Добрый день, коллеги. Настраиваю сервер с двумя интерфейсами, белый и серый адрес. На нем установлен vpn клиент, который соединяется с vpn сервером, настроил свой сервер для раздачи интернета через vpn тунель.

(Firewalld) Настройка выполняется для двух сетевых интерфейсов — ens224 (внутренний) и tun0 (тунель):

firewall-cmd --direct --permanent --add-rule ipv4 nat POSTROUTING 0 -o tun0 -j MASQUERADE
firewall-cmd --direct --permanent --add-rule ipv4 filter FORWARD 0 -i ens224 -o tun0 -j ACCEPT
firewall-cmd --direct --permanent --add-rule ipv4 filter FORWARD 0 -i tun0 -o ens224 -m state --state RELATED,ESTABLISHED -j ACCEPT

В подсети с интерфейсом ens224 (10.102.0.0/24) есть виртуальная Cisco CSR-1000v, на ней я настроил route-map для доступа к серверу с других подсетей:

conf t
ip access-list extended LIST_VPN
permit ip 0.0.0.0 255.255.255.255 188.114.98.0 0.0.0.255
permit ip 0.0.0.0 255.255.255.255 188.114.99.0 0.0.0.255
end

conf t
route-map NAT-VPN permit 10
match ip address LIST_VPN
set ip next-hop 10.102.0.3
end

conf t
interface GigabitEthernet2
ip policy route-map NAT-VPN
end

Где 10.102.0.3 адрес сервера с ВПН клиентом, GigabitEthernet2 - внутренний интерфейс CSR-1000v для подсети 10.102.0.0/24 и на тунельный интерфейс тоже повесил:

interface Tunnel100
 description -=GRE-IPSEC_TO_COD=-
 ip address 172.20.2.1 255.255.255.252
 ip tcp adjust-mss 1350
 ip ospf message-digest-key 1 md5 7 000000000000
 ip ospf mtu-ignore
 ip ospf cost 120
 ip policy route-map NAT-VPN
 tunnel source GigabitEthernet1
 tunnel mode ipsec ipv4
 tunnel destination 000.000.000.000
 tunnel protection ipsec profile CODCSR-IPsecProfile

Из подсети 10.102.0.0/24 трафик ходит согласно описанному route-map и все нормально, а если из других подсетей подключенных через interface Tunnel100 traceroute доходит до сервера 10.102.0.3, я вижу в iftop что ответ на пинг отправляется но к клиенту он не попадает хотя с самого сервера все подсети пингуются нормально.

Подскажите может я не дописал какие то правила для Firewalld на сервере или не правильно настроил CSR-1000v ?

Всем привет. Есть за бугром сервер StrongSwan, через наземных операторов связи все подключается нормально, как только на Android я отключаю WiFi и оставляю только мобильные данные, подключение не происходит.

Это с мобильного интернета:

Sep 18 22:33:00 14[CFG] checking certificate status of «CN=95.0.0.16»

Sep 18 22:33:00 14[CFG] certificate status is not available Sep 18 22:33:00 14[IKE] authentication of ‘95.0.0.16’ with RSA_EMSA_PKCS1_SHA2_384 successful

Sep 18 22:33:00 14[IKE] server requested EAP_IDENTITY (id 0x00), sending ‘nsa’

Sep 18 22:33:00 14[ENC] generating IKE_AUTH request 2 [ EAP/RES/ID ]

Sep 18 22:33:00 14[NET] sending packet: from 10.225.169.240[34620] to 95.0.0.16[4500] (69 bytes)

Sep 18 22:33:02 08[IKE] retransmit 1 of request with message ID 2

Sep 18 22:33:02 08[NET] sending packet: from 10.225.169.240[34620] to 95.0.0.16[4500] (69 bytes)

Sep 18 22:33:05 07[IKE] retransmit 2 of request with message ID 2

Sep 18 22:33:05 07[NET] sending packet: from 10.225.169.240[34620] to 95.0.0.16[4500] (69 bytes)

Sep 18 22:33:09 10[IKE] retransmit 3 of request with message ID 2

Sep 18 22:33:09 10[NET] sending packet: from 10.225.169.240[34620] to 95.0.0.16[4500] (69 bytes)

Sep 18 22:33:15 09[IKE] giving up after 3 retransmits

Sep 18 22:33:15 09[IKE] establishing IKE_SA failed, peer not responding

Sep 18 22:33:15 09[IKE] unable to terminate IKE_SA: ID 1 not found

Это с проводного:

Sep 18 22:38:45 11[CFG] checking certificate status of «CN=95.0.0.16»

Sep 18 22:38:45 11[CFG] certificate status is not available

Sep 18 22:38:45 11[IKE] authentication of ‘95.0.0.16’ with RSA_EMSA_PKCS1_SHA2_384 successful

Sep 18 22:38:45 11[IKE] server requested EAP_IDENTITY (id 0x00), sending ‘nsa’

Sep 18 22:38:45 11[ENC] generating IKE_AUTH request 2 [ EAP/RES/ID ]

Sep 18 22:38:45 11[NET] sending packet: from 10.70.40.100[59779] to 95.0.0.16[4500] (69 bytes)

Sep 18 22:38:45 12[NET] received packet: from 95.0.0.16[4500] to 10.70.40.100[59779] (97 bytes)

Sep 18 22:38:45 12[ENC] parsed IKE_AUTH response 2 [ EAP/REQ/MSCHAPV2 ]

Sep 18 22:38:45 12[IKE] server requested EAP_MSCHAPV2 authentication (id 0xE3)

Sep 18 22:38:45 12[ENC] generating IKE_AUTH request 3 [ EAP/RES/MSCHAPV2 ]

Sep 18 22:38:45 12[NET] sending packet: from 10.70.40.100[59779] to 95.0.0.16[4500] (123 bytes)

Sep 18 22:38:45 14[NET] received packet: from 95.0.0.16[4500] to 10.70.40.100[59779] (134 bytes)

Sep 18 22:38:45 14[ENC] parsed IKE_AUTH response 3 [ EAP/REQ/MSCHAPV2 ]

Sep 18 22:38:45 14[IKE] EAP-MS-CHAPv2 succeeded: ‘Welcome2strongSwan’

Sep 18 22:38:45 14[ENC] generating IKE_AUTH request 4 [ EAP/RES/MSCHAPV2 ]

Sep 18 22:38:45 14[NET] sending packet: from 10.70.40.100[59779] to 95.0.0.16[4500] (67 bytes)

Sep 18 22:38:45 15[NET] received packet: from 95.0.0.16[4500] to 10.70.40.100[59779] (65 bytes)

Sep 18 22:38:45 15[ENC] parsed IKE_AUTH response 4 [ EAP/SUCC ]

Sep 18 22:38:45 15[IKE] EAP method EAP_MSCHAPV2 succeeded, MSK established

Sep 18 22:38:45 15[IKE] authentication of ‘nsa’ (myself) with EAP … Ну и далее до Sep 18 22:38:46 06[CFG] selected proposal: ESP:CHACHA20_POLY1305/NO_EXT_SEQ

Sep 18 22:38:46 06[IKE] CHILD_SA android{3} established with SPIs 0d34183a_i c358eefb_o and TS 100.64.100.1/32 === 0.0.0.0/0

Sep 18 22:38:46 06[DMN] setting up TUN device for CHILD_SA android{3}

Sep 18 22:38:46 06[DMN] successfully created TUN device

Направьте куда копать !!!