Сап, ЛОР. Возникла проблема, решения которой не понимаю как найти
конфиг
config setup
charondebug="ike 1, knl 1, cfg 0"
uniqueids=no
conn ikev2-vpn
auto=add
compress=no
type=tunnel
keyexchange=ikev2
fragmentation=yes
forceencaps=yes
dpdaction=clear
ike=aes256-sha1-modp1024
esp=aes256-sha256
dpddelay=300s
rekey=no
left=$SERVER_IP
leftid=$SERVER_IP
leftsubnet=0.0.0.0/0
right=%any
rightid=%any
rightsourceip=10.10.0.0/24
rightdns=8.8.8.8,8.8.4.4
conn IOS-vpn
also="ikev2-vpn"
leftauth=psk
rightauth=psk
rightsendcert=never
conn Win-vpn
also="ikev2-vpn"
leftcert=server-cert.pem
leftsendcert=always
rightauth=eap-mschapv2
rightsendcert=never
eap_identity=%identity
В ufw/before.rules
*nat
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 10.8.0.0/8 -o eth0 -j MASQUERADE
#IPSEC STRONGSWAN
-A POSTROUTING -s 10.10.0.0/24 -o eth0 -m policy --pol ipsec --dir out -j ACCEPT
-A POSTROUTING -s 10.10.0.0/24 -o eth0 -j MASQUERADE
COMMIT
*mangle
-A FORWARD --match policy --pol ipsec --dir in -s 10.10.0.0/24 -o eth0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1361:1536 -j TCPMSS --set-mss 1360
COMMIT
-A ufw-before-forward --match policy --pol ipsec --dir in --proto esp -s 10.10.0.0/24 -j ACCEPT
-A ufw-before-forward --match policy --pol ipsec --dir out --proto esp -d 10.10.0.0/24 -j ACCEPT
В sysctl.conf выставлено следующее
net.ipv4.ip_forward=1
Устройства подключаются нормально, получают адреса из пула 10.10.0.0/24.
Но они не могут друг друга пинговать. То есть 10.10.0.1 не видит 10.10.0.2. При этом оба в интернет ходят норм.
Джентльмены, прошу помощи.
