Выход в интернет с L2TP VPN-сервер на StrongSwan, как добавить роутинг?

Question

[twister9886]

Сделал все по инструкции для StrongSwan, чтобы настроить L2TP VPN-сервер, подключение к серверу работает.
Пингую curl -I google.com из консоли сервера - все ОК, с клиента - нет

С клиента адреса "внутри" сервера - "видны", то есть из консоли клиента curl -I XX.XXX.XX.XX:80 - OK

Однако, внешний интернет из клиента "не виден", хотя и указывал ms-dns 8.8.8.8

может быть мне надо добавить в консоли на сервере route add ? Надо настраивать Маршрутизацию?

В данный момент на Ubuntu
IPv4 address for eth0: XX.XXX.XX.XX
IPv4 address for ppp0: 10.2.3.1

Конфиг ipsec.conf

conn rw-base
    fragmentation=yes
    dpdaction=clear 
    dpdtimeout=90s
    dpddelay=30s

conn l2tp-vpn
    also=rw-base
    ike=aes128-sha256-modp3072
    esp=aes128-sha256-modp3072
    leftsubnet=%dynamic[/1701]
    rightsubnet=%dynamic
    mark=%unique
    leftauth=psk
    rightauth=psk
    type=transport
    auto=add

Comments

[Drno]

Форвардинг пакетов разрешен на сервере? Он же NAT

Answer 1

[AlexVWill]

подключи клиентов к серверу и покажи
ip route и ip xfrm policy на сервере

еще сделай на клиенте
traceroute google.com
traceroute 216.58.204.142
чтобы понять маршрут и есть ли проблема с DNS

Comments

[twister9886]

ip route Вывод в консоли на клиенте после подключения

default via link#20 dev ppp0

10.0.0.0/8 via ppp0 dev ppp0
10.2.2.1/32 via 10.2.2.99 dev ppp0

XX.XXX.XX.X/32 via 192.168.1.1 dev en0

224.0.0.0/4 dev ppp0  scope link

255.255.255.255/32 dev ppp0  scope link

127.0.0.0/8 via 127.0.0.1 dev lo0
127.0.0.1/32 via 127.0.0.1 dev lo0
192.168.1.0/24 dev en0  scope link
192.168.1.1/32 dev en0  scope link
192.168.1.139/32 dev en0  scope link

Traceroute после подключения клиента

traceroute to 216.58.204.142 (216.58.204.142), 64 hops max, 52 byte packets
 1  * * *
 2  * * *
 3  * * *

Добавил в вопрос конфиг.. Наверно еще раз посмотрю про left* настройки вроде

leftsourceip
leftid

rightsourceip
rightdns

Могу ошибаться в выборе направления по решению вопроса. AlexVWill может в настройках мне есть смысл обновить, прежде чем подправлять iptables и форвардинг на сервере?

[AlexVWill]

twister9886, скорее всего проблема не на уровне сервера, а на уровне клиента... Traceroute даже не посылает пакет на VPN сервер. При запуске клиента ошибок в логах нет? Смартфон пробовал подключать к этому серверу. работает?