Split-tunneling. Вопрос про маршрутизацию debian+ikev2 strongswan на Windows. Всё работает но есть вопрос -?

Question

[bassoon48]

Здравствуйте! Удалось таки настроить раздельное туннелирование в связке Debian+Strongswan (ikev2)
То есть чтоб удаленные клиенты имели доступ к офису, но дик пики и торренты гнали через свой роутер))

Но у меня есть вопрос касаемо маршрузитации. Она так и должна настраиваться *опой через Powershell на каждом устройстве?

Щас объясню как я делал сервак.

1) С сайта digital ocean "настройка сервера бубунты strongswaт" (но у меня DEBIAN!), дошёл до сюда:


2) Коннект появился всё здорово, но не было маршрутизации

3) Прописал forwardin=1 и вот это (На пост роутинг не обращайте внимания там я прописал 10.10.15.0 и свой интерфейс ens192. Просто впадлу пистаь от руки но там всё чики пуки. Картинка взята с сайта)
iptables -t nat -A POSTROUTING -s 10.9.9.0/24 -o eth0 -m policy --dir out --pol ipsec -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.9.9.0/24 -o eth0 -j MASQUERADE

4) Конфиг стронгсвана


5) после этого на Android всё заработало само как надо. IP белый с симки оператора и доступ к сетям компании серым. как по волшебству.

6) А вот на компе через *ОПУ!! ИНыми словами я создаю VPN подключение новое. Убираю галочку "использовать шлюз" и всё. Интернет есть из домашней сети но доступа нет к офису.

7) ОКей прописываем маршруты вручную Add-VpnConnectionRoute -ConnectionName "Contoso" -DestinationPrefix "ххх.ххх.ххх.ххх/x" -PassThru

8) После этого доступ появляется.

9) Вопрос так и должно через задницу настраиваться всё?)) А на IOS как быть? А автоматизировать как то это можно?

10) Есть может быть какие альтернативы? PPTP L2TP IKEv1....

Про OPENVPN (и OPENVPN + pfsense связку) - я знаю.

А ещё какие варианты есть чтоб по щелчку пальца?

Comments

[bassoon48]

То есть маршрутизацию я даже не прописывал. Всё по дефолту заработало.

Хотелось бы более вкусное решение. А то так прикинь у тебя 1000 пользаков. и чё делать. Каждому на комп ломиться и прописывать?) Бред же

[Valentin Barbolin]

https://docs.strongswan.org/docs/5.9/howtos/forwar...

Windows 10
Split tunneling is enabled by default but with the same limitations seen since Windows 7, i.e. the virtual IP has to be from the remote subnet or routes have to be added manually, e.g. via the Add-VpnConnectionRoute PowerShell command. To tunnel all traffic via VPN instead, split tunneling has to be disabled explicitly, either by enabling the Use default gateway on remote network setting described above or by using the following PowerShell command

Поменяй rightsourceip=192.168.100.0/24

[bassoon48]

Valentin Barbolin, аааааа...А я думал что надо именно из нашей подсети брать адреса.

А чё? ТАК МОЖНО БЫЛО?)

Щас попробуем...

Ну а на Андроиде поему работает сразу? Или там потому что клиент Strongswan нормальный а на Винде убогое ховнище из 90х?

[bassoon48]

bassoon48, ну смотр поменял на 192.168.100.0/24

Пинг только до 192.168.30.157. Ещё хуже стало.

Чёт не то...Маршрутизацию на Debian надо прописывать?

[bassoon48]

Valentin Barbolin, Удалил все маршруты на Винде. Вообще пингов нет.

Чёт ты не то походу советуешь. Сам пробовал так?

[Ivan Ustûžanin]

для ike2 для винды можно попробовать добавить 255.255.255.255 в leftsubnet и поднять dhcp сервер отдающий маршруты, моя десятка посылает DHCPINFORM на 255.255.255.255 и принимает роуты таким способом

своё решение я не до конца доделал, поэтому готового конфига нет, а dhcp-сервер вообще на коленке на php написан

[bassoon48]

IvanU7n, ну то есть я правильно понял что либо ручками марщруты писать либо искать другое решение?

По совету выше попробовал сменить 10.10.15.0/24 на 192.168.110.0/24

вобще всё отвалилось кроме самого VPN debian из 30.0/24

Удалил все маршруты в PowerShell - вообще всё пропало.

Возвращаю как было 10.10.15.0/24 - всё работает с андроид сразу.

А на винде ручками прописываешь и работает.

Мда

[Drno]

Почему бы не использовать ocserv(sstp от cisco)
Там все в конфиге сервера задается вроде как

[bassoon48]

Drno, академический интерес.

В продакшн настроен OpenVPN + pfsense чтоб супер жирно было (В наследство досталось)

Ищу альтернативны пути + играюсь

[Drno]

bassoon48, гемор ради геморра…
Хз как остальные, я лично ikea давно не использую. Слишком много портов надо открытых, ну и такие вот проблемы..)

[bassoon48]

Drno, IvanU7n, Valentin Barbolin, завёл на 192.168.100.0/24

Как бы ничего (ВНЕЗАПНО!) не изменилось.

Щас у удалённых клиентов 110.0 подсеть и всё

На андроид всё само взлетает через Strongswan а на винде ручками вбивать)))

[Ivan Ustûžanin]

bassoon48, на https://docs.strongswan.org/docs/5.9/interop/windo... приведён пример конфига для полного заворота трафика в туннель — нужно в конфиг dnsmasq прописать свои сети, ну и сделать 255.255.255.255 доступным через туннель добавив его в leftsubnet

встроенный виндовый клиент работает только так, т.е. он настраиваемый, но через одно место

[bassoon48]

Drno, чё говоришь почитать. Про ocserv?

[bassoon48]

IvanU7n, 255.255.255.255/32 или /0 или /24 или....или? или?))

на debian

[Ivan Ustûžanin]

bassoon48, если маска не указана, то оно /32 по умолчанию

[bassoon48]

IvanU7n, ладно покурю...

Но чувствую что в продакшн такое выпускать...ну такое себе.

а ещё вопрос. Допустим я захочу чтоб пользователь "Вася" видел не всю 30.0/24 подсеть а лишь диапазон 30.1-30.50 к примеру.

Или вообще только 3 отдельный адреса в сети.

такое реально через Strongswan или надо через RADIUS? Есть примеры связок или мысль натолкнуть можете?

[bassoon48]

IvanU7n, я когда в конфиге на Debian забиваю пользаков может как то можно прикрутить?

[Ivan Ustûžanin]

bassoon48, вот тут не подскажу, просто не интересовался таким
чисто теоретически можно сделать отдельный пул для нужных пользователей и резать им доступ через iptables, но повторюсь это чисто теоретические мысли вслух, т.к. таких задач не решал

[bassoon48]

Drno, IvanU7n, что мне нравится через ikev2 strongswan я полностью вижу netbios и полные dns имена

То есть по сути я лишь ввожу 1 маршрут на клиенте и ввожу DNS суффикс.

В результате 1С база открываетс за 5 секунд как будто на работе...неплохо...
не надо та мникаике hosts херост говностс прописывать. Почти продакшн решение

Может быть и можно в продакшн если учитывать эти полтора костыля.

Я кстати немного не догнал как этот конфиг развернуть. ТАм по ссылке это готовое решение для маршрутизации или надо чё то ещё дополнительно ставить? если чё то ещё ставить то проще маршрут прописать я думаю

[Ivan Ustûžanin]

bassoon48, на сервере нужно установить dnsmasq или другой dhcp-сервер и его настроить на отдачу маршрутов по dhcp для винды (по идее и адрес wins-сервера тоже можно отдавать), на винду дополнительно ничего ставить не нужно

[bassoon48]

IvanU7n, я так доменную сеть офиса не убью?

1) установил
2) включил
3) открыл 53 порт
4) скопировал конфиг
dhcp-vendorclass=set:msipsec,MSFT 5.0
dhcp-range=tag:msipsec,10.10.15.0,static
dhcp-option=tag:msipsec,6
dhcp-option=tag:msipsec,249, 0.0.0.0/1,0.0.0.0, 128.0.0.0/1,0.0.0.0

5) всё работает с винды автотматом

6) Я не убью свою сеть с локальными 30.12 и 30.9 DNS? Это будет катастрофа!!

[bassoon48]

IvanU7n, плюс щас другая проблема вырисовалась.

Маршруты автоматом подтянулись во все подсети.

Но есть проблема, я не могу выйти в интернет с домашнего компа. Хотя соединение по RDP не рвётся О_о

Просто странички не могу открывать

[bassoon48]

IvanU7n, а нет это не dnsmasq видимо я чёт не то накрутил

[bassoon48]

IvanU7n, всё разобрался. Кароче когда добавляю:

leftsubnet=255.255.255.255/32

То в винде сразу пингуются все подсети. Но пропадает наполовину интернет. То есть странички не открываются, но RDP тот же работает.

С телефона та же история...

Хм...

[Ivan Ustûžanin]

bassoon48, вместо

dhcp-option=tag:msipsec,249, 0.0.0.0/1,0.0.0.0, 128.0.0.0/1,0.0.0.0

нужно прописать свои подсети (что типа)

dhcp-option=tag:msipsec,249, 192.168.30.0/24,0.0.0.0, 192.168.25.0/24,0.0.0.0, 192.168.20.0/24,0.0.0.0, 192.168.60.0/24,0.0.0.0

я же писал, что оно с приведённым конфигом будет делать "полной заворот трафика в туннель"

как не уронить им свою сеть без понятия, но по идее он по умолчанию не авторитетный, поэтому проблем быть не должно

[bassoon48]

IvanU7n, Не, это слишком рискованно не буду.

[bassoon48]

IvanU7n, машина находится на виртуалке ESXI в кластере. потом пинд....чё будет

[bassoon48]

IvanU7n, Ваши все советы помогли спасибо.

Добавил 20, 25, 55, 60 подсеть.

Маршруты взлетают сами. Интернет везде есть. Нормальное всё автоматом.

Но есть один момент. Я ссыкую добавить 30 подсеть.

Если что то пойдёт не так сколько у меня времени будет?))
Руки чешутся

[bassoon48]

IvanU7n, Добавил) не зассал. Всё взлетело как надо!! Но на всякий случай запланировал выключение debian через 60 минут))

Такс ну шо. Получается щас уже полный энтерпрайз.

Андроид и IOS сами изначальноу меют маршруты. Винда щас тоже умеет через dnsmasq.

Спасибо тебе огромное мил человек!!!!

Щас я другую ещё задачку придумал себе. Но это уже будет новый вопрос если что присоединяйся.) А свой ответ помечай решением и я закрою. Пусть людям будет полезная инфа по ПОЛНОЙ настройке сплит-туннеля ikev2. На мой взгляд это очень актуально для офисов и энтерпрайс. Лучше чем openvpn

[Ivan Ustûžanin]

bassoon48, так это просто добавляет маршрут, ничего больше, тем более учитывая, что выдаваемый клиенту адрес из совсем другой подсети

[bassoon48]

IvanU7n, да я научен горьким опытом. Ща всегда себе соломку подстилаю. Фирма огромная 5 подсетей. Сам понимашь....

Права на ошибку нет.

Блин насколько же кайфовое решение. Кнопочку нажал и всё работает на супер скорости) и самое главное раздельно через сплит ^_^

[Ivan Ustûžanin]

bassoon48, добавил ответом,
иногда сам ронял сеть, благо перезагрузка устройства спасала, т.к. настройки первым делом делал в рантайме, и если они работают как надо, прописывал их в конфиге

Answer 1

[Ivan Ustûžanin]

на https://docs.strongswan.org/docs/5.9/interop/windo... приведён пример конфига dnsmasq для полного заворота трафика в туннель через DHCPINFORM
для изменения маршрутов нужно в конфиг dnsmasq прописать свои сети в строку
dhcp-option=tag:msipsec,249,
ну и сделать 255.255.255.255 доступным через туннель добавив его в leftsubnet

встроенный виндовый клиент работает только так, т.е. он настраиваемый удалённо в плане маршрутов, но через одно место

Comments

[bassoon48]

Завтра буду гуглить как прикрутить RADIUS или ещё какое решение.

Щас по дефолту у каждого пользователя всё есть и всё видно.

А мне надо допустим удалённым сотрудникам из другой компании раздавать разные пулы доступа.

Допустим user1 - 192.168.30.1-192.168.30.12

и так далее.

Answer 2

[CityCat4]

Подписался на вопрос - он мне крайне интересен, но почитать сейчас времени нет.

Comments

[bassoon48]

Всё получилось, решение идеальное для офиса.

Всё автоматом подтягивается ничё доп. ставить не нужно. Скорость закачки 150-180 мегабит.

Щас хочу ещё настроить через dnsmasq автоматическую раздачу суффикса DNS.
Чтобы при пинге на короткие имена он видел полные имена. Щас работают только ПОЛНЫЕ.

Ещё в идеале нужно настроить доступы к конкретным адрес для конкретных пользаков. И тогда можно пилить статью для коробочного решения.

[CityCat4]

bassoon48, Ну, на том уровне, на котором мне надо, у меня и так работает. Но вопрос напомнил мне про одну, отпавшую уже, проблему, которую я так и не решил... Хочу посмотреть детали реализации и что-то полезное почерпнуть для себя - вдруг понадобится, потому что понимания, как назначается маршрутизация в винде при создании IPSec-туннеля, так и не появилось - работает, да и ладно...

Статью будет интересно почитать. Правда, на "большом" хабре я намеренно readonly

[bassoon48]

CityCat4, Очень просто всё настраивается как оказалось. Вот готовый конфиг для dnsmasq.conf

dhcp-vendorclass=set:msipsec,MSFT 5.0
dhcp-range=tag:msipsec,192.168.103.0,static -------------------- тут пишешь IP VPN (у меня например 10.10.15.0)
dhcp-option=tag:msipsec,6
dhcp-option=tag:msipsec,249, 0.0.0.0/1,0.0.0.0, 128.0.0.0/1,0.0.0.0 ---а тут пишешь сети куда надо рассылать маршруты! То есть тут сети твоего предприятия

Далее в leftsubnet ОБЯЗАТЕЛЬНО ДОБАВИТЬ бродкаст 255.255.255.255/32

Суффикс я настроил только что))

Надо добавить в конфиг dnsmasq вот это в конец

domain=dicpic.ru

[bassoon48]

CityCat4, Щас осталось реализовать доступы для каждого пользователя. Чтоб админ например видел всю сеть.

А тётя Мотя лишь 2 адреса из 30.0 подсети. 1С и ДНС сервак к примеру

[CityCat4]

bassoon48, Спасибо, непременно попробую

[CityCat4]

bassoon48, Я такое сделал, раздав каждому сертификат и связав его с профилем в микротике (у меня с той стороны микротик). В шване по идее много возможностей, может и такое есть, документацию читать надо, она у него здоровенная.

[bassoon48]

CityCat4, Всё. Удалось связать и freeRADIUS.

Полностью победил на 100%.

freeRADIUS без веб морды настраивал. Считаю это для нежных пусечек. Настоящие одмэны настраивают через консоль.

ну а если серьезно то для такого проекта реально морда и база не нужна.

Будет время распишу подробно как настроить через сам StrongSWAN и через RADIUS.

Разница лишь в том что благодаря RADIUS конфиг strongswan не перегружен и лучше масштабируемость)) ну и интересно для мозга так то

[bassoon48]

CityCat4, А так кому сложно можно и без FreeRADIUS там очень легко.

А вот с RADIUS очень сложно. Невозможная сложность практически