Не пингуется Cisco IPSec клиент (racoon, vpnc). Проблема с роутингом?

Question

[Владимир Козловский]

В роли сервера используется racoon (debian).
В роли клиента - vpnc (debian).
Соединение устанавливается, vpnc клиент не пингуется с сервера и других клиентов сети.
При этом клиенты OS X и iOS пингуются без проблем.

Конфиг racoon:
cat /etc/racoon/racoon.conf

log notify;
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";

listen {
    isakmp 188.226.183.10 [500];
    isakmp_natt 188.226.183.10 [4500];
}

remote anonymous {
    exchange_mode aggressive, main, base;
    mode_cfg on;
    proposal_check obey;
    nat_traversal on;
    generate_policy unique;
    ike_frag on;
    passive on;
    dpd_delay 30;

    proposal {
        lifetime time 28800 sec;
        encryption_algorithm 3des;
        hash_algorithm md5;
        authentication_method xauth_psk_server;
        dh_group 2;
    }
}

sainfo anonymous {
    encryption_algorithm aes, 3des, blowfish;
    authentication_algorithm hmac_sha1, hmac_md5;
    compression_algorithm deflate;
}

mode_cfg {
    auth_source system;
    dns4 8.8.8.8;
    banner "/etc/racoon/motd";
    save_passwd on;
    network4 10.12.0.10;
    netmask4 255.255.255.0;
    pool_size 100;
    pfs_group 2;
}

Конфиг vpnc:
$ cat /etc/vpnc/default.conf

IPSec gateway mydomain.com
IPSec ID mygroup
IPSec secret mygroupsecret
IKE Authmode psk
Xauth username username
Xauth password password
NAT Traversal Mode natt

Роутинг:
$ route

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         *               0.0.0.0         U     0      0        0 tun0
10.0.1.0        *               255.255.255.0   U     0      0        0 eth0
10.12.0.0       *               255.255.255.0   U     0      0        0 tun0
mydomain.com        10.0.1.1        255.255.255.255 UGH   0      0        0 eth0

IP Адреса интерфейсов:

eth0 10.0.1.100
tun0 10.12.0.10

Пинг приходит:
$ tcpdump -i tun0 -qtln icmp

IP 188.226.183.10 > 10.12.0.10: ICMP echo request, id 12062, seq 1, length 64
IP 188.226.183.10 > 10.12.0.10: ICMP echo request, id 12062, seq 2, length 64

Уходит через другой интерфейс:
$ tcpdump -i eth0 -qtln icmp

IP 10.12.0.10 > 188.226.183.10: ICMP echo reply, id 12062, seq 94, length 64
IP 10.12.0.10 > 188.226.183.10: ICMP echo reply, id 12062, seq 95, length 64

Я думаю, что уходить ответ тоже должен по tun0, но я программист, а не системный администратор.
Буду безмерно благодарен в решении проблемы.

Спасибо!

Answer 1

[Клёвый Админ]

А у вас точно iptables отключён (или добавлены ли в него нужные правила отключения маскарадинга)? Потому, что, судя по роутингу, с ним всё ок.

Comments

[Владимир Козловский]

iptables включен, но правил в нем никаких не указано

[Клёвый Админ]

@vladkozlovski ну какие то правила в нём есть? Например пустые. Попробуй его выключить.

[Владимир Козловский]

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

[Владимир Козловский]

результат тот же

[Владимир Козловский]

ping приходит на tun0, а ответ уходит по eth0. Нет должен ли он уходить так же по tun0?

[Клёвый Админ]

Коллега, вы сделайте трейс до нужного узла и посмотрим кто и куда уходит. Наличие пакетов в tcpdump на выходе одного из интерфейсов пока не позволяет понять что же настроено не так.

Высок шанс, что не установились политики IPSec (хотя тут я не уверен как отрабатывает клиент Cisco), и. потому, сам туннель установился, но нужный трафик в него не отправляется.
Работа IPSec в этом плане отличается от работы классического VPN соединения (например pptp) (хотя в последних версиях эта некоторая "несправедливость" и "неравенство" были исравлены, но лишь частично). Установка туннеля и успешный обмен ключами в IPSec не даёт обмен трафиком, который, в свою очередь, определяется уже правилами, связывающими две сети черех соответствующие пиры.

[Клёвый Админ]

Если проще - есть механизм установки туннеля - он определяется в настройках peer, а есть механизм отправки нужного трафика через нужный туннель - он определяется в настройке rules.

[Владимир Козловский]

traceroute to 10.12.0.10 (10.12.0.10), 30 hops max, 60 byte packets
1 * * *
2 * * *
3 * * *
4 * * *
и т.д.

С клиента я могу выйти через сервер в интернет, а вот с сервера к клиенту немогу доступиться, причем только к vpnc клиенту, а к другим все ок.

Спасибо, что тратите свое время на меня.

[Клёвый Админ]

@vladkozlovski такс, ну похоже что клиент ничего о сетях сервера не знает. Конфиг ракуна на сервере в основной пост добавьте (без secreta и белых IP), без него не телепатируется.

[Владимир Козловский]

Добавил. С клиента могу пингануть оба сетевых интерфейса сервера, внутренний и внешний, может это как-то поможет.

[Клёвый Админ]

@vladkozlovski
network4 10.12.0.10;
исправить на
network4 10.12.0.0;
и проверить

[Владимир Козловский]

@ifaustrue все так же. Как я понимаю, проблема на клиенте, т.к. OS X и iOS клиенты пингуются без проблем.

[Владимир Козловский]

Мне кажется проблема на стороне vpnc клиента, причем только с возвратом пакетов обратно серверу.

[Клёвый Админ]

@vladkozlovski возможно =) Но понять в чём же дело я не могу =(

[Владимир Козловский]

@ifaustrue Очень жаль, но в любом случае - спасибо за ваше время. Удачи!