Доброго времени суток уважаемому сообществу. Решил создать данную тему, предлагаю в ней поучаствовать, обменяться опытом, так как назрели следующие проблемы:
1) вменяемых простых мануалов по StrongSwan + его настройке в Debian - нет. А те что есть - ну совершенно не применимы.
2) все поисковики отравлены результатами по настройке L2TP+Ipsec. Который вот вообще не нужен. Нужен именно IKEv2.
3) каждый второй желает сумничать и отправляет читать доку. Ну правда, лучше бы промолчали если сказать по существу нечего.
Что собственно имеем. Настроенный IKEv2 сервер на mikrotik. Здесь это не обсуждается, все настроено и работает, клиенты с мобильных и виндовых подключаются без вопросов.
Устанавливаем пакет StrongSwan на Debian и все зависимости. Через NetworkManager (а не правкой конфигов!) создаем IKEv2 соединение. Включаем, все устанавливается, создается интерфейс tun0, и даже ip ему назначается от микротика.
Далее возникают вопросы.
1) как завернуть весь трафик 0.0.0.0/0 в этот самый tun0
2) почему именно tun0 а не например транспортный режим и где это настроить? Возможно ли вообще?
3) как завернуть если не весь 0,0,0,0/0 то хотя бы определенные сети в этот tun0
Покажите
$ ping -c 2 -W 2 -I tun0 8.8.8.8
$ ip a
$ ip route
Цитата: Лия от 29 сентября 2024, 13:25:45Покажите
Пожалуйста.
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host noprefixroute
valid_lft forever preferred_lft forever
2: enp0s25: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc fq_codel state DOWN group default qlen 1000
link/ether 68:f7:28:42:81:da brd ff:ff:ff:ff:ff:ff
3: wlp3s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether 5c:c5:d4:3e:19:76 brd ff:ff:ff:ff:ff:ff
inet 192.168.26.194/24 brd 192.168.26.255 scope global dynamic noprefixroute wlp3s0
valid_lft 2461sec preferred_lft 2461sec
inet 172.16.25.26/32 scope global wlp3s0
valid_lft forever preferred_lft forever
inet6 2a0d:b201:f010:1549:66a:54fd:f78c:ffb6/64 scope global dynamic noprefixroute
valid_lft 5888sec preferred_lft 5888sec
inet6 fe80::2176:1db3:cc41:74fa/64 scope link noprefixroute
valid_lft forever preferred_lft forever
4: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 500
link/none
inet 172.16.25.26/32 scope global noprefixroute tun0
valid_lft forever preferred_lft forever
inet6 fe80::d0dd:4707:9918:d633/64 scope link stable-privacy
valid_lft forever preferred_lft forever
PING 8.8.8.8 (8.8.8.8) from 172.16.25.26 tun0: 56(84) bytes of data.
--- 8.8.8.8 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1031ms
default via 192.168.26.174 dev wlp3s0 proto dhcp src 192.168.26.194 metric 600
169.254.0.0/16 dev wlp3s0 scope link metric 1000
192.168.26.0/24 dev wlp3s0 proto kernel scope link src 192.168.26.194 metric 600
Цитата: I.A.N.A. от 29 сентября 2024, 11:07:312) почему именно tun0 а не например транспортный режим и где это настроить? Возможно ли вообще?
Можно попробовать поставить галочки
Request an inner IP address и
Enforce UDP encapsulation
Цитата: Лия от 30 сентября 2024, 19:04:21Request an inner IP address
Стоит. Без нее не получает ip адрес соединение.
Цитата: Лия от 30 сентября 2024, 19:04:21Enforce UDP encapsulation
Ничего не меняется....
А на вкладке IPv4 что?
30 сентября 2024, 20:13:17
(покажите скрин)
Цитата: Лия от 30 сентября 2024, 20:13:08А на вкладке IPv4 что?
30 сентября 2024, 20:13:17
(покажите скрин)
Да там собственно все АВТО стоит. Получает ip\маску и первичный сервер ДНС. Шлюза основного нет. Вот и не соображу пока, возможно ли в этот tun0 отправить весь трафик. Насколько я понял по идеологии стронгсвана в линуксе, это не возможно но могу ошибаться.
Сейчас пингуется все то, что находится за роутером-сервером, все сети локальные. Но выйти в интернет как клиент этого роутера не могу, нету 0.0.0.0/0 маршрута в ip адрес ike сервера.
Покажите sudo traceroute debianforum.ru
Цитата: I.A.N.A. от 01 октября 2024, 17:38:06нету 0.0.0.0/0 маршрута в ip адрес ike сервера.
Так добавьте его :)
sudo ip route add default via АДРЕС_IKE_СЕРВЕРА dev tun0
Цитата: dzhoser от 01 октября 2024, 18:10:03Покажите
Все трассировки идут через основной шлюз домашнего интернета, 192.168.1.1 который. Через ИКЕв2 в мир ничего не идет.
Цитата: Лия от 02 октября 2024, 01:03:46sudo ip route add default via АДРЕС_IKE_СЕРВЕРА dev tun0
Не получается, Error: Nexthop has invalid gateway.
Цитата: I.A.N.A. от 03 октября 2024, 17:23:20Не получается, Error: Nexthop has invalid gateway.
Какой адрес IKE сервера вы указали?
Цитата: Лия от 04 октября 2024, 17:55:16Какой адрес IKE сервера вы указали?
Конечно же адрес самого IKE сервера. И он собственно говоря даже пингуется после установления IKE соединения. Но завернуть через него весь трафик не получилось(
Цитата: I.A.N.A. от 07 октября 2024, 06:52:36Конечно же адрес самого IKE сервера.
А он в подсети
172.16.25.?
Цитата: Лия от 08 октября 2024, 04:26:41А он в подсети 172.16.25.?
Конечно. Ike server 172.16.25.1 а мне на клиента выдает из этой же сети /24 например 172.16.25.30
Цитата: I.A.N.A. от 08 октября 2024, 07:59:55Конечно. Ike server 172.16.25.1 а мне на клиента выдает из этой же сети /24 например 172.16.5.30
Попробуйте так:
sudo ip route add 172.16.25.1 dev tun0
sudo ip route add default via 172.16.25.1
Цитата: Лия от 08 октября 2024, 19:43:56Попробуйте так:
Попробовал. Роут добавился. Но поведение какое то весьма странное теперь. Во первых в списке маршрутов этого роута нету, во вторых при подключении сперва пошел весь трафик в указанный шлюз, а после перезагрузки вообще не идет никуда при подключении ИКЕ. Куда посмотреть можно еще?
Цитата: I.A.N.A. от 09 октября 2024, 07:57:17а после перезагрузки вообще не идет никуда при подключении ИКЕ
После перезагрузки надо заново выполнять эти команды
Цитата: Лия от 09 октября 2024, 18:57:24После перезагрузки надо заново выполнять эти команды
Раз такое дело, как их выполнять при появлении интерфейса tun0 автоматически? а не руками в терминале
Цитата: I.A.N.A. от 10 октября 2024, 06:05:41Раз такое дело, как их выполнять при появлении интерфейса tun0 автоматически? а не руками в терминале
Создать в
/etc/NetworkManager/dispatcher.d файл
tun-route-add со следующим содержимым:
#!/usr/bin/sh
interface="$1"
event="$2"
if [ "${interface}" = "tun0" ]; then
if [ "${event}" = "up" ] || [ "${event}" = "vpn-up" ]; then
logger "tun0 is up, adding routes"
ip route add 172.16.25.1 dev tun0
ip route add default via 172.16.25.1
fi
fi
и выполнить
sudo chmod 755 /etc/NetworkManager/dispatcher.d/tun-route-add
Цитата: Лия от 10 октября 2024, 06:57:56Создать в /etc/NetworkManager/dispatcher.d файл tun-route-add со следующим содержимым:
Все таки не совсем понимаю эти странности. Поставил систему на чистой виртуалке, добавил руками маршрут, теперь при подключении весь трафик уходит в ике, но в таблице роутов не видно этого роута. Как его теперь к примеру отключить?
Цитата: I.A.N.A. от 14 октября 2024, 11:21:28Как его теперь к примеру отключить?
sudo ip route del default via 172.16.25.1
sudo ip route del 172.16.25.1 dev tun0
Цитата: Лия от 14 октября 2024, 13:40:54sudo ip route del default via 172.16.25.1
Вроде бы все работает без удаления\отключения. Спасибо!