VPN-шлюз на nftables

Как-то так, наверное. Только Helper и порты на свои поменять.

Ну и таблица не inet, а raw. Да.

Делал по этому примеру. Не работает

Сейчас не Debian под руками. А там же не транслятор уже стоит и даже если применять правила iptables, то они всё равно транслируются в nft?

Тогда достаточно сделать nft list ruleset, после того, как команда iptables применена, и получить полный дамп, как это писать в nft

К сожалению, и этот вариант не работает. В последствии этот дамп не проглатывается и nftables не стартует при перезагрузке сервера.

Если пнуть nft вручную, он, в принципе, должен показать место ошибки.

Достаточно вызвать /etc/nftables.conf (это shell с правилами на самом деле), он должен или применить правила или показать, что ему не нравится.

Если уже из сессии применит корректно, то у меня есть подозрение, что где-то там находится iif или oif которые для динамических интерфейсов на момент загрузки отсутствуют (потому что это индексы, которые быстрей в сравнениях, но на момент загрузки nft отсутствуют, и поэтому nft не загружает ruleset с ошибкой). Их надо заменить на iifname/oifname.

форвардинг не забыл включить?

Включен, конечно. Все правила, кроме VPN, работают.

А тот факт, что без результата этой команды

-t raw -A PREROUTING -p tcp –dport 1723 -j CT –helper pptp

/etc/nftables.conf отрабатывает нормально, не имеет значения в данном случае?

pptp - насколько я понял, интерфейс динамический. nft загружается, и, соответственно, грузит правила еще ДО того, как их начал поднимать NetworkManager (или что там их в debian поднимает).

Соестественно, на момент запуска, nft ничего не знает о конкретном интерфейсе и не загружает правила, потому что в правилах описано что-то ему неизвестное, но требующее реакции уже сейчас. Из того, что я натыкался, это как правило, iif / oif.

Потом правила уже применяются, потому что интерфейс уже поднят и nftables о нём знает.

А что за правило-то nftables генерирует-то? На момент загрузки ошибку можно посмотреть в логе сервиса nftables.service, кстати говоря. nft, так-то, достаточно информативный в этом плане.

В правилах используются конструкции исключительно iifname/oifname. При попытки скормить дамп, nft ругается, что синтаксическая ошибка в конструкции в таблице raw. Эта конструкция как раз и были в ведена командой

-t raw -A PREROUTING -p tcp –dport 1723 -j CT –helper pptp

Ну, то есть, хотя эта команда приводит к нужному результату, но дамп правил nft потом не съедается nftables

table raw {
        ct helper pptp-gre {
                type "pptp" protocol tcp;
        }

        chain prerouting { 
                type filter hook prerouting priority -100;
                tcp dport 1723 ct helper set "pptp-gre"
        }
}

Так работает?

Да, спасибо большое. Это сработало. А могу ли уточнить, почему приоритет -100? Ведь для raw, насколько я помню, читал, -300. Я это же делал, но приоритет -300 втыкал.

Ну да, всё правильно, надо -300. Я по памяти в обед наваял, вышибло этот момент из памяти.

Ну, в общем, как раз -300 и не работает, а 100 в самый раз. Спасибо.

Значит что-то ранее по тракту обломало это правило и увеличение приоритета проблему решило. В принципе, если всё работает и ничего не ломается и проблема решена, то почему-бы и нет.

Так работает?

и мне помогло, спасибо!

tcpdump-ом понял, что виртуалка не может gre для подключения по pptp, полез смотреть как пролезать через NAT на nft

помогло )