Jump to content
Калькуляторы

Forward между L2TP интерфейсом и Lan средсвами firewalld.

Добрый день.

 

Переношу L2TP-IPSEC VPN сервер доступа к сети управления с FreeBSD на Rocky 8.6, но застрял в настройке firewalld.

В xl2tp.d настроен proxyarp, если включить masquerade в зоне с локальным интерфейсом - всё колосится, но от ip самого сервера.

При выключенном masquerade заставить ходить трафик не получается, если просто погасить firewalld, трафик, как того и хочется, начинает ходить от ip PPP интерфейса.

Пробовал разные варианты настройки -

[root@vpn ~]# firewall-cmd --direct --get-all-rules
ipv4 filter FORWARD 0 -i ens192 -o ppp+ -j ACCEPT
ipv4 filter FORWARD 1 -i ppp+ -o ens192 -j ACCEPT
ipv4 filter FORWARD 2 -s 192.168.15.0/24 -d 192.168.15.0/24 -i ppp+ -o ppp+ -j ACCEPT

 

[root@vpn ~]# firewall-cmd --direct --get-all-rules
ipv4 filter FORWARD 1 -m conntrack --ctstate INVALID -j DROP
ipv4 filter FORWARD 2 -i ens192 -o ppp+ -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
ipv4 filter FORWARD 3 -i ppp+ -o ens192 -j ACCEPT
ipv4 filter FORWARD 4 -i ppp+ -o ppp+ -s 192.168.15.0/24 -d 192.168.15.0/24 -j ACCEPT
ipv4 filter FORWARD 5 -i ens192 -d 192.168.15.0/24 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
ipv4 filter FORWARD 6 -s 192.168.15.0/24 -o 192.168.15.0/24 -j ACCEPT

 

Forward глобально включен.

[root@vpn ~]# sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1

 

Не выходит каменный цветок, уже появилось желание dnf install iptables-services.

 

Подскажите куда копать?

Share this post


Link to post
Share on other sites

В 31.08.2022 в 23:37, bike сказал:

firewalld

Зачем Вам эта говнопрокладка?

 

В 31.08.2022 в 23:37, bike сказал:

dnf install iptables-services

Я б сделал так.

Share this post


Link to post
Share on other sites

В 31.08.2022 в 17:37, bike сказал:

В xl2tp.d настроен proxyarp, если включить masquerade в зоне с локальным интерфейсом - всё колосится, но от ip самого сервера.

 

В 31.08.2022 в 17:37, bike сказал:

При выключенном masquerade заставить ходить трафик не получается, если просто погасить firewalld, трафик, как того и хочется, начинает ходить от ip PPP интерфейса.

 

Похоже вы не понимаете что делаете и что происходит.

Так не технологии не работают.

 

Для начала надо понять:

1. является ли ваш впн сервер шлюзом по умолчанию для сети управления, или хотя бы где то прописан маршрут из сети управления в пул адресов ваших впн клиентов?

2. вам нужен л2 туннель или достаточно л3?

3. вы tcpdump запускали на разных элементах/интерфейсах и смотрели что происходит или просто наугад тыкаете?

Share this post


Link to post
Share on other sites

Сам спросил, сам отвечу.

 

Логику iptables в лоб перенести в nft + FirewallD не удалось, на чистом iptables всё заработало как по маслу.

В виду наличия некоторого скрипта, который работает с FirewallD вернулся к вопросу его настройки.

Решение оказалось до банального простое, надо ppp интерфейсы положить в зону trusted.

 

firewall-cmd --permanent --zone=trusted --change-interface=ppp+

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.