Ошибка в ipsec, в чем может быть проблема?

Александр Карабанов
Удалил все правила и получилось это.
Routed Connections:
inteltek2{1}: ROUTED, TUNNEL
inteltek2{1}: 10.8.8.1/32 === 172.29.106.0/24
Security Associations (1 up, 0 connecting):
inteltek2[1]: CONNECTING, 10.8.8.1[%any]...213.74.193.76[%any]
То есть any -> any любой из любых.
Добавил наше правило и все равно не работает.

Если просто так вводить какие-то команды, то ничего не заработает.

Александр Карабанов
Почему просто? Я очистил все правила и заново все ввел, сделал форвардинг двух сетей разрешил порты. сделал нат маскуарад и ваше правило добавил.

Покажи sudo iptables -S и покажи sudo iptables -t nat -S

Александр Карабанов
root@Debian-84-jessie-64-LAMP ~ # iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A INPUT -s 172.29.106.0/24 -d 10.8.8.1/32 -i eth0 -m policy --dir in --pol ipsec --reqid 1 --proto esp -j ACCEPT
-A INPUT -p udp -m udp --dport 500 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 4500 -j ACCEPT
-A INPUT -p udp -m udp --dport 4500 -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A FORWARD -o eth0 -j ACCEPT
-A FORWARD -s 10.8.8.1/32 -d 172.29.106.0/24
-A FORWARD -s 172.29.106.0/23 -d 10.8.8.1/32
-A FORWARD -s 172.29.106.0/24 -d 10.8.8.1/32
-A OUTPUT -s 10.8.8.1/32 -d 172.29.106.0/24 -o eth0 -m policy --dir out --pol ipsec --reqid 1 --proto esp -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
****
****
root@Debian-84-jessie-64-LAMP ~ # iptables -t nat -S
-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -d 172.29.106.0/32 -j RETURN

Так как все политики по умолчанию ACCEPT все нижеследующие правила не имеют смысла, можете их стереть, ничего не поменяется.

-A POSTROUTING -d 172.29.106.0/32 -j RETURN Это правило должно быть раньше маскарадинга иначе оно не имеет смысла

Покажете вывод команд:
ip a
ip l
ip r

Александр Карабанов
root@Debian-84-jessie-64-LAMP ~ # ip a
1: lo: mtu 65536 qdisc noqueue state UNKNOWN group default
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: mtu 1500 qdisc mq state UP group default qlen 1000
link/ether 30:5a:3a:75:59:b0 brd ff:ff:ff:ff:ff:ff
inet 148.251.66.76/27 brd 148.251.66.95 scope global eth0
valid_lft forever preferred_lft forever
inet 10.8.8.1/32 scope global eth0
valid_lft forever preferred_lft forever
inet6 2a01:4f8:202:304b::2/64 scope global
valid_lft forever preferred_lft forever
inet6 fe80::325a:3aff:fe75:59b0/64 scope link
valid_lft forever preferred_lft forever
3: eth1: mtu 1500 qdisc noop state DOWN group default qlen 1000
link/ether 30:5a:3a:75:59:b1 brd ff:ff:ff:ff:ff:ff

root@Debian-84-jessie-64-LAMP ~ # ip l
1: lo: mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: eth0: mtu 1500 qdisc mq state UP mode DEFAULT group default qlen 1000
link/ether 30:5a:3a:75:59:b0 brd ff:ff:ff:ff:ff:ff
3: eth1: mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000
link/ether 30:5a:3a:75:59:b1 brd ff:ff:ff:ff:ff:ff

root@Debian-84-jessie-64-LAMP ~ # ip r
default via 148.251.66.65 dev eth0
148.251.66.64/27 via 148.251.66.65 dev eth0
148.251.66.64/27 dev eth0 proto kernel scope link src 148.251.66.76
root@Debian-84-jessie-64-LAMP ~ #

Александр Карабанов
Сначала ввел команду с return а потом с маскардингом, все равно ретурн 2-й.

Теперь те же команды, но с другой стороны туннеля

И да, так не будет работать CONNECTING, 10.8.8.1[%any]...213.74.193.76[%any]
Должно быть так CONNECTING, 148.251.66.76[%any]...213.74.193.76[%any]

Александр Карабанов
значит ошибка наверно в конфигурационном файле ipsec.?

И какой смысл смотреть на конфиг какого-то другого сервера если он не относиться к данному туннелю совсем?

Чувак, ты хочешь странного...

Александр Карабанов
Относится, он тоже соединяется этим же тунелем.

Александр Карабанов
inteltek[67]: ESTABLISHED 35 minutes ago, 192.168.1.238[93.184.231.114]...213.74.193.76[213.74.193.76]
inteltek{1}: INSTALLED, TUNNEL, ESP in UDP SPIs: c987b251_i 8d8bfecd_o
inteltek{1}: 10.7.7.0/24 === 172.29.106.0/24

И оно работает. Сначала указан локальный потом выделенный.

10.8.8.1/32 === 172.29.106.0/24

10.7.7.0/24 === 172.29.106.0/24

Почему на одном сервере префикс /32, а на другом /24. Сделай и на этом /24

И покажи:
ip a
ip l
ip r
С того сервера на котором всё работает.

Александр Карабанов
root@vpnServer:~# ip a
1: lo: mtu 65536 qdisc noqueue state UNKNOWN group default
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 14:da:e9:98:06:1e brd ff:ff:ff:ff:ff:ff
inet 192.168.1.238/24 brd 192.168.1.255 scope global eth0
valid_lft forever preferred_lft forever
inet6 fe80::16da:e9ff:fe98:61e/64 scope link
valid_lft forever preferred_lft forever

root@vpnServer:~# ip l
1: lo: mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: eth0: mtu 1500 qdisc pfifo_fast state UP mode DEFAULT group default qlen 1000
link/ether 14:da:e9:98:06:1e brd ff:ff:ff:ff:ff:ff

root@vpnServer:~# ip r
default via 192.168.1.1 dev eth0 proto static metric 1024
192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.238

Александр Карабанов
Если я ставлю в конфигурационном файле 24 маску и на интерфейсе то коннект не устанавливается.

Этот IP 10.8.8.1/32 там вообще не нужен.
Тебе надо поднимать туннель от 148.251.66.76 до 213.74.193.76 точно так же как ты на работающем сервере поднимаешь туннель от 93.184.231.114 до 213.74.193.76

Александр Карабанов
В теории понятно, что с одной сети в другую и обратно.
Вот ipsec.conf
Я менял ip на внешние но кеннекта не было...
conn inteltek2
# left=
left=10.8.8.1
leftsubnet=10.8.8.1/32
leftfirewall=yes
# leftauth=psk
leftid=148.251.66.76
right=213.74.193.76
# rightauth=psk
rightsubnet=172.29.106.0/24
rightid=213.74.193.76
auto=route
ike=3des-sha1-modp1024!
esp=3des-sha1!
keyexchange=ikev1
dpdaction=restart
dpddelay=10s
forceencaps=yes
type=tunnel
# rekey=no
margintime=5m

А теперь покажи ipsec.conf с того сервера на котором всё работает и удивись увиденному.

Александр Карабанов
Не удивился ни капельки.
conn inteltek
# left=93.184.231.114
left=192.168.1.238
leftsubnet=10.7.7.0/24 #192.168.1.0/24
# leftfirewall=yes
leftauth=psk
leftid=93.184.231.114
# leftid=RA
# leftauth2=pubkey
right=213.74.193.76
rightauth=psk
rightsubnet=172.29.106.0/24
# rightid=213.74.193.76
auto=route
ike=3des-sha1-modp1024!
esp=3des-sha1!
keyexchange=ikev1
dpdaction=restart
dpddelay=10s
forceencaps=yes
type=tunnel
# authby=psk #depricated
# xauth_identity=cisco
# aggressive = no
# fragmentation = yes
# rekey=no
margintime=5m

Александр Карабанов
На сервер где маска /32, потому что он находится в датацентре.
А на втором /24 потому что он локально в офисе одном.

Александр Карабанов
Ну изменили мы с обоих сторон на /24 маску коннект появился но ситуация такая же.

Если на интерфейсе работающего сервера прописан IP 192.168.1.238/24 и только он, то откуда в конфиге взялся 93.184.231.114?

"у изменили мы с обоих сторон на /24 маску коннект появился но ситуация такая же."
В этом IP с любым префиксом нет смысла, ведь за этим сервером нет локальной сети.

Александр Карабанов
добавил роутинг до сети и все заработало. ...

И как в итоге выглядит таблица маршрутизации? Покажи ip r

Александр Карабанов
default via 148.251.66.65 dev eth0
10.8.8.0/24 via 148.251.66.76 dev eth0
148.251.66.64/27 via 148.251.66.65 dev eth0
148.251.66.64/27 dev eth0 proto kernel scope link src 148.251.66.76

Karmashkin
Это сервер на Хетзнере и это его роуты
root@Debian-84-jessie-64-LAMP ~ # ip route
default via 148.251.66.65 dev eth0
148.251.66.64/27 via 148.251.66.65 dev eth0
148.251.66.64/27 dev eth0 proto kernel scope link src 148.251.66.76

И где маршрут в сеть 172.х.х.х?

Александр Карабанов
А почему не из 10 в 172? так как 172 на удаленной машине а 10.Х.Х.Х на локальной.
ip route add 172.X.X.X via 10.X.X.X так?

Александр Карабанов
вот что есть в /etc/network/interfaces
up ip addr add 10.8.8.1/32 dev eth0