LINUX.ORG.RU
ФорумAdmin

проблема с iptables при создании VPN-подключения

 ,


0

1

всем доброго дня!

пытаюсь настроить VPN на <host>, но коннекшин обламывается с криком «NetworkManager[6838]: received UNSUPPORTED_CRITICAL_PAYLOAD error notify» и еще сверзу есть строчка «charon: 13[IKE] KE payload missing in message» (не знаю, имеет ли это значение).

машина, с которой инициируется подключение, сидит за натом, но на серваке сделал так:

$iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
$iptables -A INPUT -p udp --dport 500 -j ACCEPT
$iptables -A INPUT -p udp --dport 4500 -j ACCEPT
$iptables -A INPUT -p esp -j ACCEPT
$iptables -A INPUT -p ah -j ACCEPT
map_port ubuntu.metanet 500 500 
map_port ubuntu.metanet 4500 4500
map_port ubuntu.metanet 1701 1701

еще пытаюсь подменить адрес, как написано тут: https://partners-intl.aliyun.com/help/en/doc-detail/65802.htm
$iptables -t nat -A POSTROUTING -s $LOCAL_NET -o eth0 -m policy --dir out --pol ipsec -j ACCEPT
$iptables -t nat -A POSTROUTING -m policy --pol ipsec --dir out -j ACCEPT
$iptables -t nat -A PREROUTING -i eth1 -p udp -d <host> --dport 500 -j DNAT --to-destination 172.29.2.14
$iptables -t nat -A PREROUTING -i eth1 -p udp -d <host> --dport 4500 -j DNAT --to-destination 172.29.2.14
$iptables -A FORWARD -p udp -d 172.29.2.14 --dport 500 -j ACCEPT
$iptables -A FORWARD -p udp -d 172.29.2.14 --dport 4500 -j ACCEPT
$iptables -t nat -A POSTROUTING -p udp -s 172.29.2.14 --sport 500 -j SNAT --to-source <host>
$iptables -t nat -A POSTROUTING -p udp -s 172.29.2.14 --sport 4500 -j SNAT --to-source <host>

но в дмесге получаю сабжевую ошибку %(

charon: 14[IKE] received UNSUPPORTED_CRITICAL_PAYLOAD error notify

подскажите, плиз, где я налажал?

★★★★★

Последнее исправление: metawishmaster (всего исправлений: 5)
Ошибка при обработке лога. Logstash, grok
VDS, Разделение входного и исходящего трафика
1 2

машина, с которой инициируется подключение, сидит за натом

А нат кто обеспечивает? Я бы, что бы исключить проблемы с этой железкой для теста проверил через другое подключение, например с мобильного инета будет достаточно.

на серваке сделал так:

Покажите выхлоп iptables-save, если в нём есть белые IP замаскируйте их.

anc ★★★★★
()
Ответ на: комментарий от anc

А нат кто обеспечивает?

муа и обеспечивает %)
самопальный скрипт на серверочке (я из дома пытаюсь достучаться)

Я бы, что бы исключить проблемы с этой железкой для теста проверил через другое подключение, например с мобильного инета будет достаточно.

у всех остальных подключается из винды, у них работает...

Покажите выхлоп iptables-save, если в нём есть белые IP замаскируйте их.

вот то, что сейчас... https://pastebin.com/ciYBDjMd

metawishmaster ★★★★★
() автор топика
Последнее исправление: metawishmaster (всего исправлений: 1)
Ответ на: комментарий от anc

блин...
но, да, в гномике это IPSec, просто я сначала хотел через xl2tp это делать, в общем сам запутался и всех запутал :-\

metawishmaster ★★★★★
() автор топика
Ответ на: комментарий от anc

такс... собрал мысли в кучку

настраиваю VPN подключение из Убунты, настройки подключения досткпны после клика на кнопку «IPsec Setting», но там только «Pre-Shared key»

но, ИМХО, это не особо важно - все упирается в настройки моих iptables

metawishmaster ★★★★★
() автор топика
Последнее исправление: metawishmaster (всего исправлений: 1)
Ответ на: комментарий от anc

на сервере к которому подключаюсь ничего...

p.s. настройки своего гномовского клиента я делал по мануалу, который получил

metawishmaster ★★★★★
() автор топика
Последнее исправление: metawishmaster (всего исправлений: 1)
Ответ на: комментарий от anc

ну сервер же настраивали в той компании, к которой подключась, а я просто получил мануал с настройками username/password и pre-shared key

metawishmaster ★★★★★
() автор топика
Ответ на: комментарий от anc

да, нужно было написать «на своём серваке» - у меня тут ноут, десктоп и малегькая черная коробочка, которая играет роль роутера, ее-то я и называю «серваком» или «серверочком»
iptables, соответственно, тоже на ней

metawishmaster ★★★★★
() автор топика
Последнее исправление: metawishmaster (всего исправлений: 1)
Ответ на: комментарий от metawishmaster

Продолжаем допрос :)

у всех остальных подключается из винды, у них работает...

эти «все» подключаются тоже через «малегькая черная коробочка» ?

anc ★★★★★
()

Дружище, ты какую чушь порешь. При чем здесь iptables? Если у тебя работает NAT, все что тебе нужно это настроить клиентское подключение исходя из серверных настроек.

Anoxemian ★★★★★
()
Ответ на: комментарий от Anoxemian

Не всегда. Могут быть проблемы с пропусканием GRE или с MTU. Но тут надо подробнее смотреть параметры подключения и логи.

shell-script ★★★★★
()
Ответ на: комментарий от shell-script

Это уже частные проблемы, которые надо решать, а тут же ТС какую-то дичь постит, порты куда-то мапит, какие-то адреса подменяет, что вообще происходит непонятно.

Anoxemian ★★★★★
()
Ответ на: комментарий от Anoxemian

При чем здесь iptables?

уфф
смотрите, сперва, когда я не трогал iptables на «маленький черный коробочка», «sudo tcpdump -i eth1 host <host>» просто молчалю Потом, когда я сделал «iptables -t nat -A POSTROUTING -m policy --pol ipsec --dir out -j ACCEPT» в дмесге «маленькой черной коробочки» появилось

12:43:04.707807 IP 172.29.2.14.isakmp > <host>.isakmp: isakmp: phase 1 I ident

в итоге дошел до


13:55:57.381611 IP 172.29.2.14.isakmp > <host>.isakmp: isakmp: phase 1 I ident
13:55:57.381720 IP <host>.isakmp > 172.29.2.14.isakmp: isakmp: phase 1 R ident
13:55:57.384247 IP 172.29.2.14.isakmp > <host>.isakmp: isakmp: phase 1 I ident
13:55:57.384325 IP <host>.isakmp > 172.29.2.14.isakmp: isakmp: phase 1 R ident
13:55:57.387089 IP 172.29.2.14.isakmp > <host>.isakmp: isakmp: phase 2/others I inf
13:55:57.387167 IP <host>.isakmp > 172.29.2.14.isakmp: isakmp: phase 2/others R inf

metawishmaster ★★★★★
() автор топика
Последнее исправление: metawishmaster (всего исправлений: 1)
Ответ на: комментарий от Anoxemian

хочу сделать, чтоб IPSec c убунты коннектился к внешнему серверу
убунта за НАТом, а последний, как выяснилось, не пропускает просто так

metawishmaster ★★★★★
() автор топика
Последнее исправление: metawishmaster (всего исправлений: 1)
Ответ на: комментарий от metawishmaster

отлично, покажи вывод

iptables -t nat -L -nxv
iptables -t filter -L -nxv
iptables -t mangle -L -nxv

С твоей коробочки (я так понял это твой роутер?)

Anoxemian ★★★★★
()
Ответ на: комментарий от metawishmaster

Тогда возвращаемся к моему первому посту:

Я бы, что бы исключить проблемы с этой железкой для теста проверил через другое подключение, например с мобильного инета будет достаточно.

Проблема может быть как в настройке вашего девайса, так и в «малегькая черная коробочка».

anc ★★★★★
()
Ответ на: комментарий от metawishmaster

iptables -t nat -A POSTROUTING -m policy –pol ipsec –dir out -j ACCEPT

Chain POSTROUTING (policy ACCEPT 1165 packets, 92239 bytes)

Ты понимаешь что это значит? А ipsec сервер, он тоже на этой коробочке или где-то в интернетах?

Anoxemian ★★★★★
()
Ответ на: комментарий от Anoxemian

Ты понимаешь что это значит?

не... я с iptables на «Вы» с ОООчень большой «В» :(
но до этой комманды вообще тишина в дмесге была...

А ipsec сервер, он тоже на этой коробочке или где-то в интернетах?

где-то в интернете

metawishmaster ★★★★★
() автор топика
Последнее исправление: metawishmaster (всего исправлений: 2)
Ответ на: комментарий от metawishmaster

не… я с iptables на «Вы» с ОООчень большой «В» :( но до этой комманды вообще тишина в дмесге была…

Это значит, что тебе надо ОТЪЕБАТЬСЯ от iptables на твоей коробочке. От dmesg на твоей коробочке - тоже, он не имеет никакого отношения к подключению твоей убунты к ipsec серверу.

IP компьютера 172.29.2.14 IP сервера 194.186.172.221

Правильно предполагаю?

Anoxemian ★★★★★
()
Последнее исправление: Anoxemian (всего исправлений: 1)
Ответ на: комментарий от metawishmaster

Чудно, на коробочке выполни:

iptables -t nat -F POSTROUTING
iptables -t nat -A POSTROUTING -s 172.29.2.0/24 -j SNAT --to-source 192.168.1.64
iptables -t nat -A POSTROUTING -s 172.29.3.0/24 -j SNAT --to-source 192.168.1.64
iptables -t nat -A POSTROUTING -s 10.0.2.0/24 -j SNAT --to-source 192.168.1.64

Все, и больше никогда не трогай, пока не изучишь вопрос. Итого, у тебя в локалке три подсети /24, которые ходят в интернет через «коробочку» - 192.168.1.64/24

Зачем, кстати?

Anoxemian ★★★★★
()
Ответ на: комментарий от Anoxemian

192.168.1.64 - это от МТСовского роутера (который пускает в инет)
172.29.2.0/24 - локальная сеть от «главного роутера»
172.29.3.0/24 - второй старенький роутер с выключенным вайфаем, используется преимущественно для хромов и VirtualBox'ов (по ssh со стационарного компа, там оперативки больше)
10.0.2.0/24 - это я игрался с qemu-sparc

metawishmaster ★★★★★
() автор топика
Ответ на: комментарий от metawishmaster

Отлично, теперь займись настройкой ipsec, только коробочку свою не трогай ни в коем случае, а то ты опасен, судя по 100500 бессмысленным правилам фаервола твоего многострадального.

Anoxemian ★★★★★
()
Ответ на: комментарий от Anoxemian

100500 бессмысленным правилам фаервола твоего многострадального.

там же редиректы портов, чтоб можно было из все зайти по ssh, на сервер, ноут, десктоп... это из полезного, из неполезного - раздавать торренты, например

metawishmaster ★★★★★
() автор топика
Ответ на: комментарий от Anoxemian

скрипт, на самом деле, писал не я, а мой однокурсник, который знает iptables, а я его просто дополняю всякими хотелками...

metawishmaster ★★★★★
() автор топика
Ответ на: комментарий от metawishmaster 
iptables -t nat -F PREROUTING

iptables -t nat -A PREROUTING -p tcp -m multiport --dports 2010:2020 -d 192.168.1.64 -j DNAT --to-destination 172.29.2.5
iptables -t nat -A PREROUTING -p udp -m multiport --dports 2010:2020 -d 192.168.1.64 -j DNAT --to-destination 172.29.2.5

iptables -t nat -A PREROUTING -p tcp --dport 23122 -d 192.168.1.64 -j DNAT --to-destination 172.29.2.2:22
iptables -t nat -A PREROUTING -p tcp --dport 23123 -d 192.168.1.64 -j DNAT --to-destination 172.29.2.3:22
iptables -t nat -A PREROUTING -p tcp --dport 23125 -d 192.168.1.64 -j DNAT --to-destination 172.29.2.5:22

iptables -t nat -A PREROUTING -p tcp --dport 25 -d 192.168.1.64 -j DNAT --to-destination 172.29.2.3:25

iptables -t nat -A PREROUTING -p tcp --dport 6883 -d 192.168.1.64 -j DNAT --to-destination 172.29.2.3:6883
iptables -t nat -A PREROUTING -p udp --dport 6883 -d 192.168.1.64 -j DNAT --to-destination 172.29.2.3:6883

iptables -t nat -A PREROUTING -p tcp --dport 6882 -d 192.168.1.64 -j DNAT --to-destination 172.29.2.3:6882
iptables -t nat -A PREROUTING -p udp --dport 6882 -d 192.168.1.64 -j DNAT --to-destination 172.29.2.3:6882

iptables -t nat -A PREROUTING -p tcp --dport 7881 -d 192.168.1.64 -j DNAT --to-destination 172.29.2.2:7881
iptables -t nat -A PREROUTING -p udp --dport 7881 -d 192.168.1.64 -j DNAT --to-destination 172.29.2.2:7881

iptables -t nat -A PREROUTING -p tcp --dport 8881 -d 192.168.1.64 -j DNAT --to-destination 172.29.2.2:8881
iptables -t nat -A PREROUTING -p udp --dport 8881 -d 192.168.1.64 -j DNAT --to-destination 172.29.2.2:8881

И да, тут тоже ничего не трогай, пока не изучишь)))

Anoxemian ★★★★★
()
Последнее исправление: Anoxemian (всего исправлений: 1)
Ответ на: комментарий от metawishmaster

Ну в скрипт уже как-нибудь сам справишься

Anoxemian ★★★★★
()
Ответ на: комментарий от Anoxemian

И да, тут тоже ничего не трогай, пока не изучишь)))

ok, спасибо! :)

я пока трогать остерегусь (работает же прекрасно, для всего остального), а пойду опять в инет искать решение «NetworkManager[6838]: received UNSUPPORTED_CRITICAL_PAYLOAD error notify» :)

metawishmaster ★★★★★
() автор топика
Ответ на: комментарий от metawishmaster

Я тебе и так скажу: ты не те настройки подключения вбиваешь.

Anoxemian ★★★★★
()
Ответ на: комментарий от Anoxemian


$iptables -t mangle -A PREROUTING -p tcp -d $BEELINE_IP -m multiport --dports 23123 -j MARK --or-mark 0x12225
$iptables -t mangle -A PREROUTING -p tcp -d $PPP_IP -m multiport --dports 23123 -j MARK --or-mark 0x12225
$iptables -t mangle -A PREROUTING -p tcp -d $PPP_IP -m multiport --dports 23125 -j MARK --or-mark 0x12225
$iptables -t mangle -A PREROUTING -p tcp -d $PPP_IP -m multiport --dports 4422 -j MARK --or-mark 0x12225
$iptables -t filter -A INPUT -m mark --mark 0x10000/0x10000 -j ACCEPT
$iptables -t nat -A PREROUTING -p tcp -m mark --mark 0x12225 -j REDIRECT --to-ports 22

metawishmaster ★★★★★
() автор топика
Ответ на: комментарий от metawishmaster

не потеряешь, я ж тебе дал правила для проброса портов.

На вопрос ответил же: неправильные настройки вбиваешь. Например вместо ip 194.186.172.221 сервера вбил ip 172.29.2.1

Anoxemian ★★★★★
()
Ответ на: комментарий от Anoxemian

вот в этом блоке поменять местами 194.186.172.221 и 172.29.2.14?


$iptables -t nat -A PREROUTING -i eth1 -p udp -d 194.186.172.221 --dport 500 -j DNAT --to-destination 172.29.2.14
$iptables -t nat -A PREROUTING -i eth1 -p udp -d 194.186.172.221 --dport 4500 -j DNAT --to-destination 172.29.2.14
$iptables -A FORWARD -p udp -d 172.29.2.14 --dport 500 -j ACCEPT
$iptables -A FORWARD -p udp -d 172.29.2.14 --dport 4500 -j ACCEPT
$iptables -t nat -A POSTROUTING -p udp -s 172.29.2.14 --sport 500 -j SNAT --to-source 194.186.172.221
$iptables -t nat -A POSTROUTING -p udp -s 172.29.2.14 --sport 4500 -j SNAT --to-source 194.186.172.221


ща попробую...

metawishmaster ★★★★★
() автор топика
Ответ на: комментарий от metawishmaster

УДОЛИ эту дичь говорю ж блин. Я тебе дал все что нужно. Зачем ты все это делаешь ппц.

Anoxemian ★★★★★
()
Ответ на: комментарий от metawishmaster

$iptables -t nat -A PREROUTING -i eth1 -p udp -d 194.186.172.221 –dport 500 -j DNAT –to-destination 172.29.2.14

Тут черным по белому написано: послать трафик с хоста 172.29.2.14 обратно хосту 172.29.2.14

Т.е. ты сам себя заблокировал и долбишься как баран.

Anoxemian ★★★★★
()
Последнее исправление: Anoxemian (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
1 2
Ошибка при обработке лога. Logstash, grok
Admin
VDS, Разделение входного и исходящего трафика