Задать вопрос

Как отключить маршрутизацию всего трафика через VPN в Ubuntu?

Честно, я плохо знаком с настройками iptables и вообще какой либо маршрутизации на линуксе, так что если нужны какие-то конфиги или логи, кроме приведенных - пишите.
Заранее благодарен за помощь.

И так. Установленны пакеты strongswan, nm-strongswan, network-manager-strongswan.
Соединение (клиент) по IKEV2 (сертификаты) - соединение есть, но перенаправляет полностью вест трафик по VPN.
Если указать в настройках Use this connection only for resources on its network - трафик весь все-равно перенаправляется, т.е. нет доступа к ресурсам сети.

Шлюз: 10.10.16.1
Шлюз VPN: 10.10.10.5

ip route show:
default via 10.10.16.1 dev eth0 proto static
10.10.1.0 via 10.10.10.5 dev tun0 proto static metric 200
10.10.10.5 dev tun0 proto static scope link
10.10.16.0/26 dev eth0 proto kernel scope link src 10.10.16.60 metric 1

ip route show table local:
local 10.10.1.13 dev eth0 proto kernel scope host src 10.10.1.13
local 10.10.1.13 dev tun0 proto kernel scope host src 10.10.1.13
broadcast 10.10.1.13 dev tun0 proto kernel scope link src 10.10.1.13
broadcast 10.10.16.0 dev eth0 proto kernel scope link src 10.10.16.60
local 10.10.16.60 dev eth0 proto kernel scope host src 10.10.16.60
broadcast 10.10.16.63 dev eth0 proto kernel scope link src 10.10.16.60
broadcast 127.0.0.0 dev lo proto kernel scope link src 127.0.0.1
local 127.0.0.0/8 dev lo proto kernel scope host src 127.0.0.1
local 127.0.0.1 dev lo proto kernel scope host src 127.0.0.1
broadcast 127.255.255.255 dev lo proto kernel scope link src 127.0.0.1

ip rule:
0: from all lookup local
220: from all lookup 220
220: from all lookup 220
32766: from all lookup main
32767: from all lookup default

Была идея настроить соединение вручную, через ipsec.conf:
conn hide
eap_identity=%any
keyexchange=ikev2
right=*Адрес Сервера*
rightsubnet=0.0.0.0/0
rightid=%any
leftauth=pubkey
rightauth=%any
leftca=/etc/ipsec.d/cacerts/strongswanCert.pem
leftcert=/etc/ipsec.d/certs/*Сертификат пользователя*.der
left=%defaultroute
leftfirewall=yes
mobike=yes
auto=add

ipsec.secrets:
: RSA /etc/ipsec.d/certs/*ключ от сертификата пользователя*.der

Конец лога:
initiating IKE_SA hide[1] to *Адрес сервера*
generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]
sending packet: from *АйпиМашины*[500] to *Адрес сервера*[500] (1076 bytes)
received packet: from *Адрес сервера*[500] to *АйпиМашины*[500] (273 bytes)
parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(MULT_AUTH) ]
local host is behind NAT, sending keep alives
received cert request for "*корневой сертификат*"
sending cert request for "*корневой сертификат*"
authentication of '*пользовательский сертификат*' (myself) with RSA signature successful
sending end entity cert "*пользовательский сертификат*"
establishing CHILD_SA hide
generating IKE_AUTH request 1 [ IDi CERT CERTREQ AUTH SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(MULT_AUTH) N(EAP_ONLY) ]
sending packet: from *АйпиМашины*[4500] to *Адрес сервера*[4500] (1968 bytes)
received packet: from *Адрес сервера*[4500] to *АйпиМашины*[4500] (1648 bytes)
parsed IKE_AUTH response 1 [ IDr CERT AUTH N(MOBIKE_SUP) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(FAIL_CP_REQ) N(TS_UNACCEPT) ]
received end entity cert "*видимо ключ от сертификата пользователя*"
using certificate "*видимо ключ от сертификата пользователя*"
using trusted ca certificate "*корневой сертификат*"
checking certificate status of "*видимо ключ от сертификата пользователя*"
certificate status is not available
reached self-signed root ca with a path length of 0
authentication of '*видимо ключ от сертификата пользователя*' with RSA signature successful
IKE_SA hide[1] established between *АйпиМашины*[*пользовательский сертификат*]...*Адрес сервера*[*видимо ключ от сертификата пользователя*]
scheduling reauthentication in 10034s
maximum IKE_SA lifetime 10574s
received FAILED_CP_REQUIRED notify, no CHILD_SA built
failed to establish CHILD_SA, keeping IKE_SA
establishing connection 'hide' failed
  • Вопрос задан
  • 1875 просмотров
Подписаться 1 Оценить 2 комментария
Решения вопроса 1
@Janus74
в конфиге vpn клиента нужно указать, что бы он не создавал маршрут по умолчанию
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы