sha384-modp2048-modp3072-modp4096-modp8192,aes128gcm16-sha256-sha384-x25519!

при этом на кинетике: IKE AES128 + SHA384 + DH16, SA AES128 + SHA256 + DH16.

Все остальные настройки strongswan не нужны, дефолты нормально работают.

  • Upvote 1
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...