Настройка маршрутов для IKEv2 StrongSwan - Mikrotik

[I.A.N.A.]

Доброго времени суток уважаемому сообществу. Решил создать данную тему, предлагаю в ней поучаствовать, обменяться опытом, так как назрели следующие проблемы:

1) вменяемых простых мануалов по StrongSwan + его настройке в Debian - нет. А те что есть - ну совершенно не применимы.
2) все поисковики отравлены результатами по настройке L2TP+Ipsec. Который вот вообще не нужен. Нужен именно IKEv2. 
3) каждый второй желает сумничать и отправляет читать доку. Ну правда, лучше бы промолчали если сказать по существу нечего.

Что собственно имеем. Настроенный IKEv2 сервер на mikrotik. Здесь это не обсуждается, все настроено и работает, клиенты с мобильных и виндовых подключаются без вопросов.

Устанавливаем пакет StrongSwan на Debian и все зависимости. Через NetworkManager (а не правкой конфигов!) создаем IKEv2 соединение. Включаем, все устанавливается, создается интерфейс tun0, и даже ip ему назначается от микротика.

Далее возникают вопросы.

1) как завернуть весь трафик 0.0.0.0/0 в этот самый tun0
2) почему именно tun0 а не например транспортный режим и где это настроить? Возможно ли вообще? 
3) как завернуть если не весь 0,0,0,0/0 то хотя бы определенные сети в этот tun0

[Лия]

Покажите

Код Выделить Развернуть

$ ping -c 2 -W 2 -I tun0 8.8.8.8
$ ip a
$ ip route


[I.A.N.A.]

Покажите

Пожалуйста.

Код Выделить Развернуть

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host noprefixroute
       valid_lft forever preferred_lft forever
2: enp0s25: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc fq_codel state DOWN group default qlen 1000
    link/ether 68:f7:28:42:81:da brd ff:ff:ff:ff:ff:ff
3: wlp3s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 5c:c5:d4:3e:19:76 brd ff:ff:ff:ff:ff:ff
    inet 192.168.26.194/24 brd 192.168.26.255 scope global dynamic noprefixroute wlp3s0
       valid_lft 2461sec preferred_lft 2461sec
    inet 172.16.25.26/32 scope global wlp3s0
       valid_lft forever preferred_lft forever
    inet6 2a0d:b201:f010:1549:66a:54fd:f78c:ffb6/64 scope global dynamic noprefixroute
       valid_lft 5888sec preferred_lft 5888sec
    inet6 fe80::2176:1db3:cc41:74fa/64 scope link noprefixroute
       valid_lft forever preferred_lft forever
4: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 500
    link/none
    inet 172.16.25.26/32 scope global noprefixroute tun0
       valid_lft forever preferred_lft forever
    inet6 fe80::d0dd:4707:9918:d633/64 scope link stable-privacy
       valid_lft forever preferred_lft forever



Код Выделить Развернуть

PING 8.8.8.8 (8.8.8.8) from 172.16.25.26 tun0: 56(84) bytes of data.

--- 8.8.8.8 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1031ms


Код Выделить Развернуть

default via 192.168.26.174 dev wlp3s0 proto dhcp src 192.168.26.194 metric 600
169.254.0.0/16 dev wlp3s0 scope link metric 1000
192.168.26.0/24 dev wlp3s0 proto kernel scope link src 192.168.26.194 metric 600


[Лия]

2) почему именно tun0 а не например транспортный режим и где это настроить? Возможно ли вообще? 

Можно попробовать поставить галочки Request an inner IP address и Enforce UDP encapsulation

[I.A.N.A.]

Request an inner IP address

Стоит. Без нее не получает ip адрес соединение.

Enforce UDP encapsulation

Ничего не меняется....

[Лия]

А на вкладке IPv4 что?

30 сентября 2024, 20:13:17
(покажите скрин)

[I.A.N.A.]

А на вкладке IPv4 что?

30 сентября 2024, 20:13:17
(покажите скрин)

Да там собственно все АВТО стоит. Получает ip\маску и первичный сервер ДНС. Шлюза основного нет. Вот и не соображу пока, возможно ли в этот tun0 отправить весь трафик. Насколько я понял по идеологии стронгсвана в линуксе, это не возможно но могу ошибаться.

Сейчас пингуется все то, что находится за роутером-сервером, все сети локальные. Но выйти  в интернет как клиент этого роутера не могу, нету 0.0.0.0/0 маршрута в ip адрес ike сервера.   

[dzhoser]

Покажите 

Код Выделить Развернуть

sudo traceroute debianforum.ru

[Лия]

нету 0.0.0.0/0 маршрута в ip адрес ike сервера.   

Так добавьте его

Код Выделить Развернуть

sudo ip route add default via АДРЕС_IKE_СЕРВЕРА dev tun0


[I.A.N.A.]

Покажите 

Все трассировки идут через основной шлюз домашнего интернета, 192.168.1.1 который. Через ИКЕв2 в мир ничего не идет.

sudo ip route add default via АДРЕС_IKE_СЕРВЕРА dev tun0

Не получается,  Error: Nexthop has invalid gateway.

[Лия]

Не получается,  Error: Nexthop has invalid gateway.

Какой адрес IKE сервера вы указали?

[I.A.N.A.]

Какой адрес IKE сервера вы указали?

Конечно же адрес самого IKE сервера. И он собственно говоря даже пингуется после установления IKE соединения. Но завернуть через него весь трафик не получилось(

[Лия]

Конечно же адрес самого IKE сервера.

А он в подсети 172.16.25.?

[I.A.N.A.]

А он в подсети 172.16.25.?

Конечно. Ike server  172.16.25.1  а мне на клиента выдает  из этой же сети /24  например 172.16.25.30

[Лия]

Конечно. Ike server  172.16.25.1  а мне на клиента выдает  из этой же сети /24  например 172.16.5.30

Попробуйте так:

Код Выделить Развернуть

sudo ip route add 172.16.25.1 dev tun0
sudo ip route add default via 172.16.25.1