VPN настроил — что делать дальше?

Question

ettaluni @ettaluni

ERROR MEME

VPN настроил — что делать дальше?

Доброго дня настроил таки vpn канал за натами. Выбрал ipsec strongwan. Были назначены виртуальная сеть 10.0.1.0\24.
Но как теперь получит доступ к внутренним сетям клиентов, например

Client1 (10.0.1.1) 172.16.0.11\24 -> VPS(Public IP) -> Client2 (10.0.1.2) 192.168.0.15\24

Я хочу гонять трафик rdp, vnc, ssh и больше ничего. То есть с client1 хочу иметь доступ к сети 192.168.0.0\24 и наоборот.
Я вот только не понял что мне настраивать iptables или route чтоб пакеты бегали. Кто делал поделитесь командой, пожалуйста.

Вопрос задан более трёх лет назад
240 просмотров

7 комментариев

Подписаться 2 Средний 7 комментариев

Sand @sand3001

являются ли Client1 и Client2 шлюзами в своих подсетях?

Написано более трёх лет назад
ettaluni @ettaluni Автор вопроса

Sand, нет, это виртуальные машины с адресами nat.

Написано более трёх лет назад
hint000 @hint000

ettaluni, тогда Client1 и Client2 должны уметь NAT. Раз они не шлюзы, то через маршругизацию не получится, только NAT.

Написано более трёх лет назад
ettaluni @ettaluni Автор вопроса

hint000, Распиши пожалуйста подробней

Написано более трёх лет назад
Sand @sand3001

ettaluni, тогда для доступа Client1 к сети 192.168.0.0/24 нужно вот как сделать:
1) на Client1 добавить маршрут в сеть 192.168.0.0/24 через 10.0.1.2
2) на Client2 средствами iptables натить пакеты от адреса 10.0.1.1 в свой локальный адрес 192.168.0.15
и наоборот для сети 172.16.0.0/24
если хотите команды iptables напишите систему и название интерфейсов, для маршрутов:
ip route add 192.168.0.0/24 via 10.0.1.2

Написано более трёх лет назад
ettaluni @ettaluni Автор вопроса

Sand,
Приведи пример команды для второго пункта пожалуйста, для ssh порта например у iptables куча команд

Написано более трёх лет назад
Sand @sand3001
ettaluni,
На Client2 попробуй такое правило использовать

iptables -t nat -I POSTROUTING -s 10.0.1.1/32 -d 192.168.0.0/24 -j MASQUERADE

При условии что на Client1 используется такой маршрут:
ip route add 192.168.0.0/24 via 10.0.1.2
Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 1

6 комментариев

ettaluni @ettaluni Автор вопроса

Я не писал никаких политик, не могу пропинговать сеть которая за клиентом 2

Написано более трёх лет назад
CityCat4 @CityCat4 Куратор тега VPN

ettaluni, вывод команды ip xfrm policy show покажи

Написано более трёх лет назад

ettaluni @ettaluni Автор вопроса

CityCat4,
Сервер

src 0.0.0.0/0 dst 0.0.0.0/0 
	socket in priority 0 ptype main 
src 0.0.0.0/0 dst 0.0.0.0/0 
	socket out priority 0 ptype main 
src 0.0.0.0/0 dst 0.0.0.0/0 
	socket in priority 0 ptype main 
src 0.0.0.0/0 dst 0.0.0.0/0 
	socket out priority 0 ptype main 
src ::/0 dst ::/0 
	socket in priority 0 ptype main 
src ::/0 dst ::/0 
	socket out priority 0 ptype main 
src ::/0 dst ::/0 
	socket in priority 0 ptype main 
src ::/0 dst ::/0 
	socket out priority 0 ptype main

Клиент 2:

src 10.0.1.1/32 dst 0.0.0.0/0 
	dir out priority 383615 ptype main 
	tmpl src 192.168.0.60 dst 18.18.18.18
		proto esp spi 0xc93c91b7 reqid 1 mode tunnel
src 0.0.0.0/0 dst 10.0.1.1/32 
	dir fwd priority 383615 ptype main 
	tmpl src 18.18.18.18 dst 192.168.0.60
		proto esp reqid 1 mode tunnel
src 0.0.0.0/0 dst 10.0.1.1/32 
	dir in priority 383615 ptype main 
	tmpl src 18.18.18.18 dst 192.168.0.60
		proto esp reqid 1 mode tunnel
src 0.0.0.0/0 dst 0.0.0.0/0 
	socket in priority 0 ptype main 
src 0.0.0.0/0 dst 0.0.0.0/0 
	socket out priority 0 ptype main 
src 0.0.0.0/0 dst 0.0.0.0/0 
	socket in priority 0 ptype main 
src 0.0.0.0/0 dst 0.0.0.0/0 
	socket out priority 0 ptype main 
src ::/0 dst ::/0 
	socket in priority 0 ptype main 
src ::/0 dst ::/0 
	socket out priority 0 ptype main 
src ::/0 dst ::/0 
	socket in priority 0 ptype main 
src ::/0 dst ::/0 
	socket out priority 0 ptype main

Написано более трёх лет назад

CityCat4 @CityCat4 Куратор тега VPN

ettaluni, на сервере политик нет, значит шван там неправильно настроен. На клиенте политика "все, что пришло от 10.0.1.1 зашифровать, приписать заголовок от кого - 192.168.0.60 и кому - 18.18.18.18 и отправить в сеть" и соответствующая обратная политика - это вполне нормально и правильно для трафика с 10.0.1.1

Написано более трёх лет назад
ettaluni @ettaluni Автор вопроса
CityCat4, Я тут заметил что у меня вообще после поднятия ipsec доступ к локалке пропадает. Мне надо в политики добавить маршруты чтобы сетка локальная видна была? Это оно?

ip xfrm policy add dir in src 192.168.0.0/24 dst 192.168.0.0/24 ip xfrm policy add dir out src 192.168.0.0/24 dst 192.168.0.0/24
Написано более трёх лет назад
CityCat4 @CityCat4 Куратор тега VPN

ettaluni, Политики шван правит. Можно, конечно и руками, но каждый раз это довольно нудно.

Написано более трёх лет назад

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

VPN

Средний
Как включить ограничение ip адресов в XRay?
- 1 подписчик
- 14 часов назад
- 114 просмотров
1

ответ
Linux

+4 ещё

Средний
Как настроить промежуточный сервер для выборочной фильтрации трафика через прокси/VPN?
- 1 подписчик
- 17 часов назад
- 159 просмотров
4

ответа
Системное администрирование

+1 ещё

Средний
Принудительно не обновляется GPO на удаленных ПК. Почему?
- 1 подписчик
- 22 часа назад
- 69 просмотров
1

ответ
Компьютерные сети

+2 ещё

Простой
Из-за чего рандомно оператор блокирует VPN не везде?
- 1 подписчик
- вчера
- 424 просмотра
2

ответа
Системное администрирование

+3 ещё

Средний
Какие есть аналоги ПО Devolution Remote Desktop Manager?
- 2 подписчика
- вчера
- 196 просмотров
3

ответа
VPN

Простой
Что лучше поднять «свой» VPN или же купить подписку?
- 2 подписчика
- 15 янв.
- 10875 просмотров
7

ответов
Компьютерные сети

+2 ещё

Простой
Как сделать 10 гигабитную локальную сеть?
- 5 подписчиков
- 14 янв.
- 1866 просмотров
4

ответа
macOS

+1 ещё

Простой
Как настроить Routing в Straisend клиенте на macOS?
- 2 подписчика
- 14 янв.
- 132 просмотра
1

ответ
Системное администрирование

+1 ещё

Простой
Как разграничить права в iVMS?
- 2 подписчика
- 14 янв.
- 72 просмотра
1

ответ
VPN

+2 ещё

Средний
Как правильно настроить 3X-UI VPN для работы в Discord голосового канала связи?
- 1 подписчик
- 14 янв.
- 231 просмотр
2

ответа
Показать ещё Загружается…

Эксперт Oracle DBA

Softline • Москва

от 300 000 ₽

Системный администратор

Wanted. • Санкт-Петербург

До 100 000 ₽

Программист 1C

Wanted.

До 200 000 ₽

Выполнить лабораторные и практические

17 янв. 2025, в 08:55

3000 руб./за проект

Создание коротких роликов для Youtube

17 янв. 2025, в 08:10

3000 руб./за проект

Доработка проекта по CS2

17 янв. 2025, в 07:42

20000 руб./за проект

являются ли Client1 и Client2 шлюзами в своих подсетях?
Sand, нет, это виртуальные машины с адресами nat.
ettaluni, тогда Client1 и Client2 должны уметь NAT. Раз они не шлюзы, то через маршругизацию не получится, только NAT.
hint000, Распиши пожалуйста подробней
ettaluni, тогда для доступа Client1 к сети 192.168.0.0/24 нужно вот как сделать:
1) на Client1 добавить маршрут в сеть 192.168.0.0/24 через 10.0.1.2
2) на Client2 средствами iptables натить пакеты от адреса 10.0.1.1 в свой локальный адрес 192.168.0.15
и наоборот для сети 172.16.0.0/24
если хотите команды iptables напишите систему и название интерфейсов, для маршрутов:
ip route add 192.168.0.0/24 via 10.0.1.2
Sand,
Приведи пример команды для второго пункта пожалуйста, для ssh порта например у iptables куча команд
ettaluni,
На Client2 попробуй такое правило использовать

iptables -t nat -I POSTROUTING -s 10.0.1.1/32 -d 192.168.0.0/24 -j MASQUERADE

При условии что на Client1 используется такой маршрут:
ip route add 192.168.0.0/24 via 10.0.1.2

Answer 1 · 2021-02-03 07:01:23

Не надо ничего делать, все должно быть описано в политиках, которые создает шван. Маршрутизация пакетов с IPSec делается в ядре на основании политик. Единственное, что нужно сделать - указать, чтобы исходящие пакеты не ломались натом, если в них ipsec.

VPN настроил — что делать дальше?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт