bike Posted August 31, 2022 · Report post Добрый день. Переношу L2TP-IPSEC VPN сервер доступа к сети управления с FreeBSD на Rocky 8.6, но застрял в настройке firewalld. В xl2tp.d настроен proxyarp, если включить masquerade в зоне с локальным интерфейсом - всё колосится, но от ip самого сервера. При выключенном masquerade заставить ходить трафик не получается, если просто погасить firewalld, трафик, как того и хочется, начинает ходить от ip PPP интерфейса. Пробовал разные варианты настройки - [root@vpn ~]# firewall-cmd --direct --get-all-rules ipv4 filter FORWARD 0 -i ens192 -o ppp+ -j ACCEPT ipv4 filter FORWARD 1 -i ppp+ -o ens192 -j ACCEPT ipv4 filter FORWARD 2 -s 192.168.15.0/24 -d 192.168.15.0/24 -i ppp+ -o ppp+ -j ACCEPT [root@vpn ~]# firewall-cmd --direct --get-all-rules ipv4 filter FORWARD 1 -m conntrack --ctstate INVALID -j DROP ipv4 filter FORWARD 2 -i ens192 -o ppp+ -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT ipv4 filter FORWARD 3 -i ppp+ -o ens192 -j ACCEPT ipv4 filter FORWARD 4 -i ppp+ -o ppp+ -s 192.168.15.0/24 -d 192.168.15.0/24 -j ACCEPT ipv4 filter FORWARD 5 -i ens192 -d 192.168.15.0/24 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT ipv4 filter FORWARD 6 -s 192.168.15.0/24 -o 192.168.15.0/24 -j ACCEPT Forward глобально включен. [root@vpn ~]# sysctl net.ipv4.ip_forward net.ipv4.ip_forward = 1 Не выходит каменный цветок, уже появилось желание dnf install iptables-services. Подскажите куда копать? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pppoetest Posted August 31, 2022 · Report post В 31.08.2022 в 23:37, bike сказал: firewalld Зачем Вам эта говнопрокладка? В 31.08.2022 в 23:37, bike сказал: dnf install iptables-services Я б сделал так. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted August 31, 2022 · Report post В 31.08.2022 в 17:37, bike сказал: В xl2tp.d настроен proxyarp, если включить masquerade в зоне с локальным интерфейсом - всё колосится, но от ip самого сервера. В 31.08.2022 в 17:37, bike сказал: При выключенном masquerade заставить ходить трафик не получается, если просто погасить firewalld, трафик, как того и хочется, начинает ходить от ip PPP интерфейса. Похоже вы не понимаете что делаете и что происходит. Так не технологии не работают. Для начала надо понять: 1. является ли ваш впн сервер шлюзом по умолчанию для сети управления, или хотя бы где то прописан маршрут из сети управления в пул адресов ваших впн клиентов? 2. вам нужен л2 туннель или достаточно л3? 3. вы tcpdump запускали на разных элементах/интерфейсах и смотрели что происходит или просто наугад тыкаете? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
bike Posted September 6, 2022 · Report post Сам спросил, сам отвечу. Логику iptables в лоб перенести в nft + FirewallD не удалось, на чистом iptables всё заработало как по маслу. В виду наличия некоторого скрипта, который работает с FirewallD вернулся к вопросу его настройки. Решение оказалось до банального простое, надо ppp интерфейсы положить в зону trusted. firewall-cmd --permanent --zone=trusted --change-interface=ppp+ Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...