LINUX.ORG.RU
ФорумAdmin

проблема с iptables при создании VPN-подключения

 ,


0

1

всем доброго дня!

пытаюсь настроить VPN на <host>, но коннекшин обламывается с криком «NetworkManager[6838]: received UNSUPPORTED_CRITICAL_PAYLOAD error notify» и еще сверзу есть строчка «charon: 13[IKE] KE payload missing in message» (не знаю, имеет ли это значение).

машина, с которой инициируется подключение, сидит за натом, но на серваке сделал так:

$iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
$iptables -A INPUT -p udp --dport 500 -j ACCEPT
$iptables -A INPUT -p udp --dport 4500 -j ACCEPT
$iptables -A INPUT -p esp -j ACCEPT
$iptables -A INPUT -p ah -j ACCEPT
map_port ubuntu.metanet 500 500 
map_port ubuntu.metanet 4500 4500
map_port ubuntu.metanet 1701 1701

еще пытаюсь подменить адрес, как написано тут: https://partners-intl.aliyun.com/help/en/doc-detail/65802.htm
$iptables -t nat -A POSTROUTING -s $LOCAL_NET -o eth0 -m policy --dir out --pol ipsec -j ACCEPT
$iptables -t nat -A POSTROUTING -m policy --pol ipsec --dir out -j ACCEPT
$iptables -t nat -A PREROUTING -i eth1 -p udp -d <host> --dport 500 -j DNAT --to-destination 172.29.2.14
$iptables -t nat -A PREROUTING -i eth1 -p udp -d <host> --dport 4500 -j DNAT --to-destination 172.29.2.14
$iptables -A FORWARD -p udp -d 172.29.2.14 --dport 500 -j ACCEPT
$iptables -A FORWARD -p udp -d 172.29.2.14 --dport 4500 -j ACCEPT
$iptables -t nat -A POSTROUTING -p udp -s 172.29.2.14 --sport 500 -j SNAT --to-source <host>
$iptables -t nat -A POSTROUTING -p udp -s 172.29.2.14 --sport 4500 -j SNAT --to-source <host>

но в дмесге получаю сабжевую ошибку %(

charon: 14[IKE] received UNSUPPORTED_CRITICAL_PAYLOAD error notify

подскажите, плиз, где я налажал?

★★★★★

Последнее исправление: metawishmaster (всего исправлений: 5)
Ответ на: комментарий от Anoxemian

и все-равно нет, но уже

NetworkManager[10682]: destroying IKE_SA in state CONNECTING without notification

и дмесг на blackbox'e (тот самый мой серверок) говорит

3:36:35.766993 IP 172.29.2.14.isakmp > 194.186.172.221.isakmp: isakmp: phase 1 I ident

а прежде было


23:26:53.869208 IP 172.29.2.14.isakmp > 194.186.172.221.isakmp: isakmp: phase 1 I ident
23:26:53.869292 IP 194.186.172.221.isakmp > 172.29.2.14.isakmp: isakmp: phase 1 R ident
23:26:53.875401 IP 172.29.2.14.isakmp > 194.186.172.221.isakmp: isakmp: phase 1 I ident
23:26:53.875481 IP 194.186.172.221.isakmp > 172.29.2.14.isakmp: isakmp: phase 1 R ident
23:26:53.891440 IP 172.29.2.14.isakmp > 194.186.172.221.isakmp: isakmp: phase 2/others I inf
23:26:53.891531 IP 194.186.172.221.isakmp > 172.29.2.14.isakmp: isakmp: phase 2/others R inf

metawishmaster ★★★★★
() автор топика
Последнее исправление: metawishmaster (всего исправлений: 1)
Ответ на: комментарий от metawishmaster

Понятно. Список непротиворечивых твоей конфигурации правил я дал, выполни и смотри что с ipsec происходит. Только не tcpdump гляди, а логи на сервере.

Anoxemian ★★★★★
()
Ответ на: комментарий от metawishmaster

Ну хз, сууя по тому что ты прописываешь не то, не туда, сидишь за поломанным роутером, ничего в этом не соображаешь, то нифига не понятно. Выкинь свою коробочку, цепанись напрямую и ну шатай убунту туда-сюда, если от этого штырит.

Anoxemian ★★★★★
()
Ответ на: комментарий от Anoxemian

пардоньте, роутер работает замечательно :)
кроме вот этой вот фигни

лана, завтра подумаю
доброй ночи :)

metawishmaster ★★★★★
() автор топика
Последнее исправление: metawishmaster (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.