Автор Гілка: VPN (LibreSWAN) та DNS (Прочитано 1400 раз)

HetmanNet · « : 2020-03-23 23:51:32 »

Коротко. Є LibreSWAN, використовую його для subnet-to-subnet. У зв'язку з обставинами недавніх днів треба до мережі надати доступ окремим людям. Тож найпростіше (ніби) це IKEv1 XAUTH with PSK.
Є мережа A 10.0.0.1/23 (GW 10.0.0.1), є мережа Б 10.0.2.1/24 (GW 10.0.2.1), є пул В 10.0.3.10-10.0.3.254 для клієнтів VPN.
Є DNS сервер 10.0.0.2, є SMB сховище 10.0.0.1, Веб-сервер (внутрішній) 10.0.0.1, є ще ряд серверів (вірт.машин) 10.0.0.20-10.0.0.24.

Так ось. Пошаманив. PING 10.0.3.12 йде до 10.0.1.2, назад теж.
В конфігу вказав

Код: [Вибрати]

modecfgdns=10.0.0.2
modecfgdomains=company.lan

.

Але по домених іменам нічого не можу відкрити, лише по IP. ;(

Firewalld:

Код: [Вибрати]

ipv4 filter FORWARD 0 -m policy --dir in --pol ipsec -j ACCEPT 
ipv4 filter FORWARD 0 -m policy --dir out --pol ipsec -j ACCEPT 
ipv4 filter FORWARD 1 -s 10.0.2.0/24 -d 10.0.0.0/23 -j ACCEPT 
ipv4 filter FORWARD 1 -s 10.0.0.0/23 -d 10.0.2.0/24 -j ACCEPT 
ipv4 filter INPUT 1 -m policy --dir in --pol ipsec -j ACCEPT 
ipv4 nat POSTROUTING 1 -m policy --pol ipsec --dir out -j ACCEPT


ipv4 -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

# Вище то для subnet-to-subnet, нижче для нового conn


ipv4 filter FORWARD 1 -s 10.0.0.0/23 -d 10.0.3.0/24 -j ACCEPT
ipv4 filter FORWARD 1 -s 10.0.3.0/24 -d 10.0.0.0/23 -j ACCEPT 
ipv4 nat POSTROUTING 1 -s 10.0.3.1/24 -j MASQUERADE

MASQUERADE в firewalld ввімкнено. ipsec verify каже все файно.

ip route

Код: [Вибрати]

default via <internal_ip_ISP> dev ppp0 proto static metric 100  
10.0.0.0/23 dev enp2s0 proto kernel scope link src 10.0.0.1 metric 101  
10.0.2.0/24 dev ppp0 scope link src 10.0.0.1  
<internal_ip_ISP> dev ppp0 proto kernel scope link src <external_ip_my_gw_a> metric 102  
192.168.122.0/24 dev virbr0 proto kernel scope link src 192.168.122.1

ip xfrm pol

Код: [Вибрати]

src 0.0.0.0/0 dst 10.0.3.11/32  
        dir out priority 1048543 ptype main  
        tmpl src <external_ip_my_gw_a> dst <my_home_ip> 
                proto esp reqid 16417 mode tunnel 
src 0.0.0.0/0 dst 10.0.3.10/32  
        dir out priority 1048543 ptype main  
        tmpl src <external_ip_my_gw_a> dst <my_home_ip> 
                proto esp reqid 16417 mode tunnel 
src 10.0.3.10/32 dst 0.0.0.0/0  
        dir fwd priority 1048543 ptype main  
        tmpl src <my_home_ip> dst <external_ip_my_gw_a> 
                proto esp reqid 16417 mode tunnel 
src 10.0.3.10/32 dst 0.0.0.0/0  
        dir in priority 1048543 ptype main  
        tmpl src <my_home_ip> dst <external_ip_my_gw_a> 
                proto esp reqid 16417 mode tunnel 
src 10.0.0.0/23 dst 10.0.2.0/24  
        dir out priority 1042663 ptype main  
        tmpl src <external_ip_my_gw_a> dst <external_ip_my_gw_b> 
                proto esp reqid 16389 mode tunnel 
src 10.0.2.0/24 dst 10.0.0.0/23  
        dir fwd priority 1042663 ptype main  
        tmpl src <external_ip_my_gw_b> dst <external_ip_my_gw_a> 
                proto esp reqid 16389 mode tunnel 
src 10.0.2.0/24 dst 10.0.0.0/23  
        dir in priority 1042663 ptype main  
        tmpl src <external_ip_my_gw_b> dst <external_ip_my_gw_a> 
                proto esp reqid 16389 mode tunnel 
src ::/0 dst ::/0  
        socket out priority 0 ptype main  
src ::/0 dst ::/0  
        socket in priority 0 ptype main  
src 0.0.0.0/0 dst 0.0.0.0/0  
        socket out priority 0 ptype main  
src 0.0.0.0/0 dst 0.0.0.0/0  
        socket in priority 0 ptype main  
src 0.0.0.0/0 dst 0.0.0.0/0  
        socket out priority 0 ptype main  
src 0.0.0.0/0 dst 0.0.0.0/0  
        socket in priority 0 ptype main  
src 0.0.0.0/0 dst 0.0.0.0/0  
        socket out priority 0 ptype main  
src 0.0.0.0/0 dst 0.0.0.0/0  
        socket in priority 0 ptype main  
src 0.0.0.0/0 dst 0.0.0.0/0  
        socket out priority 0 ptype main  
src 0.0.0.0/0 dst 0.0.0.0/0  
        socket in priority 0 ptype main  
src 0.0.0.0/0 dst 0.0.0.0/0  
        socket out priority 0 ptype main  
src 0.0.0.0/0 dst 0.0.0.0/0  
        socket in priority 0 ptype main  
src 0.0.0.0/0 dst 0.0.0.0/0  
        socket out priority 0 ptype main  
src 0.0.0.0/0 dst 0.0.0.0/0  
        socket in priority 0 ptype main  
src 0.0.0.0/0 dst 0.0.0.0/0  
        socket out priority 0 ptype main  
src 0.0.0.0/0 dst 0.0.0.0/0  
        socket in priority 0 ptype main  
src 0.0.0.0/0 dst 0.0.0.0/0  
        socket out priority 0 ptype main  
src 0.0.0.0/0 dst 0.0.0.0/0  
        socket in priority 0 ptype main  
src ::/0 dst ::/0 proto ipv6-icmp type 135  
        dir out priority 1 ptype main  
src ::/0 dst ::/0 proto ipv6-icmp type 135  
        dir fwd priority 1 ptype main  
src ::/0 dst ::/0 proto ipv6-icmp type 135  
        dir in priority 1 ptype main  
src ::/0 dst ::/0 proto ipv6-icmp type 136  
        dir out priority 1 ptype main  
src ::/0 dst ::/0 proto ipv6-icmp type 136  
        dir fwd priority 1 ptype main  
src ::/0 dst ::/0 proto ipv6-icmp type 136  
        dir in priority 1 ptype main

Моя здогадка, це якусь дурню пишу в правилах фаєрвола. Але на стільки виснажений, що геть не розумію яку.

HetmanNet · « **Відповідей #1 :** 2020-03-24 10:07:51 »

Здається проблема була в DNS сервері.

Linux.org.ua

Автор Гілка: VPN (LibreSWAN) та DNS (Прочитано 1400 раз)

HetmanNet

VPN (LibreSWAN) та DNS

HetmanNet

Re: VPN (LibreSWAN) та DNS