Почему ike2 не пропускает пинг?

Question

Довольный Айтишникъ @borisdenis

Почему ike2 не пропускает пинг?

Подскажите, почему при вот таком конфиге ipsec.conf у меня при подключении из вин11 есть интернет, но нет пинга ни к каким ресурсам? Ни ya.ru ни 8.8.8.8 не пингуются, 100% потерь (Превышен интервал ожидания для запроса). В iptables на данный момент разрешено всё, но видимо что-то я делаю не так.

config setup
	uniqueids = yes

conn %default
	dpdaction=clear
	dpddelay=35s
	dpdtimeout=300s

	fragmentation=yes
	rekey=no

	compress=no
	forceencaps=yes

	ike=aes256-sha256-modp2048,aes256gcm16-aes256gcm12-aes128gcm16-aes128gcm12-sha256-sha1-modp2048-modp4096-modp1024,aes256-aes128-sha256-sha1-modp2048-modp4096-modp1024,3des-sha1-modp1024!
	esp=aes256-sha256,aes128gcm12-aes128gcm16-aes256gcm12-aes256gcm16-modp2048-modp4096-modp1024,aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes128-sha1-modp2048,aes128-sha1-modp1024,3des-sha1-modp1024,aes128-aes256-sha1-sha256,aes128-sha1,3des-sha1!
	# left - local (server) side
	left=ip_адрес_сервера
	leftauth=pubkey
	leftcert=certname.crt
	leftsendcert=always
	leftsubnet=0.0.0.0/0

	# right - remote (client) side
	right=%any
	rightauth=pubkey
	rightsourceip=10.10.10.0/24
	rightdns=8.8.8.8,8.8.4.4
	type=tunnel

conn ikev2-pubkey
	keyexchange=ikev2
	auto=add

iptables-save

# Generated by iptables-save v1.8.7 on Sat Jan  6 12:15:30 2024
*nat
:PREROUTING ACCEPT [20:1016]
:INPUT ACCEPT [20:1016]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 10.10.10.0/24 -o ens3 -m policy --dir out --pol ipsec -j ACCEPT
-A POSTROUTING -s 10.10.10.0/24 -o ens3 -p tcp -m tcp -j MASQUERADE
COMMIT
# Completed on Sat Jan  6 12:15:30 2024
# Generated by iptables-save v1.8.7 on Sat Jan  6 12:15:30 2024
*mangle
:PREROUTING ACCEPT [110:11604]
:INPUT ACCEPT [110:11604]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [120:41984]
:POSTROUTING ACCEPT [120:41984]
-A FORWARD -s 10.10.10.0/24 -o ens3 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1361:1536 -m policy --dir in --pol ipsec -j TCPMSS --set-mss 1360
COMMIT
# Completed on Sat Jan  6 12:15:30 2024
# Generated by iptables-save v1.8.7 on Sat Jan  6 12:15:30 2024
*filter
:INPUT ACCEPT [110:11604]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [133:43224]
COMMIT
# Completed on Sat Jan  6 12:15:30 2024

Большая просьба не предлагать использовать другие впн технологии, умею, но очень хочется разобраться с этим вопросом.

Вопрос задан 06 янв.
68 просмотров

Комментировать

Подписаться 2 Средний Комментировать

Решения вопроса 1

4 комментария

Довольный Айтишникъ @borisdenis Автор вопроса
Ну в iptables маскарад включен, интернет же бегает

-A POSTROUTING -s 10.10.10.0/24 -o ens3 -p tcp -m tcp -j MASQUERADE
Написано 06 янв.
Drno @Drno

Довольный Айтишникъ, если на клиенте есть инет, тогда ya.ru просто не может не пинговаться, по крайней мере по IP
если он не пингуется чисто по домену - настройте на клиенте публичные DNS сервера, вместо провайдерских

Написано 06 янв.
Довольный Айтишникъ @borisdenis Автор вопроса

Разобрался, в маскарадинге же явно указан протокол tcp, а пинг это icmp, сделал правило и для него, заработало.

Написано 06 янв.
Drno @Drno

Довольный Айтишникъ, маскард обычно без всего указывается... я даж не подумал про такое)

Написано 06 янв.