Страдания по strongswan, как вернуть сеть?

Question

[ettaluni]

Доброго дня! Когда включаю vpn ipsec пропадает локальная сеть у клиента. Тоесть клиент перестает реагировать на свой локальный(не vpn адрес) который раздается по NAT.
Вообще изначально я хочю подключаться по rdp-vnc-ssh из локальной сети Клиента-1 в компьютерам локальной сети Клиента-2.
Как настроить strongswan чтобы локальная сеть не обрывалась?
Схемка:
Client1 (10.0.1.1) 172.16.0.11\24 -> VPS(Public IP) -> Client2 (10.0.1.2) 192.168.0.15\24
Сервер:

spoiler

conn my-super-vpn
  auto=add
  compress=no
  type=tunnel  # defines the type of connection, tunnel.
  keyexchange=ikev2
  fragmentation=yes
  forceencaps=yes
  dpdaction=clear
  dpddelay=300s
  rekey=no
  left=%any
  leftauth=pubkey
  leftid=@my.super.vpn    #If using IP, define it without the @ sign
  leftsourceip=18.18.18.18
  leftcert=vpn_server_cert.pem  #Reads the VPN server cert in /etc/ipsec.d/certs
  leftsendcert=always
  leftsubnet=0.0.0.0/0
  right=%any
  rightid=%any
  rightauth=eap-mschapv2
  rightsourceip=10.0.1.0/24  #IP address Pool to be assigned to the clients
#	rightdns=8.8.8.8  
  rightsendcert=never
  eap_identity=%identity  #Defines the identity the client uses to reply to an EAP Identity request.

Клиент:

spoiler

conn my-super-vpn
  auto=start
  right=18.18.18.18
  rightid=my.super.vpn
  rightsubnet=0.0.0.0/0
  rightauth=pubkey
  leftsourceip=%config
  leftid=client1
  leftauth=eap-mschapv2
  eap_identity=%identity

Comments

[Alexey Dmitriev]

очень похоже что VPN соединение переписывает на себя default gateway. Проверяйте и выключайте.

[ettaluni]

Alexey Dmitriev, Ничего не перезаписалось

Сам VPN 10.0.1.0\24

[CityCat4]

У тебя сервер политик не создает, писал же уже. Это на клиенте правильным может быть зарулить весь трафик в туннель - а на сервере накуа такое?

[ettaluni]

CityCat4, Я ничего не понял что ты тогда мне написал(((

[ettaluni]

CityCat4, Не на сервере, сервер лишь посредник. На клиентах хочу видеть сеть (локальную) друг друга. А по факту клиент сейчас не видит даже свою.

[ettaluni]

CityCat4, Ну помоги мне, ты же знаешь почему у меня не работает?

[CityCat4]

ettaluni,

Я ничего не понял что ты тогда мне написал(((

Ну так гугл в зубы - и учить, чтобы понимание наступило. Пока то, что я говорю, не перестанет звучать, как язык племени мумбо-юмбо.
На самом деле туннельный режим в IPSec прост, как полено. В ведре строятся две БД - SAD и SPD (Security Associations Database и Security Policy Database). SAD строится автоматически, шваном и используется ведром (и правится им по мере неободимости). SPD строится руками (или шваном на основании той информации, которую заложил в конфиг). И все пакеты, в которых есть IPSec или которые подпадают под данную политику - они обрабатываются соответственно ей.
На сайте швана зиллион документации и просто огромная куча примеров. Я не уверен, что все они стопроцентно рабочие, но все равно годятся.

Answer 1

[ky0]

Как настроить strongswan чтобы локальная сеть не обрывалась?

Не заворачивать в впн локальные диапазоны клиентов. Убедиться, что при подключении туннеля никуда не деваются локальные маршруты.

Comments

[ettaluni]

Они не не исчезают, но пинг по локалке с клиента не идет и обратно тоже