Перейти к содержимому
Калькуляторы

Forward между L2TP интерфейсом и Lan средсвами firewalld.

Ответить

bike   

bike
Опубликовано · Жалоба

Добрый день.

 

Переношу L2TP-IPSEC VPN сервер доступа к сети управления с FreeBSD на Rocky 8.6, но застрял в настройке firewalld.

В xl2tp.d настроен proxyarp, если включить masquerade в зоне с локальным интерфейсом - всё колосится, но от ip самого сервера.

При выключенном masquerade заставить ходить трафик не получается, если просто погасить firewalld, трафик, как того и хочется, начинает ходить от ip PPP интерфейса.

Пробовал разные варианты настройки -

[root@vpn ~]# firewall-cmd --direct --get-all-rules
ipv4 filter FORWARD 0 -i ens192 -o ppp+ -j ACCEPT
ipv4 filter FORWARD 1 -i ppp+ -o ens192 -j ACCEPT
ipv4 filter FORWARD 2 -s 192.168.15.0/24 -d 192.168.15.0/24 -i ppp+ -o ppp+ -j ACCEPT

 

[root@vpn ~]# firewall-cmd --direct --get-all-rules
ipv4 filter FORWARD 1 -m conntrack --ctstate INVALID -j DROP
ipv4 filter FORWARD 2 -i ens192 -o ppp+ -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
ipv4 filter FORWARD 3 -i ppp+ -o ens192 -j ACCEPT
ipv4 filter FORWARD 4 -i ppp+ -o ppp+ -s 192.168.15.0/24 -d 192.168.15.0/24 -j ACCEPT
ipv4 filter FORWARD 5 -i ens192 -d 192.168.15.0/24 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
ipv4 filter FORWARD 6 -s 192.168.15.0/24 -o 192.168.15.0/24 -j ACCEPT

 

Forward глобально включен.

[root@vpn ~]# sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1

 

Не выходит каменный цветок, уже появилось желание dnf install iptables-services.

 

Подскажите куда копать?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

pppoetest   

pppoetest
Опубликовано · Жалоба
В 31.08.2022 в 23:37, bike сказал:

firewalld

Зачем Вам эта говнопрокладка?

 

В 31.08.2022 в 23:37, bike сказал:

dnf install iptables-services

Я б сделал так.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Ivan_83   

Ivan_83
Опубликовано · Жалоба
В 31.08.2022 в 17:37, bike сказал:

В xl2tp.d настроен proxyarp, если включить masquerade в зоне с локальным интерфейсом - всё колосится, но от ip самого сервера.

 

В 31.08.2022 в 17:37, bike сказал:

При выключенном masquerade заставить ходить трафик не получается, если просто погасить firewalld, трафик, как того и хочется, начинает ходить от ip PPP интерфейса.

 

Похоже вы не понимаете что делаете и что происходит.

Так не технологии не работают.

 

Для начала надо понять:

1. является ли ваш впн сервер шлюзом по умолчанию для сети управления, или хотя бы где то прописан маршрут из сети управления в пул адресов ваших впн клиентов?

2. вам нужен л2 туннель или достаточно л3?

3. вы tcpdump запускали на разных элементах/интерфейсах и смотрели что происходит или просто наугад тыкаете?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

bike   

bike
Опубликовано · Жалоба

Сам спросил, сам отвечу.

 

Логику iptables в лоб перенести в nft + FirewallD не удалось, на чистом iptables всё заработало как по маслу.

В виду наличия некоторого скрипта, который работает с FirewallD вернулся к вопросу его настройки.

Решение оказалось до банального простое, надо ppp интерфейсы положить в зону trusted.

 

firewall-cmd --permanent --zone=trusted --change-interface=ppp+

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
Подписчики 0
Перейти к списку тем Программное обеспечение, биллинг и *unix системы