@Lelouch

Почему не работает VPN настроенный по стандартной и проверенной инструкции в Яндекс.Облаке?

Здравствуйте.

У меня возникла необходимость поднять свой VPN в России на пару месяцев. Поскольку Яндекс сейчас как раз раздаёт двухмесячный доступ к своему облаку решил использовать его.

Поднял StrongSwan на CentOS 7. И он у меня не заработал. Я не силен в администрировании, поэтому нашел инструкцию, по которой уже настраивал сервер на DigitalOcean себе. Повторил все в точности по шагам. Но он почему-то снова не заработал. Подключение проходит нормально, но трафик не бегает, сайты не открываются, ping и traceroute не проходят. Сертификат от Lets's Encrypt.

ipsec.conf
#global configuration IPsec
#chron logger
config setup
    charondebug="ike 1, knl 1, cfg 0"
    uniqueids=no

#define new ipsec connection
conn hakase-vpn
    auto=add
    compress=no
    type=tunnel
    keyexchange=ikev2
    ike=aes128-sha1-modp1024,aes128-sha1-modp1536,aes128-sha1-modp2048,aes128-sha256-ecp256,aes128-sha256-modp1024,aes128-sha256-modp1536,aes128-sha256-modp2048,aes256-aes128-sha256-sha1-modp2048-modp4096-modp1024,aes256-sha1-modp1024,aes256-sha256-modp1024,aes256-sha256-modp1536,aes256-sha256-modp2048,aes256-sha256-modp4096,aes256-sha384-ecp384,aes256-sha384-modp1024,aes256-sha384-modp1536,aes256-sha384-modp2048,aes256-sha384-modp4096,aes256gcm16-aes256gcm12-aes128gcm16-aes128gcm12-sha256-sha1-modp2048-modp4096-modp1024,3des-sha1-modp1024!
    esp=aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes128-sha1,aes128-sha1-modp1024,aes128-sha1-modp1536,aes128-sha1-modp2048,aes128-sha256,aes128-sha256-ecp256,aes128-sha256-modp1024,aes128-sha256-modp1536,aes128-sha256-modp2048,aes128gcm12-aes128gcm16-aes256gcm12-aes256gcm16-modp2048-modp4096-modp1024,aes128gcm16,aes128gcm16-ecp256,aes256-sha1,aes256-sha256,aes256-sha256-modp1024,aes256-sha256-modp1536,aes256-sha256-modp2048,aes256-sha256-modp4096,aes256-sha384,aes256-sha384-ecp384,aes256-sha384-modp1024,aes256-sha384-modp1536,aes256-sha384-modp2048,aes256-sha384-modp4096,aes256gcm16,aes256gcm16-ecp384,3des-sha1!
    fragmentation=yes
    forceencaps=yes
    dpdaction=clear
    dpddelay=300s
    rekey=no
    left=%any
    leftid=@тут_мой_домен
    leftcert=fullchain.pem
    leftsendcert=always
    leftsubnet=0.0.0.0/0
    right=%any
    rightid=%any
    rightauth=eap-mschapv2
    rightsourceip=10.15.1.0/24
    rightdns=1.1.1.1,8.8.8.8
    rightsendcert=never
    eap_identity=%identity


ipsec.secrets
: RSA "privkey.pem"
user : EAP "password"


# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0
  sources: 
  services: ssh dhcpv6-client http https ipsec
  ports: 500/udp 4500/udp
  protocols: 
  masquerade: yes
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
	rule protocol value="esp" accept
	rule protocol value="ah" accept


# sysctl -p
net.ipv4.ip_forward = 1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0


Подозреваю что проблема в настройках сети. Видимо у Яндекса что то хитро там. Ведь виртуальная машина там получается создается в виртуальной сети. А я в сетях полный ноль. Буду благодарен за помощь.
  • Вопрос задан
  • 145 просмотров
Пригласить эксперта
Ответы на вопрос 2
@solalex
Ответ - спросить у техподдержки Яндекс.Облако
Ответ написан
CityCat4
@CityCat4
Кошки не похожи на людей, кошки - это кошки!
VPN в России

Это шутка, ха-ха? Не исключено, что порт 500 просто забанили на НГ, во избежание такскзать...

Если не понимаете, что делаете - не беритесь за аутентификацию по сертификатам. Используйте PSK. На сайте швана документации вагон и маленькая тележка
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
МОБИ.Деньги Санкт-Петербург
от 130 000 руб.
Т-Платформы Москва
от 120 000 до 250 000 руб.
IQ Oрtiоn Software Санкт-Петербург
от 150 000 руб.
19 марта 2019, в 10:33
20000 руб./за проект
19 марта 2019, в 10:19
500 руб./за проект