LINUX.ORG.RU
ФорумAdmin

Два VPN-а на одном сервере

 , , ,


1

2

Здравствуйте друзья,

Год назад арендовал VPS на DigitalOcean-е и успешно сконфигурил там ikev2 vpn согласно инструкции с того же дигиталоушена.

До недавнего времени ничто не предвещало беды, пока наш любимый РКН не устроил тестирование блокировки VPN протоколов.

После чего я решил поставить на тот же сервер ещё и SSTP, как самый тяжелоотслеживаемый. https://github.com/sorz/sstp-server

Айпишники клиентам для ikev2 раздаются из подсети 10.10.10.0/24, а для SSTP из 192.168.20.0/24. У меня убунта и UFW. Без UFW SSTP работает. С UFW коннект устанавливается нормально, но из SSTP-шной подсети клиенты не могут выйти в eth0. В UFW добавлено правило для 443/TCP:

golovastix@Golovastik:~$ sudo ufw status
Status: active

To                         Action      From
--                         ------      ----
OpenSSH                    ALLOW       Anywhere
500,4500/udp               ALLOW       Anywhere
443/tcp                    ALLOW       Anywhere
OpenSSH (v6)               ALLOW       Anywhere (v6)
500,4500/udp (v6)          ALLOW       Anywhere (v6)
443/tcp (v6)               ALLOW       Anywhere (v6)

так же добавлено правило в файле before.rules для SSTP-шного NATa:

*nat
-A POSTROUTING -s 10.10.10.0/24 -o eth0 -m policy --pol ipsec --dir out -j ACCEPT
-A POSTROUTING -s 10.10.10.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.20.0/24 -o eth0 -j MASQUERADE
COMMIT

Тем не менее в логах UFW вижу следующее:

May 31 07:57:32 Golovastik kernel: [100349.672675] [UFW BLOCK] IN=ppp0 OUT=eth0 MAC= SRC=192.168.20.11 DST=8.8.4.4 LEN=56 TOS=0x00 PREC=0x00 TTL=127 ID=23112 PROTO=UDP SPT=65043 DPT=53 LEN=36
May 31 07:57:32 Golovastik kernel: [100349.940203] [UFW BLOCK] IN=ppp0 OUT=eth0 MAC= SRC=192.168.20.11 DST=8.8.4.4 LEN=69 TOS=0x00 PREC=0x00 TTL=127 ID=23113 PROTO=UDP SPT=56579 DPT=53 LEN=49
May 31 07:57:34 Golovastik kernel: [100351.683925] [UFW BLOCK] IN=ppp0 OUT=eth0 MAC= SRC=192.168.20.11 DST=8.8.8.8 LEN=56 TOS=0x00 PREC=0x00 TTL=127 ID=5868 PROTO=UDP SPT=65043 DPT=53 LEN=36
May 31 07:57:34 Golovastik kernel: [100351.684297] [UFW BLOCK] IN=ppp0 OUT=eth0 MAC= SRC=192.168.20.11 DST=8.8.4.4 LEN=56 TOS=0x00 PREC=0x00 TTL=127 ID=23114 PROTO=UDP SPT=65043 DPT=53 LEN=36
May 31 07:57:34 Golovastik kernel: [100351.952257] [UFW BLOCK] IN=ppp0 OUT=eth0 MAC= SRC=192.168.20.11 DST=8.8.8.8 LEN=69 TOS=0x00 PREC=0x00 TTL=127 ID=5869 PROTO=UDP SPT=56579 DPT=53 LEN=49
May 31 07:57:34 Golovastik kernel: [100351.952701] [UFW BLOCK] IN=ppp0 OUT=eth0 MAC= SRC=192.168.20.11 DST=8.8.4.4 LEN=69 TOS=0x00 PREC=0x00 TTL=127 ID=23115 PROTO=UDP SPT=56579 DPT=53 LEN=49

Т.е. не проходит с ppp0 в eth0. Подскажите что я забыл?

Подскажите по ownCloud
kubeadm init: [WARNING SystemVerification]: missing optional cgroups: blkio
Ответ на: комментарий от pinachet

Я смотрел, но там всё сложнее. К тому же в принципе то работает, просто файервол надо правильно настроить.

Golovastik
() автор топика
Ответ на: комментарий от Golovastik

там через программа gui настраивается , вроде проще некуда ?

pinachet ★★★★★
()
Ответ на: комментарий от Kolins 
*mangle
:PREROUTING ACCEPT [157:16833]
:INPUT ACCEPT [79:10004]
:FORWARD ACCEPT [78:6829]
:OUTPUT ACCEPT [71:13636]
:POSTROUTING ACCEPT [149:20465]
-A FORWARD -s 10.10.10.0/24 -o eth0 -p tcp -m policy --dir in --pol ipsec -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1361:1536 -j TCPMSS --set-mss 1360
-A FORWARD -s 10.10.10.0/24 -o eth0 -p tcp -m policy --dir in --pol ipsec -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1361:1536 -j TCPMSS --set-mss 1360
-A FORWARD -s 10.10.10.0/24 -o eth0 -p tcp -m policy --dir in --pol ipsec -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1361:1536 -j TCPMSS --set-mss 1360
-A FORWARD -s 10.10.10.0/24 -o eth0 -p tcp -m policy --dir in --pol ipsec -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1361:1536 -j TCPMSS --set-mss 1360
COMMIT
# Completed on Tue May 31 12:36:34 2022
# Generated by iptables-save v1.8.4 on Tue May 31 12:36:34 2022
*nat
:PREROUTING ACCEPT [18:796]
:INPUT ACCEPT [6:312]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 10.10.10.0/24 -o eth0 -m policy --dir out --pol ipsec -j ACCEPT
-A POSTROUTING -s 10.10.10.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.20.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.10.10.0/24 -o eth0 -m policy --dir out --pol ipsec -j ACCEPT
-A POSTROUTING -s 10.10.10.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.20.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.10.10.0/24 -o eth0 -m policy --dir out --pol ipsec -j ACCEPT
-A POSTROUTING -s 10.10.10.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.20.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.10.10.0/24 -o eth0 -m policy --dir out --pol ipsec -j ACCEPT
-A POSTROUTING -s 10.10.10.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.20.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Tue May 31 12:36:34 2022
# Generated by iptables-save v1.8.4 on Tue May 31 12:36:34 2022
*filter
:INPUT DROP [12:484]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:ufw-after-forward - [0:0]
:ufw-after-input - [0:0]
:ufw-after-logging-forward - [0:0]
:ufw-after-logging-input - [0:0]
:ufw-after-logging-output - [0:0]
:ufw-after-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-before-input - [0:0]
:ufw-before-logging-forward - [0:0]
:ufw-before-logging-input - [0:0]
:ufw-before-logging-output - [0:0]
:ufw-before-output - [0:0]
:ufw-logging-allow - [0:0]
:ufw-logging-deny - [0:0]
:ufw-not-local - [0:0]
:ufw-reject-forward - [0:0]
:ufw-reject-input - [0:0]
:ufw-reject-output - [0:0]
:ufw-skip-to-policy-forward - [0:0]
:ufw-skip-to-policy-input - [0:0]
:ufw-skip-to-policy-output - [0:0]
:ufw-track-forward - [0:0]
:ufw-track-input - [0:0]
:ufw-track-output - [0:0]
:ufw-user-forward - [0:0]
:ufw-user-input - [0:0]
:ufw-user-limit - [0:0]
:ufw-user-limit-accept - [0:0]
:ufw-user-logging-forward - [0:0]
:ufw-user-logging-input - [0:0]
:ufw-user-logging-output - [0:0]
:ufw-user-output - [0:0]
-A INPUT -j ufw-before-logging-input
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A INPUT -j ufw-after-logging-input
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input
-A FORWARD -j ufw-before-logging-forward
-A FORWARD -j ufw-before-forward
-A FORWARD -j ufw-after-forward
-A FORWARD -j ufw-after-logging-forward
-A FORWARD -j ufw-reject-forward
-A FORWARD -j ufw-track-forward
-A OUTPUT -j ufw-before-logging-output
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A OUTPUT -j ufw-after-logging-output
-A OUTPUT -j ufw-reject-output
-A OUTPUT -j ufw-track-output
-A ufw-after-input -p udp -m udp --dport 137 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 138 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 139 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 445 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 67 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 68 -j ufw-skip-to-policy-input
-A ufw-after-input -m addrtype --dst-type BROADCAST -j ufw-skip-to-policy-input
-A ufw-after-logging-forward -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-after-logging-input -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-before-forward -s 10.10.10.0/24 -m policy --dir in --pol ipsec --proto esp -j ACCEPT
-A ufw-before-forward -d 10.10.10.0/24 -m policy --dir out --pol ipsec --proto esp -j ACCEPT
-A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-forward -j ufw-user-forward
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP
-A ufw-before-input -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-input -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A ufw-before-input -j ufw-not-local
-A ufw-before-input -d 224.0.0.251/32 -p udp -m udp --dport 5353 -j ACCEPT
-A ufw-before-input -d 239.255.255.250/32 -p udp -m udp --dport 1900 -j ACCEPT
-A ufw-before-input -j ufw-user-input
-A ufw-before-output -o lo -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -j ufw-user-output
-A ufw-logging-allow -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW ALLOW] "
-A ufw-logging-deny -m conntrack --ctstate INVALID -m limit --limit 3/min --limit-burst 10 -j RETURN
-A ufw-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP
-A ufw-skip-to-policy-forward -j DROP
-A ufw-skip-to-policy-input -j DROP
-A ufw-skip-to-policy-output -j ACCEPT
-A ufw-track-output -p tcp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-track-output -p udp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 22 -m comment --comment "\'dapp_OpenSSH\'" -j ACCEPT
-A ufw-user-input -p udp -m multiport --dports 500,4500 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 443 -j ACCEPT
-A ufw-user-limit -m limit --limit 3/min -j LOG --log-prefix "[UFW LIMIT BLOCK] "
-A ufw-user-limit -j REJECT --reject-with icmp-port-unreachable
-A ufw-user-limit-accept -j ACCEPT
COMMIT
Golovastik
() автор топика
Ответ на: комментарий от Golovastik

Не вижу разрежающего правила для подсети sstp, судя по man ufw это как-то так делается:

ufw route allow out on eth0 from 192.168.20.0/24

Kolins ★★★★
()
Ответ на: комментарий от Kolins

Бинго!!!! Огромное спасибо, заработало.

Ещё вопрос. В iptables-save строки, внесённые в /etc/ufw/before.rules повторяются 4 раза. Я так понимаю это или мой косяк или косяк UFW. Можно как-нибудь ресетнуть iptables, чтобы UFW всё заново заполнил или удалить их вручную?

Golovastik
() автор топика
Ответ на: комментарий от Golovastik

Правила не очищаются перед повторным применением, вот и дублируются после каждого релоад

achilles_85
()
Ответ на: комментарий от Golovastik

забавно...тогда остановить ufw, почистить iptables и запустить ufw обратно.

ufw disable

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -F
iptables -t mangle -F
iptables -t nat -X
iptables -t mangle -X
iptables -F
iptables -X

ufw enable

Ну или просто ребутнуть виртуалку

Kolins ★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Подскажите по ownCloud
Admin
kubeadm init: [WARNING SystemVerification]: missing optional cgroups: blkio