Туннель поднять, но трафик не идет через него (Lite 3)

[Кирилл Кулаков]

Всем привет!

Хочу на своем kinetic lite 3 (2.15.C.0-1) (сервер) реализовать туннель до домашней сети для клиентов.

С горем по полам заставил туннель подниматься, но в нем ничего не пингуется, и в списке сетей на Ubuntu (клиент) новых интерфейсов не появляется.

С телефона подключаюсь через VPN IPsec, а вот с компа через VPN L2TP/IPsec нет. ХЗ какой из них лучше использовать под эти задачи.

Конфигурация keenetic

keyingtries = 1
        margintime = 20s
        rekeyfuzz = 100%
        lifebytes = 21474836480
        closeaction = none
        leftupdown = /tmp/ipsec/charon.left.updown
        rightupdown = /tmp/ipsec/charon.right.updown
        ike = 3des-sha1-modp1024,3des-sha1-modp768,3des-sha1-ecp384,3des-sha1-ecp256,3des-sha1-modp2048,3des-md5-modp1024,3des-md5-modp768,3des-md5-ecp384,3des-md5-ecp256,3des-md5-modp2048,des-sha1-modp1024,des-sha1-modp768,des-sha1-ecp384,des-sha1-ecp256,des-sha1-modp2048,des-md5-modp1024,des-md5-modp768,des-md5-ecp384,des-md5-ecp256,des-md5-modp2048,aes128-sha1-modp1024,aes128-sha1-modp768,aes128-sha1-ecp384,aes128-sha1-ecp256,aes128-sha1-modp2048,aes128-md5-modp1024,aes128-md5-modp768,aes128-md5-ecp384,aes128-md5-ecp256,aes128-md5-modp2048,aes256-sha1-modp1024,aes256-sha1-modp768,aes256-sha1-ecp384,aes256-sha1-ecp256,aes256-sha1-modp2048,aes256-md5-modp1024,aes256-md5-modp768,aes256-md5-ecp384,aes256-md5-ecp256,aes256-md5-modp2048!
        ikelifetime = 28800s
        keyexchange = ikev1
        esp = aes128-sha1,aes128-md5,3des-sha1,3des-md5,des-sha1,des-md5!
        lifetime = 28800s
        dpdaction = clear
        dpddelay = 20s
        dpdtimeout = 80s
        leftid = 0.0.0.0
        leftauth = psk
        rightid = %any
        rightauth = psk
        type = transport
        left = %any
        right = %any
        leftsubnet = 0.0.0.0/0[17/1701-1701]
        rightsubnet = 0.0.0.0/0[17]
        auto = add
        rekey = yes
        forceencaps = no
        no_reauth_passive = yes

Стандартная - ничего не менял, просто указал PSK ключ и указал использовать подсеть 172.16.3.33 на 4 клиента.

Конфиг клиента Ubuntu StrongSwan

ipsec.conf

# basic configuration
config setup
 # strictcrlpolicy=yes
 # uniqueids = no
 # Add connections here.
 # Sample VPN connections


conn myvpn
 ike=aes256-md5-modp2048!
 esp=aes128-sha1!
 keyexchange=ikev1
 left=%any
 auto=add
 authby=psk
 type=transport
 leftprotoport=17/1701
 rightprotoport=17/1701
 right=ip_do_keentic
 rightid=%any
 leftid=172.16.3.34
 leftauth=psk
 rightauth=psk
 leftsubnet = 0.0.0.0/0
 rightsubnet = 0.0.0.0/0

sudo ipsec status

Security Associations (1 up, 0 connecting):
       myvpn[2]: ESTABLISHED 80 minutes ago, 192.168.1.62[172.16.3.34]...ip.do.keenetic[ip.do.keenetic]
       myvpn{4}:  INSTALLED, TRANSPORT, reqid 2, ESP in UDP SPIs: c943176b_i c906143f0f_o
       myvpn{4}:   192.168.1.62/32[udp/l2f] === ip.do.keenetic/32[udp/l2f]

Туннель видимо создается, но как внутрь его трафик заворачивать ХЗ.

Секреты тоже все настроены.

options.l2tpd.client

ipcp-accept-local
 ipcp-accept-remote
 refuse-eap
 require-mschap-v2
 noccp
 noauth
 #idle 1800
 mtu 1460
 mru 1460
 #defaultroute
 usepeerdns
 lock
 persist
 maxfail 10
 holdoff 15 #интервал между подключениями
 connect-delay 5000
 name My_user
 password my_password

 

[Werld]

У вас ubuntu  - это сервер за которым сеть и вы хотите эту сеть связать с сетью за keenetic, или это одиночный ПК, по сценарию roadwarrior? Если первое, то лучше использовать чистый ipsec в туннельном режиме, трафик до нужных сетей заворачивается политиками. Если у вас второй вариант и это просто одиночный пк, то наверняка же на нем есть какой-нибудь из  desktop environment'ов, в котором через network-meneger l2tp/ipsec клиент запускается в несколько кликов мышью, зачем пытаться это строить из терминала? Конкретно в вашем случае, судя по всему, строится ipsec но l2tp не поднимается, раз не появляется соответствующего интерфейса.

Если по какой-то причине нужно строить из терминала, то я бы предпочел тогда использовать VPN-сервер IPsec (Virtual IP) на кинетике. В таком случае на ubuntu не понадобится дополнительный демон для l2tp, достаточно будет одного strongswan. Можно воспользоваться примерами из официальной wiki по strongswan. Конкретно вам для варианта ipsec сервера c virtual ip и XAUTH аутентификацией подходит вот этот пример: https://www.strongswan.org/testing/testresults5dr/ikev1-stroke/xauth-id-psk-config/  Можно в нем подглядеть конфиги для клиента.

[Кирилл Кулаков]

7 hours ago, werldmgn said:

У вас ubuntu  - это сервер за которым сеть и вы хотите эту сеть связать с сетью за keenetic, или это одиночный ПК, по сценарию roadwarrior? Если первое, то лучше использовать чистый ipsec в туннельном режиме, трафик до нужных сетей заворачивается политиками. Если у вас второй вариант и это просто одиночный пк, то наверняка же на нем есть какой-нибудь из  desktop environment'ов, в котором через network-meneger l2tp/ipsec клиент запускается в несколько кликов мышью, зачем пытаться это строить из терминала? Конкретно в вашем случае, судя по всему, строится ipsec но l2tp не поднимается, раз не появляется соответствующего интерфейса.

Если по какой-то причине нужно строить из терминала, то я бы предпочел тогда использовать VPN-сервер IPsec (Virtual IP) на кинетике. В таком случае на ubuntu не понадобится дополнительный демон для l2tp, достаточно будет одного strongswan. Можно воспользоваться примерами из официальной wiki по strongswan. Конкретно вам для варианта ipsec сервера c virtual ip и XAUTH аутентификацией подходит вот этот пример: https://www.strongswan.org/testing/testresults5dr/ikev1-stroke/xauth-id-psk-config/  Можно в нем подглядеть конфиги для клиента.

Ого, спасибо больше за развернутый ответ)

У меня вариант где keenetic это сервер и за ним домашняя есть. А Ubuntu это desktop.

Нет острой необходимости делать все через консоль, просто настройка через network-manager падала и не давала информации почему. Даже сейчас когда я разобрался как через консоль сделать тоннель, через gui не подключается. 

Пишет: скрин приложил

А за ссылочки отдельное спасибо, по изучаю.

[Кирилл Кулаков]

Спасибо большое! Примеры по ссылке помогли настроить. l2tp/ipsec не стал использовать и все заработало!))