Am avut probleme pentru a face NAT (a traficului VPN Pool după decriptare) prin aceeași interfață pe care VPN-ul a terminat-o. Orice idee cum să realizez acest post IPSEC NAT.
Pool NAT 10.10.10.0/24
|
[ Server VPN Strong Swan ] Eth1 (IP public) ----------Internet----------- Site la distanță (10.10.10.1)
Odată ce site-ul la distanță se conectează și generează date bazate pe TCPDUMP, pot vedea 10.10.10.1 ieșind din Eth1, dar când aplic următoarele reguli NAT... nu funcționează.
tcpdump: ieșirea verbosă a fost suprimată, utilizați -v sau -vv pentru decodarea completă a protocolului
ascultare pe enp7s0f1, tip link EN10MB (Ethernet), dimensiunea capturii 262144 octeți
12:39:10.344051 IP 10.10.10.1.37438 > 1.1.1.1.80: steaguri [S], seq 2217548787, win 65535, opțiuni [mss 1360,sackOK,TS val 20098310, TS val 20098310, 2009098787]
12:39:10.344073 IP 10.10.10.1.37438 > 1.1.1.1.80: Steaguri [S], seq 2217548787, win 65535, opțiuni [mss 1360,sackOK,TS val 20098310, TS val 2009090310, lungime 200909031]
12:39:10.350632 IP 10.10.10.1.37440 > 1.1.1.1.80: steaguri [S], secv 3855195472, win 65535, opțiuni [mss 1360,sackOK,TS val 2009831, 2009095472]
12:39:10.350653 IP 10.10.10.1.37440 > 1.1.1.1.80: Flags [S], seq 3855195472, win 65535, options
iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -o eth1 -m policy --dir out --pol ipsec -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -o eth1 -j MASQUERADE
Configurare server VPN:
configurare
charondebug="ike 1, knl 1, cfg 0"
uniceids=da
conn ikev2-vpn
auto=adăugați
compresa=nu
tip=tunel
keyexchange=ikev2
fragmentare=da
forcecaps=da
dpdaction=clear
dpddelay=300s
rekey=nu
stânga=%oricare
[email protected]
leftcert=server-cert.pem
leftsendcert=intotdeauna
leftsubnet=0.0.0.0/0
dreapta=%oricare
rightid=%orice
rightauth=eap-mschapv2
rightsourceip=10.10.10.0/24
rightdns=8.8.8.8
rightsendcert=niciodată
eap_identity=%identitate
ike=chacha20poly1305-sha512-curve25519-prfsha512,aes256gcm16-sha384-prfsha384-ecp384,aes256-sha1-modp1024,aes128-sha1-modp10214-modpdes1-sha1024-3!
esp=chacha20poly1305-sha512,aes256gcm16-ecp384,aes256-sha256,aes256-sha1,3des-sha1!
Tabelul NAT
VPN-Server@localhost:~$ sudo iptables -t nat -L -v
PRERUUTARE în lanț (politica ACCEPTĂ 180 de pachete, 48445 de octeți)
pkts bytes target prot opt in out source destination
INTRARE în lanț (politica ACCEPT 0 pachete, 0 octeți)
pkts bytes target prot opt in out source destination
IEȘIRE în lanț (politica ACCEPTĂ 76 de pachete, 6166 de octeți)
pkts bytes target prot opt in out source destination
POSTROUTING în lanț (politica ACCEPTĂ 76 de pachete, 6166 de octeți)
pkts bytes target prot opt in out source destination
294 28462 LIBVIRT_PRT all -- oriunde oriunde oriunde
0 0 MASQUERADE toate -- orice orice 10.193.135.0/24 !10.193.135.0/24 /* generat pentru rețeaua Multipass mpqemubr0 */
0 0 MASQUERADE udp -- orice orice 10.193.135.0/24 !10.193.135.0/24 /* generat pentru rețeaua Multipass mpqemubr0 */ porturi masq: 1024-65535
0 0 MASQUERADE tcp -- orice orice 10.193.135.0/24 !10.193.135.0/24 /* generat pentru rețeaua Multipass mpqemubr0 */ porturi masq: 1024-65535
0 0 RETURN all -- any any 10.193.135.0/24 255.255.255.255 /* generat pentru rețeaua Multipass mpqemubr0 */
0 0 RETURN all -- any any 10.193.135.0/24 base-address.mcast.net/24 /* generat pentru rețeaua Multipass mpqemubr0 */
0 0 MASQUERADE toate -- orice Eth1 172.17.0.0/24 oriunde
91 12895 MASQUERADE toate -- orice Eth1 10.10.10.0/24 oriunde
0 0 ACCEPT toate -- orice Eth1 10.10.10.0/24 oriunde potrivire politică dir out pol ipsec
Lanț LIBVIRT_PRT (1 referințe)
pkts bytes target prot opt in out source destination
1 40 RETURN all -- any any 192.168.122.0/24 base-address.mcast.net/24
0 0 RETURN all -- any any 192.168.122.0/24 255.255.255.255
0 0 MASQUERADE tcp -- orice orice 192.168.122.0/24 !192.168.122.0/24 porturi masq: 1024-65535
0 0 MASQUERADE udp -- orice orice 192.168.122.0/24 !192.168.122.0/24 porturi masq: 1024-65535
0 0 MASQUERADE toate -- oricare orice 192.168.122.0/24 !192.168.122.0/24