Я пытаюсь настроить IPSEC / XL2TPD VPN для нашего офиса, и у меня возникли проблемы с доступом к удаленным локальным машинам после подключения к VPN.
Я могу подключиться и просматривать интернет-сайты через VPN, но, как уже говорилось, я не могу подключиться или даже пропинговать местные.
Моя настройка сети выглядит примерно так:
ИНТЕРНЕТ> eth0> МАРШРУТИЗАТОР / VPN> eth2> LAN
Вот несколько маршрутов трассировки за VPN:
traceroute to google.com (173.194.78.94), 64 hops max, 52 byte packets
1 192.168.1.80 (192.168.1.80) 74.738 ms 71.476 ms 70.123 ms
2 10.35.192.1 (10.35.192.1) 77.832 ms 77.578 ms 77.865 ms
3 10.47.243.137 (10.47.243.137) 78.837 ms 85.409 ms 76.032 ms
4 10.47.242.129 (10.47.242.129) 78.069 ms 80.054 ms 77.778 ms
5 10.254.4.2 (10.254.4.2) 86.174 ms
10.254.4.6 (10.254.4.6) 85.687 ms
10.254.4.2 (10.254.4.2) 85.664 ms
traceroute to 192.168.1.3 (192.168.1.3), 64 hops max, 52 byte packets
1 * * *
2 *traceroute: sendto: No route to host
traceroute: wrote 192.168.1.3 52 chars, ret=-1
*traceroute: sendto: Host is down
traceroute: wrote 192.168.1.3 52 chars, ret=-1
*
traceroute: sendto: Host is down
3 traceroute: wrote 192.168.1.3 52 chars, ret=-1
*traceroute: sendto: Host is down
traceroute: wrote 192.168.1.3 52 chars, ret=-1
Это мои правила iptables:
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
# allow lan to router traffic
iptables -A INPUT -s 192.168.1.0/24 -i eth2 -j ACCEPT
# ssh
iptables -A INPUT -p tcp --dport ssh -j ACCEPT
# vpn
iptables -A INPUT -p 50 -j ACCEPT
iptables -A INPUT -p ah -j ACCEPT
iptables -A INPUT -p udp --dport 500 -j ACCEPT
iptables -A INPUT -p udp --dport 4500 -j ACCEPT
iptables -A INPUT -p udp --dport 1701 -j ACCEPT
# dns
iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -p udp --dport 53 -j ACCEPT
iptables -t nat -A POSTROUTING -j MASQUERADE
# logging
iptables -I INPUT 5 -m limit --limit 1/min -j LOG --log-prefix "iptables denied: " --log-level 7
# block all other traffic
iptables -A INPUT -j DROP
И вот несколько строк журнала брандмауэра:
Dec 6 11:11:57 router kernel: [8725820.003323] iptables denied: IN=ppp0 OUT= MAC= SRC=192.168.1.81 DST=192.168.1.3 LEN=60 TOS=0x00 PREC=0x00 TTL=255 ID=62174 PROTO=UDP SPT=61910 DPT=53 LEN=40
Dec 6 11:12:29 router kernel: [8725852.035826] iptables denied: IN=ppp0 OUT= MAC= SRC=192.168.1.81 DST=224.0.0.1 LEN=44 TOS=0x00 PREC=0x00 TTL=1 ID=15344 PROTO=UDP SPT=56329 DPT=8612 LEN=24
Dec 6 11:12:36 router kernel: [8725859.121606] iptables denied: IN=ppp0 OUT= MAC= SRC=192.168.1.81 DST=224.0.0.1 LEN=44 TOS=0x00 PREC=0x00 TTL=1 ID=11767 PROTO=UDP SPT=63962 DPT=8612 LEN=24
Dec 6 11:12:44 router kernel: [8725866.203656] iptables denied: IN=ppp0 OUT= MAC= SRC=192.168.1.81 DST=224.0.0.1 LEN=44 TOS=0x00 PREC=0x00 TTL=1 ID=11679 PROTO=UDP SPT=57101 DPT=8612 LEN=24
Dec 6 11:12:51 router kernel: [8725873.285979] iptables denied: IN=ppp0 OUT= MAC= SRC=192.168.1.81 DST=224.0.0.1 LEN=44 TOS=0x00 PREC=0x00 TTL=1 ID=39165 PROTO=UDP SPT=62625 DPT=8612 LEN=24
Я почти уверен, что проблема должна быть связана с iptables, но, попробовав много разных конфет, я не смог найти нужный.
Любая помощь будет принята с благодарностью;). С уважением, Саймон.
РЕДАКТИРОВАТЬ:
Это моя таблица маршрутов:
default 62.43.193.33.st 0.0.0.0 UG 100 0 0 eth0
62.43.193.32 * 255.255.255.224 U 0 0 0 eth0
192.168.1.0 * 255.255.255.0 U 0 0 0 eth2
192.168.1.81 * 255.255.255.255 UH 0 0 0 ppp0
Умм, частичный ответ может быть таким: iptables -A OUTPUT -p tcp --dport dns -j ACCEPT
... утверждения, похожие на "-A INPUT" в вашем описании
Хорошо, я должен был сначала это понять: вы используете NAT, поэтому ...
iptables -A FORWARD -i eth1 -o ppp0 -j ACCEPT
iptables -A FORWARD -o eth1 -i ppp0 -j ACCEPT
sysctl -w net.ipv4.ip_forward = 1
iptables -A FORWARD -i ppp0 -o eth1 -p tcp --dport 80 -d x.x.x.x -j ПРИНЯТЬ
iptables -A ВПЕРЕД -i ppp0 -o eth1 -p tcp --dport 53 -d гг.г.г -j ПРИНЯТЬ
iptables -t filter -P FORWARD DROP
Скорее всего, у вас точно такая же проблема, как у этого Почта
Ваша ситуация следующая:
VPN-клиент может подключиться к VPN-серверу и туннелировать через VPN в Интернет, но не может подключиться к локальной сети сервера или к другим IP-адресам VPN-клиентов.
Туннелирование в Интернет работает, потому что у вас есть правило NAT iptables. В остальном нужно применить следующие НА ВПН СЕРВЕРЕ:
Включить пересылку TCP / IP
Стек TCP / IP Linux по умолчанию не пересылает пакеты (ни между интерфейсами, ни перенаправляя их между IP-сетью). Это должно быть включено
echo 1 > /proc/sys/net/ipv4/ip_forward
Без этого VPN-сервер будет принимать пакет VPN-клиента локально и маршрутизировать клиентский пакет в соответствии с правилом NAT, но не будет направлять трафик в локальную сеть.
Iptables
Iptables по умолчанию блокирует весь трафик. Вам нужны правила, разрешающие прохождение трафика (пересылку).
$IPTABLES -A FORWARD -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT
PS: Каждое соединение vpn представляет собой индивидуальный (виртуальный) интерфейс (nic), чтобы пакет мог передаваться / маршрутизироваться между ними, вам необходимо ВПЕРЕД в iptables.
/etc/l2tpd.conf
Когда vpn-клиент должен общаться друг с другом, vpn-сервер действует как точка маршрутизации и должен находиться в одной сети.
local ip 192.168.1.1
ip range 192.168.1.2 - 192.168.1.254
Измените вышеуказанное в соответствии с настройками вашей сети. Если ваш VPN-сервер имеет IP-адрес 192.168.1.x, используйте его в качестве «локального IP-адреса».
Измененный скрипт Iptables
Будьте очень осторожны, если у вас нет физического доступа к vpn-серверу.
(Этот скрипт потребует анти-спуфинга в интерфейсе WAN, но позволяет сосредоточиться на получении трафика с vpn на 1-й LAN.)
# Reset/Flush iptables
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
# Enable IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
# NAT
# -- iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
#
# Updated NAT rule
# External interface = eth0
# External IP = 123.123.123.123
# Internal LAN = 192.168.1.0/24
# To support dynamic interface : "-j SNAT" replace "-j MASQUERADE"
# NO NAT if destination is LAN
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 ! -d 192.168.1.0/24 -j SNAT --to-source 123.123.123.123
# New(1) - lo
# -- iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i lo -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o lo -m state --state NEW -j ACCEPT
# -- iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
# New(2) Allow inter-192.168.1.x routing
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -s 192.168.1.0/24 -m state --state NEW -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -m state --state NEW -j ACCEPT
# -- allow lan to router traffic - Shadowed by New(2)
# -- This rule maybe your source of trouble too, it only accept 192.168.1.x from eth2
# -- iptables -A INPUT -s 192.168.1.0/24 -i eth2 -j ACCEPT
# ssh
iptables -A INPUT -p tcp --dport ssh -j ACCEPT
# vpn
iptables -A INPUT -p 50 -j ACCEPT
iptables -A INPUT -p ah -j ACCEPT
iptables -A INPUT -p udp --dport 500 -j ACCEPT
iptables -A INPUT -p udp --dport 4500 -j ACCEPT
iptables -A INPUT -p udp --dport 1701 -j ACCEPT
# dns - Shadowed by New(2)
# -- iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 53 -j ACCEPT
# -- iptables -A INPUT -s 192.168.1.0/24 -p udp --dport 53 -j ACCEPT
# logging
iptables -I INPUT 5 -m limit --limit 1/min -j LOG --log-prefix "iptables denied: " --log-level 7
# block all other traffic
iptables -A INPUT -j DROP