Jump to content
  • 0

Туннель поднять, но трафик не идет через него (Lite 3)


Кирилл Кулаков
 Share

Question

Всем привет!

Хочу на своем kinetic lite 3 (2.15.C.0-1) (сервер) реализовать туннель до домашней сети для клиентов.

С горем по полам заставил туннель подниматься, но в нем ничего не пингуется, и в списке сетей на Ubuntu (клиент) новых интерфейсов не появляется.

С телефона подключаюсь через VPN IPsec, а вот с компа через VPN L2TP/IPsec нет. ХЗ какой из них лучше использовать под эти задачи.

Конфигурация keenetic

keyingtries = 1
        margintime = 20s
        rekeyfuzz = 100%
        lifebytes = 21474836480
        closeaction = none
        leftupdown = /tmp/ipsec/charon.left.updown
        rightupdown = /tmp/ipsec/charon.right.updown
        ike = 3des-sha1-modp1024,3des-sha1-modp768,3des-sha1-ecp384,3des-sha1-ecp256,3des-sha1-modp2048,3des-md5-modp1024,3des-md5-modp768,3des-md5-ecp384,3des-md5-ecp256,3des-md5-modp2048,des-sha1-modp1024,des-sha1-modp768,des-sha1-ecp384,des-sha1-ecp256,des-sha1-modp2048,des-md5-modp1024,des-md5-modp768,des-md5-ecp384,des-md5-ecp256,des-md5-modp2048,aes128-sha1-modp1024,aes128-sha1-modp768,aes128-sha1-ecp384,aes128-sha1-ecp256,aes128-sha1-modp2048,aes128-md5-modp1024,aes128-md5-modp768,aes128-md5-ecp384,aes128-md5-ecp256,aes128-md5-modp2048,aes256-sha1-modp1024,aes256-sha1-modp768,aes256-sha1-ecp384,aes256-sha1-ecp256,aes256-sha1-modp2048,aes256-md5-modp1024,aes256-md5-modp768,aes256-md5-ecp384,aes256-md5-ecp256,aes256-md5-modp2048!
        ikelifetime = 28800s
        keyexchange = ikev1
        esp = aes128-sha1,aes128-md5,3des-sha1,3des-md5,des-sha1,des-md5!
        lifetime = 28800s
        dpdaction = clear
        dpddelay = 20s
        dpdtimeout = 80s
        leftid = 0.0.0.0
        leftauth = psk
        rightid = %any
        rightauth = psk
        type = transport
        left = %any
        right = %any
        leftsubnet = 0.0.0.0/0[17/1701-1701]
        rightsubnet = 0.0.0.0/0[17]
        auto = add
        rekey = yes
        forceencaps = no
        no_reauth_passive = yes

Стандартная - ничего не менял, просто указал PSK ключ и указал использовать подсеть 172.16.3.33 на 4 клиента.

Конфиг клиента Ubuntu StrongSwan

ipsec.conf

# basic configuration
config setup
 # strictcrlpolicy=yes
 # uniqueids = no
 # Add connections here.
 # Sample VPN connections


conn myvpn
 ike=aes256-md5-modp2048!
 esp=aes128-sha1!
 keyexchange=ikev1
 left=%any
 auto=add
 authby=psk
 type=transport
 leftprotoport=17/1701
 rightprotoport=17/1701
 right=ip_do_keentic
 rightid=%any
 leftid=172.16.3.34
 leftauth=psk
 rightauth=psk
 leftsubnet = 0.0.0.0/0
 rightsubnet = 0.0.0.0/0

sudo ipsec status

Security Associations (1 up, 0 connecting):
       myvpn[2]: ESTABLISHED 80 minutes ago, 192.168.1.62[172.16.3.34]...ip.do.keenetic[ip.do.keenetic]
       myvpn{4}:  INSTALLED, TRANSPORT, reqid 2, ESP in UDP SPIs: c943176b_i c906143f0f_o
       myvpn{4}:   192.168.1.62/32[udp/l2f] === ip.do.keenetic/32[udp/l2f]

Туннель видимо создается, но как внутрь его трафик заворачивать ХЗ.

Секреты тоже все настроены.

options.l2tpd.client

ipcp-accept-local
 ipcp-accept-remote
 refuse-eap
 require-mschap-v2
 noccp
 noauth
 #idle 1800
 mtu 1460
 mru 1460
 #defaultroute
 usepeerdns
 lock
 persist
 maxfail 10
 holdoff 15 #интервал между подключениями
 connect-delay 5000
 name My_user
 password my_password

 

Link to comment
Share on other sites

3 answers to this question

Recommended Posts

  • 1

У вас ubuntu  - это сервер за которым сеть и вы хотите эту сеть связать с сетью за keenetic, или это одиночный ПК, по сценарию roadwarrior? Если первое, то лучше использовать чистый ipsec в туннельном режиме, трафик до нужных сетей заворачивается политиками. Если у вас второй вариант и это просто одиночный пк, то наверняка же на нем есть какой-нибудь из  desktop environment'ов, в котором через network-meneger l2tp/ipsec клиент запускается в несколько кликов мышью, зачем пытаться это строить из терминала? Конкретно в вашем случае, судя по всему, строится ipsec но l2tp не поднимается, раз не появляется соответствующего интерфейса.

Если по какой-то причине нужно строить из терминала, то я бы предпочел тогда использовать VPN-сервер IPsec (Virtual IP) на кинетике. В таком случае на ubuntu не понадобится дополнительный демон для l2tp, достаточно будет одного strongswan. Можно воспользоваться примерами из официальной wiki по strongswan. Конкретно вам для варианта ipsec сервера c virtual ip и XAUTH аутентификацией подходит вот этот пример: https://www.strongswan.org/testing/testresults5dr/ikev1-stroke/xauth-id-psk-config/  Можно в нем подглядеть конфиги для клиента.

  • Thanks 1
Link to comment
Share on other sites

  • 0
7 hours ago, werldmgn said:

У вас ubuntu  - это сервер за которым сеть и вы хотите эту сеть связать с сетью за keenetic, или это одиночный ПК, по сценарию roadwarrior? Если первое, то лучше использовать чистый ipsec в туннельном режиме, трафик до нужных сетей заворачивается политиками. Если у вас второй вариант и это просто одиночный пк, то наверняка же на нем есть какой-нибудь из  desktop environment'ов, в котором через network-meneger l2tp/ipsec клиент запускается в несколько кликов мышью, зачем пытаться это строить из терминала? Конкретно в вашем случае, судя по всему, строится ipsec но l2tp не поднимается, раз не появляется соответствующего интерфейса.

Если по какой-то причине нужно строить из терминала, то я бы предпочел тогда использовать VPN-сервер IPsec (Virtual IP) на кинетике. В таком случае на ubuntu не понадобится дополнительный демон для l2tp, достаточно будет одного strongswan. Можно воспользоваться примерами из официальной wiki по strongswan. Конкретно вам для варианта ipsec сервера c virtual ip и XAUTH аутентификацией подходит вот этот пример: https://www.strongswan.org/testing/testresults5dr/ikev1-stroke/xauth-id-psk-config/  Можно в нем подглядеть конфиги для клиента.

Ого, спасибо больше за развернутый ответ)

У меня вариант где keenetic это сервер и за ним домашняя есть. А Ubuntu это desktop.

Нет острой необходимости делать все через консоль, просто настройка через network-manager падала и не давала информации почему. Даже сейчас когда я разобрался как через консоль сделать тоннель, через gui не подключается. 

Пишет: скрин приложил

А за ссылочки отдельное спасибо, по изучаю.

Screenshot_20210628_222714.png

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...