Puncte:0

StrongSwan - Trafic NAT VPN Pool (după decriptare) la aceeași IP ca și Terminarea VPN

drapel ml
Red

Am avut probleme pentru a face NAT (a traficului VPN Pool după decriptare) prin aceeași interfață pe care VPN-ul a terminat-o. Orice idee cum să realizez acest post IPSEC NAT.

              Pool NAT 10.10.10.0/24
              |
   [ Server VPN Strong Swan ] Eth1 (IP public) ----------Internet----------- Site la distanță (10.10.10.1)

Odată ce site-ul la distanță se conectează și generează date bazate pe TCPDUMP, pot vedea 10.10.10.1 ieșind din Eth1, dar când aplic următoarele reguli NAT... nu funcționează.

tcpdump: ieșirea verbosă a fost suprimată, utilizați -v sau -vv pentru decodarea completă a protocolului
ascultare pe enp7s0f1, tip link EN10MB (Ethernet), dimensiunea capturii 262144 octeți
12:39:10.344051 IP 10.10.10.1.37438 > 1.1.1.1.80: steaguri [S], seq 2217548787, win 65535, opțiuni [mss 1360,sackOK,TS val 20098310, TS val 20098310, 2009098787]
12:39:10.344073 IP 10.10.10.1.37438 > 1.1.1.1.80: Steaguri [S], seq 2217548787, win 65535, opțiuni [mss 1360,sackOK,TS val 20098310, TS val 2009090310, lungime 200909031]
12:39:10.350632 IP 10.10.10.1.37440 > 1.1.1.1.80: steaguri [S], secv 3855195472, win 65535, opțiuni [mss 1360,sackOK,TS val 2009831, 2009095472]
12:39:10.350653 IP 10.10.10.1.37440 > 1.1.1.1.80: Flags [S], seq 3855195472, win 65535, options 

iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -o eth1 -m policy --dir out --pol ipsec -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -o eth1 -j MASQUERADE

Configurare server VPN:

  configurare
        charondebug="ike 1, knl 1, cfg 0"
        uniceids=da
    
    conn ikev2-vpn
        auto=adăugați
        compresa=nu
        tip=tunel
  

  keyexchange=ikev2
    fragmentare=da
    forcecaps=da
    dpdaction=clear
    dpddelay=300s
    rekey=nu
    stânga=%oricare
    [email protected]
    leftcert=server-cert.pem
    leftsendcert=intotdeauna
    leftsubnet=0.0.0.0/0
    dreapta=%oricare
    rightid=%orice
    rightauth=eap-mschapv2
    rightsourceip=10.10.10.0/24
    rightdns=8.8.8.8
    rightsendcert=niciodată
    eap_identity=%identitate
    ike=chacha20poly1305-sha512-curve25519-prfsha512,aes256gcm16-sha384-prfsha384-ecp384,aes256-sha1-modp1024,aes128-sha1-modp10214-modpdes1-sha1024-3!
    esp=chacha20poly1305-sha512,aes256gcm16-ecp384,aes256-sha256,aes256-sha1,3des-sha1!

Tabelul NAT

VPN-Server@localhost:~$ sudo iptables -t nat -L -v
PRERUUTARE în lanț (politica ACCEPTĂ 180 de pachete, 48445 de octeți)
 pkts bytes target prot opt ​​in out source destination

INTRARE în lanț (politica ACCEPT 0 pachete, 0 octeți)
 pkts bytes target prot opt ​​in out source destination

IEȘIRE în lanț (politica ACCEPTĂ 76 de pachete, 6166 de octeți)
 pkts bytes target prot opt ​​in out source destination

POSTROUTING în lanț (politica ACCEPTĂ 76 de pachete, 6166 de octeți)
 pkts bytes target prot opt ​​in out source destination
  294 28462 LIBVIRT_PRT all -- oriunde oriunde oriunde
    0 0 MASQUERADE toate -- orice orice 10.193.135.0/24 !10.193.135.0/24 /* generat pentru rețeaua Multipass mpqemubr0 */
    0 0 MASQUERADE udp -- orice orice 10.193.135.0/24 !10.193.135.0/24 /* generat pentru rețeaua Multipass mpqemubr0 */ porturi masq: 1024-65535
    0 0 MASQUERADE tcp -- orice orice 10.193.135.0/24 !10.193.135.0/24 /* generat pentru rețeaua Multipass mpqemubr0 */ porturi masq: 1024-65535
    0 0 RETURN all -- any any 10.193.135.0/24 255.255.255.255 /* generat pentru rețeaua Multipass mpqemubr0 */
    0 0 RETURN all -- any any 10.193.135.0/24 base-address.mcast.net/24 ​​/* generat pentru rețeaua Multipass mpqemubr0 */
    0 0 MASQUERADE toate -- orice Eth1 172.17.0.0/24 oriunde
   91 12895 MASQUERADE toate -- orice Eth1 10.10.10.0/24 oriunde
    0 0 ACCEPT toate -- orice Eth1 10.10.10.0/24 oriunde potrivire politică dir out pol ipsec

Lanț LIBVIRT_PRT (1 referințe)
 pkts bytes target prot opt ​​in out source destination
    1 40 RETURN all -- any any 192.168.122.0/24 base-address.mcast.net/24
    0 0 RETURN all -- any any 192.168.122.0/24 255.255.255.255
    0 0 MASQUERADE tcp -- orice orice 192.168.122.0/24 !192.168.122.0/24 porturi masq: 1024-65535
    0 0 MASQUERADE udp -- orice orice 192.168.122.0/24 !192.168.122.0/24 porturi masq: 1024-65535
    0 0 MASQUERADE toate -- oricare orice 192.168.122.0/24 !192.168.122.0/24

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.