vpn: ipsec. подключаетяся второй клиент - пропадает инет

0

1

Есть vpn сервер на ipsec (strongswan). Когда к серверу подключен 1 клиент (любой) - все работает инет раздается. Как только подключается второй - инет у первого пропадает. Подскажите где ошибка

Пакеты на сервер приходят с обоих клиентов, но сервер роутит только пакеты 1 из них. Соотвественно MASQUERADE & net.ipv4.ip_forward = 1 сделано как надо

IP выдаются разные root@p511171:/home/dotcom# ipsec leases

Leases in pool '10.10.10.2-10.10.10.10', usage: 3/9, 2 online
       10.10.10.2   online   'home'
       10.10.10.3   online   'one'
       10.10.10.4   offline   'mobile'

Содержимое ipsec.conf

config setup
     strictcrlpolicy=no
     charondebug="ike 0, knl 1, cfg 1"
     uniqueids = yes

# Add connections here.

conn %default
    compress=no
    type=tunnel
    fragmentation=no
    forceencaps=yes
    dpdaction=clear
    dpddelay=35s
    dpdtimeout=300s
    rekey=yes


    #server
    left=%any
    leftauth=pubkey
    leftid=185.105.IP.IP
    leftcert=server-cert.pem
    leftsendcert=always
    leftsubnet=0.0.0.0/0


    #clients
    right=%any
    rightid=%any
    rightauth=eap-mschapv2
    rightsourceip=10.10.10.2-10.10.10.10
    rightdns=1.1.1.1,8.8.8.8
    rightsubnet=10.10.10.0/24
    eap_identity=%identity
    ike=chacha20poly1305-sha512-curve25519-prfsha512,aes256gcm16-sha384-prfsha384-ecp384,aes256-sha1-modp1024,aes128-sha1-modp1024,3des-sha1-modp1024!
    esp=chacha20poly1305-sha512,aes256gcm16-ecp384,aes256-sha256,aes256-sha1,3des-sha1!

conn home
    keyexchange=ikev2
    auto=add

conn mobile
    rightauth=eap-mschapv2
    eap_identity=%any
    auto=add
    leftsendcert=never
    rightsendcert=never

conn one
    rightauth=eap-mschapv2
    auto=add

←	Не работает рутинг через VPN

После обновления система не видит LUKS

→

Клиенты сами не за одним NAT-ом находятся случаем? Так-то при этом NAT Traversal должен срабатывать согласно документации, но мало ли...

Pinkbyte ★★★★★
(06.12.24 21:46:46 MSK)

Ответ на: комментарий от Pinkbyte 06.12.24 21:46:46 MSK

Нет, клиенты с разных городов/провайдеров.

Тут дело именно в том что согласно tcpdump на сервер приходят пакеты с обоих клиентов, но роутит он только того клиента который подключился крайним

time
(07.12.24 09:31:53 MSK) автор топика
Последнее исправление: time 07.12.24 09:35:17 MSK (всего исправлений: 1)

Ответ на: комментарий от time 07.12.24 09:31:53 MSK

который подключился крайним

с какого края?

vasya_pupkin ★★★★★
(07.12.24 16:31:45 MSK)

Ответ на: комментарий от vasya_pupkin 07.12.24 16:31:45 MSK

который подключился крайним
с какого края?

с боку

Chord ★★★★
(07.12.24 18:14:33 MSK)

Ответ на: комментарий от Chord 07.12.24 18:14:33 MSK

с какого боку?

anonymous
(07.12.24 21:18:40 MSK)

Ответ на: комментарий от vasya_pupkin 07.12.24 16:31:45 MSK

Очевидно справа, в конфиге же все прописано

time
(07.12.24 23:38:17 MSK) автор топика

Ответ на: комментарий от time 07.12.24 23:38:17 MSK

Очевидно справа

Не очевидно. Вы с этими краями всех задрали, края как минимум два и не понятно, про какой край идёт речь. Открой для себя великий и могучий русский язык, где есть слово «последний» и будет все понятно. А то с этими краями как чуры, хрен вас поймёшь.

Lastes в английском тебя не смущает? Перевариваешь? Так вот и выражсйся нормально, а не через анус.

vasya_pupkin ★★★★★
(08.12.24 01:10:16 MSK)
Последнее исправление: vasya_pupkin 08.12.24 01:33:40 MSK (всего исправлений: 4)

Ответ на: комментарий от vasya_pupkin 08.12.24 01:10:16 MSK

Блин есть что по теме сказать? если нет встань пожалуйста с краю.

time
(08.12.24 10:20:22 MSK) автор топика
Последнее исправление: time 08.12.24 10:46:57 MSK (всего исправлений: 1)

Ответ на: комментарий от vasya_pupkin 08.12.24 01:10:16 MSK

Lastes в английском тебя не смущает

Смущает отсутствие такого слова. Это попытка написать безграмотное «lastest»? Или что?

BOOBLIK ★★★★
(10.12.24 13:40:17 MSK)

Ответ на: комментарий от BOOBLIK 10.12.24 13:40:17 MSK

Ну да.

Руки подвели меня :(

vasya_pupkin ★★★★★
(10.12.24 15:34:36 MSK)
Последнее исправление: vasya_pupkin 10.12.24 15:34:53 MSK (всего исправлений: 1)

Нашел ошибку, была в этой строчке конфига rightsubnet=10.10.10.0/24

при этом на каждое подключение выдавалось:

# ipsec status
Security Associations (2 up, 0 connecting):
      myConn[4]: ESTABLISHED 2 seconds ago, 
...
      myConn{3}:   0.0.0.0/0 === 10.10.10.0/24 (тут)
      myConn[2]: ESTABLISHED 85 seconds ago, 
...
      myConn{2}:   0.0.0.0/0 === 10.10.10.0/24 (и тут)

Поменял на rightsubnet=%dynamic тунель стал на 1 пир с маской 32

# ipsec status
Security Associations (3 up, 0 connecting):
      myConn[4]: ESTABLISHED 3 seconds ago, 
...
      myConn{3}:   0.0.0.0/0 === 10.10.10.3/32 (стало)
      myConn[2]: ESTABLISHED 54 seconds ago, 
...
      myConn{2}:   0.0.0.0/0 === 10.10.10.2/32 (стало)

time
(04.01.25 22:47:05 MSK) автор топика
Последнее исправление: time 04.01.25 22:51:29 MSK (всего исправлений: 4)

←	Не работает рутинг через VPN

Admin

После обновления система не видит LUKS

→

Похожие темы