Как развернуть локальную сеть на основе VPN на linux сервере?

Question

[Pavel97P]

Добрый день. На сервере линукс у меня поднят VPN. Работает прекрасно, но появилась необходимость создать простейшую локальную сеть, без сверх естественных настроек и ограничений. Насколько я понимаю, для этого достаточно дописать верные настройки iptables. Но я, возможно, заблудился в гугл, но не нахожу чего то более менее понятного на эту тему. Все, что нашел - проброс локальной сети в VPN сеть, но, как я понимаю, это всего лишь возможность пользователям локальной сети пользоваться доступом к VPN. А мне необходимо, чтобы по внутренним VPNовским IP я мог достучаться до другого компьютера в виртуальной сети. Может кто то может скинуть ссылку на мануал или просто подсказать чего, куда и как?

Answer 1

[AlexVWill]

А мне необходимо, чтобы по внутренним VPNовским IP я мог достучаться до другого компьютера в виртуальной сети.

Обычно для этого достаточно в настройках VPN указать что возможна маршрутизация пакетов внутри сети между клиентами.
Поскольку ты не указал, что за VPN ты используешь, то читай мануал настройки к своему серверу. В OpenVPN за эту настройку отвечает опция client-to-client, в IPSec оно по умолчанию доступно.
А общем и целом все сводится к маршрутизации пакетов внутри своей подсети 10.10.0.0 к примеру, которая создается при настройки VPN сервера и к которой клиенты подключаются. Iptables тут нипричем, т.к. внутри этой подсети iptables не работает, если ты конечно не дописал что-то туда сам.
Иными словами, если у одного клиента внутренний VPN IP - 10.10.0.2, а у другого 10.10.0.3, они могут видеть друг-дружку по этим адресам внутри VPN тоннеля.

Comments

[Pavel97P]

Я использую связку strongswan+ipsec. Я вроде как не нашел в настройках strognswan подобной опции, может подсказать, где именно посмотреть? Нашел только вопросы, подобные моему, без ответа

[AlexVWill]

Pavel97P, нет там такой опции, и без нее все работает и устройства видят друг-дружку. Попробуй c одного клиента VPN дать команду
traceroute 10.100.0.51
где 10.100.0.51 заменить на IP другого клиента внутри VPN
Если увидишь что-то вроде

traceroute to 10.100.0.51 (10.100.0.51), 30 hops max, 60 byte packets
1 10.18.162.221 (10.18.162.221) 47.586 ms 47.514 ms 47.478 ms
2 10.100.0.51 (10.100.0.51) 188.921 ms 188.884 ms 189.150 ms

То значит все работает норм.

[Pavel97P]

Сделал через tracert, т. к. клиенты на Windows. Вот вывод:
Трассировка маршрута к client1.vpn с максимальным числом прыжков 30

1 87 ms 69 ms 80 ms server.vpn
2 * * * Превышен интервал ожидания для запроса.

Еще забыл уточнить, что клиенты на usb модемах. Может быть это как то влияет?

[AlexVWill]

Pavel97P,

* * * Превышен интервал ожидания для запроса.

Клиент недоступен. Проверь, находится ли клиент в сети VPN.
На сервере дай
sudo ipsec leases | grep online и посмотри список активных клиентов.

[Pavel97P]

sudo ipsec leases | grep online
/usr/local/sbin/ipsec: unknown IPsec command "leases" ("ipsec --help" for list)

Похожих команд в ipsec не нашел. Вот список команд из help:
start stop
restart status
trafficstatus traffic
globalstatus shuntstatus
briefstatus showstates
fips import
initnss checknss
checknflog addconn
algparse asn1check
auto barf
cavp dncheck
ecdsasigkey enumcheck
hunkcheck ipcheck
jambufcheck keyidcheck
letsencrypt look
newhostkey pluto
readwriteconf rsasigkey
setup show
showhostkey showroute
timecheck vendoridcheck
verify whack
Клиенты точно онлайн, есть доступ в интернет с них, ip подменяется.
Сервер поднимался скриптом с гитхаба, он прописал сам iptables, я не то чтобы хорошо разбираюсь в iptables

[Pavel97P]

AlexVWill, sudo ipsec traffic
006 #1686: "ikev2-cp"[794] 213.87.161.132, type=ESP, add_time=1684406391, inBytes=1657505, outBytes=10851863, maxBytes=2^63B, id='CN=user1, O=IKEv2 VPN', lease=192.168.43.13/32
006 #1688: "ikev2-cp"[795] 213.87.133.87, type=ESP, add_time=1684406700, inBytes=495243, outBytes=882230, maxBytes=2^63B, id='CN=user2, O=IKEv2 VPN', lease=192.168.43.11/3

[AlexVWill]

Pavel97P,
ipsec version

Linux strongSwan U5.8.2/K5.4.0-148-generic
University of Applied Sciences Rapperswil, Switzerland
See 'ipsec --copyright' for copyright information.

Сервер поднимался скриптом с гитхаба, он прописал сам iptables, я не то чтобы хорошо разбираюсь в iptables

Если использовать "VPN от Васяна", то и надо спрашивать Васяна, что он там наворотил. Я говорю про натсройки, которые делаются по официальному мануалу IPSec StrongSwan.
Посмотри что за версия у тебя. Также попробуй trafficstatus traffic globalstatus эти опции чтобы посмотреть IP клиентов и в какой они подсети.

[AlexVWill]

Pavel97P,
192.168.43.11/3 прям так и выдано с префиксом /3?

[Pavel97P]

AlexVWill,
ipsec version
Libreswan 4.10

Клиенты в одной подсети, 192.168.43.11/32 и 192.168.43.13/32 их ip. Может можешь дать ссылку или написать, что необходимо прописать в iptables исключительно для маршрутизации трафика? Есть подозрение, что возможно ошибка там.

[Pavel97P]

AlexVWill, не скопировал последнюю цифру, там префикс /32

[AlexVWill]

Pavel97P,
sudo iptables -L
Должно быть что-то вроде

ACCEPT all -- 10.100.0.0/24 anywhere policy match dir in pol ipsec proto esp
ACCEPT all -- anywhere 10.100.0.0/24 policy match dir out pol ipsec proto esp

Где 10.100.0.0/24 - меняется на твою подсеть 192.168.43.0
Еще посмотри
sudo ip xfrm policy - это маршруты, которые прописывает StrongSwan для клиентов.
Их настраивать не надо, но проверить не мешает.
И какого черта у тебя для StrongSwan IPSec Server не родной, а посторонний Libreswan 4.10? Короче, больше помочь ничем не смогу, лучше бы всетаки по мануалу настраивать сервер, чем по чьим то непонятным скриптам )))

[Pavel97P]

AlexVWill, Спасибо за помощь). Буду разбираться, если не разберусь, буду заново по мануалу собирать))

[AlexVWill]

Pavel97P, вот тут посмотри, очень толково написано: https://www.digitalocean.com/community/tutorials/h...

[Pavel97P]

AlexVWill, Спасибо за ссылку, попозже изучу подробнее, все таки переподниму сервер без скриптов, чтобы потом не разбираться так долго). Проблема была в FORWARD цепочке iptables

[graf_Alibert]

Клиенты в одной подсети, 192.168.43.11/32 и 192.168.43.13/32 их ip.

Это разные подсети, маска "/32" определяет один единственный адрес.

[graf_Alibert]

Pavel97P, Напиши в ответы решение, пожалуйста)

Answer 2

[Drno]

masquarade включи для VPN интерфейс на сервере
и в ядре, если этого нет еще

Comments

[Pavel97P]

Можете поподробнее? У меня вроде и так он включен, ведь без него, насколько я понимаю, не передавались бы пакеты через сервер в Интернет... Или я что то не так понимаю?

[Drno]

Pavel97P, в конфиге клиента и сервера есть пункт для разрешения \ запрещения общения клиентов. это тоже надо проверить.
а я имел ввиду обычно правило iptables, но да, оно видимо включено, иначе через ВПН не ходили бы пакеты

[Pavel97P]

Drno, на клиенте такой настройки, кажется нет. Основные клиенты, которые требуют локальной сети - ПК на windows. Туда просто подсунут сертификат для IKEv2. На сервере развернут strongswan. Но я не нашел там того самого пункта

Answer 3

[Alexey Dmitriev]

После создания физического или виртуального подключения нужно обеспечить 2 вещи:
1. Корректную маршрутизацию на каждом узле сети - каждый узел (включая источник и получатель) по пути следования пакета должен понимать, куда маршрузитировать исходящий пакет и куда отправлять ответный.
2. Прохождение пакетов, которое состоит из двух вещей - наличие разрешающих\отсутствие запрещающих правил файрвола и разрешение на прохождение пакетов между сетевыми интерфейсами - в linux это через включение net.ipv4.ip_forward в sysctl, в Windows - через RRAS службу.