VPN настроил — что делать дальше?

Question

[ettaluni]

Доброго дня настроил таки vpn канал за натами. Выбрал ipsec strongwan. Были назначены виртуальная сеть 10.0.1.0\24.
Но как теперь получит доступ к внутренним сетям клиентов, например

Client1 (10.0.1.1) 172.16.0.11\24 -> VPS(Public IP) -> Client2 (10.0.1.2) 192.168.0.15\24

Я хочу гонять трафик rdp, vnc, ssh и больше ничего. То есть с client1 хочу иметь доступ к сети 192.168.0.0\24 и наоборот.
Я вот только не понял что мне настраивать iptables или route чтоб пакеты бегали. Кто делал поделитесь командой, пожалуйста.

Comments

[Sand]

являются ли Client1 и Client2 шлюзами в своих подсетях?

[ettaluni]

Sand, нет, это виртуальные машины с адресами nat.

[hint000]

ettaluni, тогда Client1 и Client2 должны уметь NAT. Раз они не шлюзы, то через маршругизацию не получится, только NAT.

[ettaluni]

hint000, Распиши пожалуйста подробней

[Sand]

ettaluni, тогда для доступа Client1 к сети 192.168.0.0/24 нужно вот как сделать:
1) на Client1 добавить маршрут в сеть 192.168.0.0/24 через 10.0.1.2
2) на Client2 средствами iptables натить пакеты от адреса 10.0.1.1 в свой локальный адрес 192.168.0.15
и наоборот для сети 172.16.0.0/24
если хотите команды iptables напишите систему и название интерфейсов, для маршрутов:
ip route add 192.168.0.0/24 via 10.0.1.2

[ettaluni]

Sand,
Приведи пример команды для второго пункта пожалуйста, для ssh порта например у iptables куча команд

[Sand]

ettaluni,
На Client2 попробуй такое правило использовать

iptables -t nat -I POSTROUTING -s 10.0.1.1/32 -d 192.168.0.0/24 -j MASQUERADE

При условии что на Client1 используется такой маршрут:
ip route add 192.168.0.0/24 via 10.0.1.2

Answer 1

[CityCat4]

Не надо ничего делать, все должно быть описано в политиках, которые создает шван. Маршрутизация пакетов с IPSec делается в ядре на основании политик. Единственное, что нужно сделать - указать, чтобы исходящие пакеты не ломались натом, если в них ipsec.

Comments

[ettaluni]

Я не писал никаких политик, не могу пропинговать сеть которая за клиентом 2

[CityCat4]

ettaluni, вывод команды ip xfrm policy show покажи

[ettaluni]

CityCat4,
Сервер

src 0.0.0.0/0 dst 0.0.0.0/0 
	socket in priority 0 ptype main 
src 0.0.0.0/0 dst 0.0.0.0/0 
	socket out priority 0 ptype main 
src 0.0.0.0/0 dst 0.0.0.0/0 
	socket in priority 0 ptype main 
src 0.0.0.0/0 dst 0.0.0.0/0 
	socket out priority 0 ptype main 
src ::/0 dst ::/0 
	socket in priority 0 ptype main 
src ::/0 dst ::/0 
	socket out priority 0 ptype main 
src ::/0 dst ::/0 
	socket in priority 0 ptype main 
src ::/0 dst ::/0 
	socket out priority 0 ptype main

Клиент 2:

src 10.0.1.1/32 dst 0.0.0.0/0 
	dir out priority 383615 ptype main 
	tmpl src 192.168.0.60 dst 18.18.18.18
		proto esp spi 0xc93c91b7 reqid 1 mode tunnel
src 0.0.0.0/0 dst 10.0.1.1/32 
	dir fwd priority 383615 ptype main 
	tmpl src 18.18.18.18 dst 192.168.0.60
		proto esp reqid 1 mode tunnel
src 0.0.0.0/0 dst 10.0.1.1/32 
	dir in priority 383615 ptype main 
	tmpl src 18.18.18.18 dst 192.168.0.60
		proto esp reqid 1 mode tunnel
src 0.0.0.0/0 dst 0.0.0.0/0 
	socket in priority 0 ptype main 
src 0.0.0.0/0 dst 0.0.0.0/0 
	socket out priority 0 ptype main 
src 0.0.0.0/0 dst 0.0.0.0/0 
	socket in priority 0 ptype main 
src 0.0.0.0/0 dst 0.0.0.0/0 
	socket out priority 0 ptype main 
src ::/0 dst ::/0 
	socket in priority 0 ptype main 
src ::/0 dst ::/0 
	socket out priority 0 ptype main 
src ::/0 dst ::/0 
	socket in priority 0 ptype main 
src ::/0 dst ::/0 
	socket out priority 0 ptype main

[CityCat4]

ettaluni, на сервере политик нет, значит шван там неправильно настроен. На клиенте политика "все, что пришло от 10.0.1.1 зашифровать, приписать заголовок от кого - 192.168.0.60 и кому - 18.18.18.18 и отправить в сеть" и соответствующая обратная политика - это вполне нормально и правильно для трафика с 10.0.1.1

[ettaluni]

CityCat4, Я тут заметил что у меня вообще после поднятия ipsec доступ к локалке пропадает. Мне надо в политики добавить маршруты чтобы сетка локальная видна была? Это оно?

ip xfrm policy add dir in src 192.168.0.0/24 dst 192.168.0.0/24
ip xfrm policy add dir out src 192.168.0.0/24 dst 192.168.0.0/24

[CityCat4]

ettaluni, Политики шван правит. Можно, конечно и руками, но каждый раз это довольно нудно.