Почему не ходит трафик от клиента vpn наружу?

Question

Андрей @dr753

VPN

Почему не ходит трафик от клиента vpn наружу?

День добрый есть vps с настроенным Strongswan (ip 82.*.*.16).
Подключаюсь к нему из Windows 10. (подымается интерфейс и получает ip из диапазона 10.10.10.1)
Сервак по ip ip 82.*.*.16 пингуется с клиента . Но Пинги на ружу через тоннель не проходят.
на сервере разрешил форвадинг

# Enable forwarding
# Uncomment the following line
net.ipv4.ip_forward = 1

. . .

# Do not accept ICMP redirects (prevent MITM attacks)
# Ensure the following line is set
net.ipv4.conf.all.accept_redirects = 0

# Do not send ICMP redirects (we are not a router)
# Add the following lines
net.ipv4.conf.all.send_redirects = 0

net.ipv4.ip_no_pmtu_disc = 1

Настройки nftables На сервере

nft list ruleset
table ip FirewallIPV4 {
chain input {
type filter hook input priority filter; policy drop;
iifname "lo" accept
ct state established,related accept
ip saddr 80.*.*.136 icmp type { destination-unreachable, echo-request, parameter-problem } accept
tcp dport 2223 accept
udp dport 500 accept
udp dport 4500 accept
}

chain forward {
type filter hook forward priority filter; policy drop;
}

chain output {
type filter hook output priority filter; policy accept;
}
}
table ip6 FirewallIPV6 {
chain input {
type filter hook input priority filter; policy drop;
iifname "lo" accept
}

chain forward {
type filter hook forward priority filter; policy drop;
}

chain output {
type filter hook output priority filter; policy accept;
}
}
table ip nat {
chain postrouting {
type nat hook postrouting priority filter; policy accept;
masquerade
}
}

Такое ощущение, что чего то не того на крутил в настройках фаервола.
Подскажите где ошибся ?

Вопрос задан 18 апр.
210 просмотров

Комментировать

Подписаться 1 Средний Комментировать

Решения вопроса 1

1 комментарий

Пригласить эксперта

Ответы на вопрос 1

9 комментариев

Антон Южный @888AndeR888
Ток хотел об этом написать...
Ток у вас ошибка...

chain forward { type filter hook forward priority filter; policy accep; }

chain forward { type filter hook forward priority filter; policy accept; }

t не хватает...
И форвард должен быть разрешен, другое дело что у вас весь трафик на транзит разрешен, а не от конкретных подсетей...
Сам только вникаю в новый фаервол...
Написано 18 апр.
Андрей @dr753 Автор вопроса

Криво копирнул, просто напрягает разрешенный forward без каких либо условий.

Написано 18 апр.
Антон Южный @888AndeR888

Андрей, разреши транзит/форвард конкретных сетей... Остальное запрети...

Написано 18 апр.
Андрей @dr753 Автор вопроса

Антон Южный,
Пробовал так не помогает (10.10.10.0/24 - ip из этой сети получают клиенты)

chain forward {
type filter hook forward priority filter; policy drop;
ip saddr 10.10.10.0/24 ip daddr 0.0.0.0/24 accept
ip saddr 0.0.0.0/24 ip daddr 10.10.10.0/24 accept
}

Написано 18 апр.

Valentin Barbolin @dronmaxman

Андрей, Лучше так
ip saddr 10.10.10.0/24 accept

0.0.0.0/24 - и где ты такое нашел)

❯ ipcalc 0.0.0.0/24
Address:   0.0.0.0              00000000.00000000.00000000. 00000000
Netmask:   255.255.255.0 = 24   11111111.11111111.11111111. 00000000
Wildcard:  0.0.0.255            00000000.00000000.00000000. 11111111
=>
Network:   0.0.0.0/24           00000000.00000000.00000000. 00000000
HostMin:   0.0.0.1              00000000.00000000.00000000. 00000001
HostMax:   0.0.0.254            00000000.00000000.00000000. 11111110
Broadcast: 0.0.0.255            00000000.00000000.00000000. 11111111
Hosts/Net: 254                   Class A

должно быть вот так

❯ ipcalc 0.0.0.0/0
Address:   0.0.0.0              00000000.00000000.00000000.00000000
Netmask:   0.0.0.0 = 0          00000000.00000000.00000000.00000000
Wildcard:  255.255.255.255      11111111.11111111.11111111.11111111
=>
Network:   0.0.0.0/0            00000000.00000000.00000000.00000000
HostMin:   0.0.0.1              00000000.00000000.00000000.00000001
HostMax:   255.255.255.254      11111111.11111111.11111111.11111110
Broadcast: 255.255.255.255      11111111.11111111.11111111.11111111
Hosts/Net: 4294967294            Class A, In Part Multicast

Написано 18 апр.

Андрей @dr753 Автор вопроса

Разобрался tracert рулит ))
траyзитный трафик начинает ползать при таких настройках forward (82.*.*.16 - внешка сервака vpn)
chain forward {
type filter hook forward priority filter; policy accept;
ip saddr 10.10.10.0/24 ip daddr 82.*.*.16 accept
ip saddr 82.*.*.16 ip daddr 10.10.10.0/24 accept
}

Написано 18 апр.
Антон Южный @888AndeR888
Андрей, есть переводчики iptables в nftables, воспользуйся...

Убери
ip saddr 0.0.0.0/24 ip daddr 10.10.10.0/24 accept

Добавь в forward

ct state vmap { established : accept, related : accept, invalid : drop }
Написано 18 апр.
Андрей @dr753 Автор вопроса

Понял, спасибо за советы.

Написано 18 апр.
Андрей @dr753 Автор вопроса

Вот по переводчикам из iptables в nftables все печально, не одного стоящего не нашел.

Написано 18 апр.