Как разбираться почему не контачит VPN?

Question

[ettaluni]

Пытаюсь строить NAT. Каждый узел стоит за NAT в том числе сервер. Я выбрал StrongWan, настроил все по инструкции. Да и конфиги почитал думаю все правильно вот конфиги если что:
Сервер:

conn vpn-server
	auto=add
	compress=no
	type=tunnel  # defines the type of connection, tunnel.
	keyexchange=ikev2
	fragmentation=yes
	forceencaps=yes
	dpdaction=clear
	dpddelay=300s
	rekey=no
	left=%any
	leftauth=pubkey
	leftid=@vpn.id    #If using IP, define it without the @ sign
	leftsourceip=18.18.18.18 #
	leftcert=vpn_server_cert.pem  #Reads the VPN server cert in /etc/ipsec.d/certs
	leftsendcert=always
	leftsubnet=0.0.0.0/0
	right=%any
	rightid=%any
	rightauth=eap-mschapv2
	rightsourceip=10.0.1.0/24  #IP address Pool to be assigned to the clients
#	rightdns=8.8.8.8  
	rightsendcert=never
	eap_identity=%identity  #Defines the identity the client uses to reply to an EAP Identity request.

Клиент:

conn vpn-client
	auto=start
	right=vpn.id
	rightid=vpn.id
	rightsourceip=18.18.18.18
	rightsubnet=0.0.0.0/0
	rightauth=pubkey
	leftsourceip=%config
	leftid=client1
	leftauth=eap-mschapv2
	eap_identity=%identity

Вот схема сети:

И не работает, честно я уже столько VPN серверов перебрал, VPS тоже поменял. Я не знаю что делать дальше, как искать где проблема? У меня нет навыков как сетевого админа, iptables нужно что-то прописывать что-бы это чудо заработало?

Comments

[Sand]

Начните с одного клиента впн, проверьте доступность необходимых портов, дальше читайте логи на сервере и клиенте

[ettaluni]

Sand, Порты открыты, проверил nmap, 500 и 4500, filtered. В логах пусто у обоих, charon (1033) started after 20 ms на этом все заканчивается.

[Sand]

ettaluni, с клиента на сервер по телнету подключение проходит на нужный порт?

[ettaluni]

Sand, telenet не может UDP
команда nmap 18.18.18.18 -p 4500 -Pn - выдает все ок filtered
команда nc -uv 18.18.18.18 4500 зависает на open
Вот список открытых портов на сервере:

[Sand]

ettaluni,

nmap -sU 18.18.18.18 -p 4500
nmap -sU 18.18.18.18 -p 500

[ettaluni]

Sand,
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
Nmap done: 1 IP address (0 hosts up) scanned in 3.05 seconds

[Sand]

ettaluni, добавьте к командам -Pn

[ettaluni]

Sand,

[Sand]

ettaluni, а 500?

[Sand]

ettaluni, хорошо, порты открыты и слушают, теперь переходим к логам сервера и клиента. Читали руководство по логгированию используемых программ?

[ettaluni]

Sand, Я знаю что каждая пишет лог, если про это конечно

[Sand]

ettaluni, про это, и что в логах? Если в логах пусто, значит они выключены либо не настроены

[ettaluni]

Sand, спасибо что помог проверить порты. Пойду копать маны по Strongwan в нем проблема значит

[Valentin Barbolin]

ettaluni,

Вот рабочий конфиг сервера, для авторизации по сертификатам.

conn ikev2-vpn-certauth-pc
auto=add
mobike=yes
compress=no
type=tunnel
keyexchange=ikev2 fragmentation=yes
forceencaps=yes

ike=aes256-sha1-modp1024,3des-sha1-modp1024!
esp=aes256-sha1,3des-sha1-modp1024!

dpdaction=clear
dpddelay=300s
rekey=no

left=%any
leftauth=pubkey
leftid=91.231.ХХХ.ХХХ
leftcert=server-cert.pem
leftsendcert=always
leftsubnet=10.10.0.0/16
lefthostaccess=yes
leftfirewall=yes

right=%any
rightid=%any
rightsourceip=10.90.50.0/24
rightdns=1.1.1.1
rightsendcert=never
rightfirewall=yes

[ettaluni]

Andrey Barbolin, это нужно будет для клиента еще генерить сертификат?

[Valentin Barbolin]

ettaluni, Как душа пожелает.
Можно по psk

config setup
strictcrlpolicy=no
charondebug="ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2, mgr 2"
uniqueids=no

conn %default
ikelifetime=60m
keylife=20m
rekeymargin=3m
keyingtries=%forever
keyexchange=ikev2
mobike=no
authby=rsasig
closeaction=clear
dpdaction=clear
dpdtimeout=20s
fragmentation=yes

conn vs-nj-net-gw01
left=%defaultroute
leftsubnet=10.10.0.0/24
leftid=@LEFT_SERVER_ID
right=52.144.XXX.XXX
rightsubnet=10.30.0.0/24
rightid=@RIGHT_SERVER_ID
authby=psk
auto=add

[ettaluni]

Andrey Barbolin, Спасибо! Попробую твои конфиги