Автор Гілка: VPN (LibreSWAN) та DNS  (Прочитано 1401 раз)

Відсутній HetmanNet

  • Графоман
  • ****
  • дописів: 412
  • Карма: +1/-0
  • Fedora, CentOS, RHEL, KDE
VPN (LibreSWAN) та DNS
« : 2020-03-23 23:51:32 »
Коротко. Є LibreSWAN, використовую його для subnet-to-subnet. У зв'язку з обставинами недавніх днів треба до мережі надати доступ окремим людям. Тож найпростіше (ніби) це IKEv1 XAUTH with PSK.
Є мережа A 10.0.0.1/23 (GW 10.0.0.1), є мережа Б 10.0.2.1/24 (GW 10.0.2.1), є пул В 10.0.3.10-10.0.3.254 для клієнтів VPN.
Є DNS сервер 10.0.0.2, є SMB сховище 10.0.0.1, Веб-сервер (внутрішній) 10.0.0.1, є ще ряд серверів (вірт.машин) 10.0.0.20-10.0.0.24.

Так ось. Пошаманив. PING 10.0.3.12 йде до 10.0.1.2, назад теж.
В конфігу вказав modecfgdns=10.0.0.2
modecfgdomains=company.lan
.


Але по домених іменам нічого не можу відкрити, лише по IP. ;(

Firewalld:
ipv4 filter FORWARD 0 -m policy --dir in --pol ipsec -j ACCEPT
ipv4 filter FORWARD 0 -m policy --dir out --pol ipsec -j ACCEPT
ipv4 filter FORWARD 1 -s 10.0.2.0/24 -d 10.0.0.0/23 -j ACCEPT
ipv4 filter FORWARD 1 -s 10.0.0.0/23 -d 10.0.2.0/24 -j ACCEPT
ipv4 filter INPUT 1 -m policy --dir in --pol ipsec -j ACCEPT
ipv4 nat POSTROUTING 1 -m policy --pol ipsec --dir out -j ACCEPT


ipv4 -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

# Вище то для subnet-to-subnet, нижче для нового conn


ipv4 filter FORWARD 1 -s 10.0.0.0/23 -d 10.0.3.0/24 -j ACCEPT
ipv4 filter FORWARD 1 -s 10.0.3.0/24 -d 10.0.0.0/23 -j ACCEPT
ipv4 nat POSTROUTING 1 -s 10.0.3.1/24 -j MASQUERADE

MASQUERADE в firewalld ввімкнено. ipsec verify каже все файно.

ip route
default via <internal_ip_ISP> dev ppp0 proto static metric 100 
10.0.0.0/23 dev enp2s0 proto kernel scope link src 10.0.0.1 metric 101 
10.0.2.0/24 dev ppp0 scope link src 10.0.0.1 
<internal_ip_ISP> dev ppp0 proto kernel scope link src <external_ip_my_gw_a> metric 102 
192.168.122.0/24 dev virbr0 proto kernel scope link src 192.168.122.1
ip xfrm pol
src 0.0.0.0/0 dst 10.0.3.11/32 
        dir out priority 1048543 ptype main 
        tmpl src <external_ip_my_gw_a> dst <my_home_ip>
                proto esp reqid 16417 mode tunnel
src 0.0.0.0/0 dst 10.0.3.10/32 
        dir out priority 1048543 ptype main 
        tmpl src <external_ip_my_gw_a> dst <my_home_ip>
                proto esp reqid 16417 mode tunnel
src 10.0.3.10/32 dst 0.0.0.0/0 
        dir fwd priority 1048543 ptype main 
        tmpl src <my_home_ip> dst <external_ip_my_gw_a>
                proto esp reqid 16417 mode tunnel
src 10.0.3.10/32 dst 0.0.0.0/0 
        dir in priority 1048543 ptype main 
        tmpl src <my_home_ip> dst <external_ip_my_gw_a>
                proto esp reqid 16417 mode tunnel
src 10.0.0.0/23 dst 10.0.2.0/24 
        dir out priority 1042663 ptype main 
        tmpl src <external_ip_my_gw_a> dst <external_ip_my_gw_b>
                proto esp reqid 16389 mode tunnel
src 10.0.2.0/24 dst 10.0.0.0/23 
        dir fwd priority 1042663 ptype main 
        tmpl src <external_ip_my_gw_b> dst <external_ip_my_gw_a>
                proto esp reqid 16389 mode tunnel
src 10.0.2.0/24 dst 10.0.0.0/23 
        dir in priority 1042663 ptype main 
        tmpl src <external_ip_my_gw_b> dst <external_ip_my_gw_a>
                proto esp reqid 16389 mode tunnel
src ::/0 dst ::/0 
        socket out priority 0 ptype main 
src ::/0 dst ::/0 
        socket in priority 0 ptype main 
src 0.0.0.0/0 dst 0.0.0.0/0 
        socket out priority 0 ptype main 
src 0.0.0.0/0 dst 0.0.0.0/0 
        socket in priority 0 ptype main 
src 0.0.0.0/0 dst 0.0.0.0/0 
        socket out priority 0 ptype main 
src 0.0.0.0/0 dst 0.0.0.0/0 
        socket in priority 0 ptype main 
src 0.0.0.0/0 dst 0.0.0.0/0 
        socket out priority 0 ptype main 
src 0.0.0.0/0 dst 0.0.0.0/0 
        socket in priority 0 ptype main 
src 0.0.0.0/0 dst 0.0.0.0/0 
        socket out priority 0 ptype main 
src 0.0.0.0/0 dst 0.0.0.0/0 
        socket in priority 0 ptype main 
src 0.0.0.0/0 dst 0.0.0.0/0 
        socket out priority 0 ptype main 
src 0.0.0.0/0 dst 0.0.0.0/0 
        socket in priority 0 ptype main 
src 0.0.0.0/0 dst 0.0.0.0/0 
        socket out priority 0 ptype main 
src 0.0.0.0/0 dst 0.0.0.0/0 
        socket in priority 0 ptype main 
src 0.0.0.0/0 dst 0.0.0.0/0 
        socket out priority 0 ptype main 
src 0.0.0.0/0 dst 0.0.0.0/0 
        socket in priority 0 ptype main 
src 0.0.0.0/0 dst 0.0.0.0/0 
        socket out priority 0 ptype main 
src 0.0.0.0/0 dst 0.0.0.0/0 
        socket in priority 0 ptype main 
src ::/0 dst ::/0 proto ipv6-icmp type 135 
        dir out priority 1 ptype main 
src ::/0 dst ::/0 proto ipv6-icmp type 135 
        dir fwd priority 1 ptype main 
src ::/0 dst ::/0 proto ipv6-icmp type 135 
        dir in priority 1 ptype main 
src ::/0 dst ::/0 proto ipv6-icmp type 136 
        dir out priority 1 ptype main 
src ::/0 dst ::/0 proto ipv6-icmp type 136 
        dir fwd priority 1 ptype main 
src ::/0 dst ::/0 proto ipv6-icmp type 136 
        dir in priority 1 ptype main
Моя здогадка, це якусь дурню пишу в правилах фаєрвола. Але на стільки виснажений, що геть не розумію яку.

« Змінено: 2020-03-24 13:32:54 від HetmanNet »
Віддамся на один вечір в хороші дівочі руки.. не дорого, в у.о. .. Якщо сподобається, то залишуся безкоштовно назавжди..

Відсутній HetmanNet

  • Графоман
  • ****
  • дописів: 412
  • Карма: +1/-0
  • Fedora, CentOS, RHEL, KDE
Re: VPN (LibreSWAN) та DNS
« Відповідей #1 : 2020-03-24 10:07:51 »
Здається проблема була в DNS сервері. :)
Віддамся на один вечір в хороші дівочі руки.. не дорого, в у.о. .. Якщо сподобається, то залишуся безкоштовно назавжди..