Как отключить маршрутизацию всего трафика через VPN в Ubuntu?

Question

[Сергей Воронежев]

Честно, я плохо знаком с настройками iptables и вообще какой либо маршрутизации на линуксе, так что если нужны какие-то конфиги или логи, кроме приведенных - пишите.
Заранее благодарен за помощь.

И так. Установленны пакеты strongswan, nm-strongswan, network-manager-strongswan.
Соединение (клиент) по IKEV2 (сертификаты) - соединение есть, но перенаправляет полностью вест трафик по VPN.
Если указать в настройках Use this connection only for resources on its network - трафик весь все-равно перенаправляется, т.е. нет доступа к ресурсам сети.

Шлюз: 10.10.16.1
Шлюз VPN: 10.10.10.5

ip route show:
default via 10.10.16.1 dev eth0 proto static
10.10.1.0 via 10.10.10.5 dev tun0 proto static metric 200
10.10.10.5 dev tun0 proto static scope link
10.10.16.0/26 dev eth0 proto kernel scope link src 10.10.16.60 metric 1

ip route show table local:
local 10.10.1.13 dev eth0 proto kernel scope host src 10.10.1.13
local 10.10.1.13 dev tun0 proto kernel scope host src 10.10.1.13
broadcast 10.10.1.13 dev tun0 proto kernel scope link src 10.10.1.13
broadcast 10.10.16.0 dev eth0 proto kernel scope link src 10.10.16.60
local 10.10.16.60 dev eth0 proto kernel scope host src 10.10.16.60
broadcast 10.10.16.63 dev eth0 proto kernel scope link src 10.10.16.60
broadcast 127.0.0.0 dev lo proto kernel scope link src 127.0.0.1
local 127.0.0.0/8 dev lo proto kernel scope host src 127.0.0.1
local 127.0.0.1 dev lo proto kernel scope host src 127.0.0.1
broadcast 127.255.255.255 dev lo proto kernel scope link src 127.0.0.1

ip rule:
0: from all lookup local
220: from all lookup 220
220: from all lookup 220
32766: from all lookup main
32767: from all lookup default

Была идея настроить соединение вручную, через ipsec.conf:
conn hide
eap_identity=%any
keyexchange=ikev2
right=*Адрес Сервера*
rightsubnet=0.0.0.0/0
rightid=%any
leftauth=pubkey
rightauth=%any
leftca=/etc/ipsec.d/cacerts/strongswanCert.pem
leftcert=/etc/ipsec.d/certs/*Сертификат пользователя*.der
left=%defaultroute
leftfirewall=yes
mobike=yes
auto=add

ipsec.secrets:
: RSA /etc/ipsec.d/certs/*ключ от сертификата пользователя*.der

Конец лога:
initiating IKE_SA hide[1] to *Адрес сервера*
generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]
sending packet: from *АйпиМашины*[500] to *Адрес сервера*[500] (1076 bytes)
received packet: from *Адрес сервера*[500] to *АйпиМашины*[500] (273 bytes)
parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(MULT_AUTH) ]
local host is behind NAT, sending keep alives
received cert request for "*корневой сертификат*"
sending cert request for "*корневой сертификат*"
authentication of '*пользовательский сертификат*' (myself) with RSA signature successful
sending end entity cert "*пользовательский сертификат*"
establishing CHILD_SA hide
generating IKE_AUTH request 1 [ IDi CERT CERTREQ AUTH SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(MULT_AUTH) N(EAP_ONLY) ]
sending packet: from *АйпиМашины*[4500] to *Адрес сервера*[4500] (1968 bytes)
received packet: from *Адрес сервера*[4500] to *АйпиМашины*[4500] (1648 bytes)
parsed IKE_AUTH response 1 [ IDr CERT AUTH N(MOBIKE_SUP) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(FAIL_CP_REQ) N(TS_UNACCEPT) ]
received end entity cert "*видимо ключ от сертификата пользователя*"
using certificate "*видимо ключ от сертификата пользователя*"
using trusted ca certificate "*корневой сертификат*"
checking certificate status of "*видимо ключ от сертификата пользователя*"
certificate status is not available
reached self-signed root ca with a path length of 0
authentication of '*видимо ключ от сертификата пользователя*' with RSA signature successful
IKE_SA hide[1] established between *АйпиМашины*[*пользовательский сертификат*]...*Адрес сервера*[*видимо ключ от сертификата пользователя*]
scheduling reauthentication in 10034s
maximum IKE_SA lifetime 10574s
received FAILED_CP_REQUIRED notify, no CHILD_SA built
failed to establish CHILD_SA, keeping IKE_SA
establishing connection 'hide' failed

Comments

[Vladimir Zhurkin]

Приведите пример route до vpn
Сделайте тросировку с vpn и без vpn и покажите тут.

[Сергей Воронежев]

Vladimir Zhurkin:
Если я правильно понял, то нужны маршруты до подключения по VPN? Ок.
Выше - это уже по факту подключения, забыл уточнить.

Так.
10.10.16.60 - IP машины

ip route show:
default via 10.10.16.1 dev eth0 proto static
10.10.16.0/26 dev eth0 proto kernel scope link src 10.10.16.60 metric 1

ip route show table local:
broadcast 10.10.16.0 dev eth0 proto kernel scope link src 10.10.16.60
local 10.10.16.60 dev eth0 proto kernel scope host src 10.10.16.60
broadcast 10.10.16.63 dev eth0 proto kernel scope link src 10.10.16.60
broadcast 127.0.0.0 dev lo proto kernel scope link src 127.0.0.1
local 127.0.0.0/8 dev lo proto kernel scope host src 127.0.0.1
local 127.0.0.1 dev lo proto kernel scope host src 127.0.0.1
broadcast 127.255.255.255 dev lo proto kernel scope link src 127.0.0.1

traceroute 10.10.16.17 (до Asterisk)
traceroute to 10.10.16.17 (10.10.16.17), 30 hops max, 60 byte packets
1 10.10.16.17 (10.10.16.17) 0.439 ms 0.461 ms 0.486 ms

traceroute 10.10.16.1 (до маршрутизатора)
traceroute to 10.10.16.1 (10.10.16.1), 30 hops max, 60 byte packets
1 10.10.16.1 (10.10.16.1) 0.197 ms !X 0.170 ms !X 0.150 ms !X

Теперь трейс после подключения:
traceroute 10.10.16.1
traceroute to 10.10.16.1 (10.10.16.1), 30 hops max, 60 byte packets
1 *IP адрес сервера VPN* (*IP адрес сервера VPN*) 119.960 ms 123.070 ms 123.085 ms

С астериском таже ерунда.

Еще одно важное уточнение - мне вообще не нужно, чтобы весь трафик перенаправлялся.
Иногда подключаюсь, чтобы проверить состояние серверов, ну и в этот самый момент перестает работать телефония, звонок обрывается где-то через минуту.
В идеале, я бы хотел просто иметь доступ к локальным ресурсам за VPN, т.е. как сейчас, но без полного перенаправления, ну и при этом не терять доступ к локальным ресурсам своей сети.

Есть даже вторая сетевая карта, но с ней таже ситуация. При подключении работает только VPN.

Answer 1

[Janus74]

в конфиге vpn клиента нужно указать, что бы он не создавал маршрут по умолчанию

Comments

[Сергей Воронежев]

NetworkManager игнорирует маршруты, видимо их уже ipsec из конфига берет, который черт знает где.

В итоге конфиг strongswan заработал следующий, может кому пригодится
/etc/ipsec.secrets:
: RSA /etc/ipsec.d/certs/Ключ сертификата клиента.pem

/etc/ipsec.conf:
config setup
strictcrlpolicy=no

conn %default
keyexchange=ikev2
ike=aes128-sha256-ecp256,aes256-sha384-ecp384,aes128-sha256-modp2048,aes128-sha1-modp2048,aes256-sha384-modp4096,aes256-sha256-modp4096,aes256-sha1-modp4096,aes128-sha256-modp1536,aes128-sha1-modp1536,aes256-sha384-modp2048,aes256-sha256-modp2048,aes256-sha1-modp2048,aes128-sha256-modp1024,aes128-sha1-modp1024,aes256-sha384-modp1536,aes256-sha256-modp1536,aes256-sha1-modp1536,aes256-sha384-modp1024,aes256-sha256-modp1024,aes256-sha1-modp1024!
esp=aes128gcm16-ecp256,aes256gcm16-ecp384,aes128-sha256-ecp256,aes256-sha384-ecp384,aes128-sha256-modp2048,aes128-sha1-modp2048,aes256-sha384-modp4096,aes256-sha256-modp4096,aes256-sha1-modp4096,aes128-sha256-modp1536,aes128-sha1-modp1536,aes256-sha384-modp2048,aes256-sha256-modp2048,aes256-sha1-modp2048,aes128-sha256-modp1024,aes128-sha1-modp1024,aes256-sha384-modp1536,aes256-sha256-modp1536,aes256-sha1-modp1536,aes256-sha384-modp1024,aes256-sha256-modp1024,aes256-sha1-modp1024,aes128gcm16,aes256gcm16,aes128-sha256,aes128-sha1,aes256-sha384,aes256-sha256,aes256-sha1!
left=%defaultroute
leftsourceip=%config
leftfirewall=no
rightsubnet=IP подсети сервера
auto=add

conn 1
right=IP сервера
leftca=/etc/ipsec.d/cacerts/Корневой.pem
leftcert=/etc/ipsec.d/certs/Пользовательский.pem
leftid=ID Клиента
rightid="ID сервера" (оказался в логах)
auto=add