IKE2 strongSwan

Тема в разделе "Общий форум", создана пользователем mmaerov, 11 янв 2021.

  1. mmaerov

    mmaerov Новый участник

    Добрый день, настроил ipsec ike2, по статейке, на клиенте, андроиде, strongSwan. Подключаюсь к серверу с использованием сертификатов, соединение устанавливается, адрес из локалки выдаю. Внутренние ресурсы недоступны. Конфиг сервера:

    ```
    /ip ipsec mode-config
    add address-pool=pool_vpn_local name=IKEv2 static-dns=10.20.88.250 \
    system-dns=no
    /ip ipsec policy group
    add name=IKEv2
    /ip ipsec profile
    add name=IKEv2
    /ip ipsec peer
    add exchange-mode=ike2 name=IKEv2 passive=yes profile=IKEv2
    /ip ipsec proposal
    set [ find default=yes ] enc-algorithms=aes-128-cbc,3des
    add name="IKEv2" auth-algorithms=sha1
    enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc lifetime=30m
    pfs-group=non
    add name=IKEv2 pfs-group=none
    /ip ipsec identity
    add auth-method=digital-signature certificate=Home-Tik-SERVER \
    generate-policy=port-strict mode-config=IKEv2 peer=IKEv2 \
    policy-template-group=IKEv2
    /ip ipsec policy
    set 0 dst-address=0.0.0.0/0 proposal="sha256 aes-128 cbc" src-address=\
    0.0.0.0/0
    add dst-address=0.0.0.0/0 group=IKEv2 proposal=IKEv2 src-address=0.0.0.0/0 \
    template=yes
    ```

    Все настройки на клиенте, сертификат, домен. Посмотрите плиз, может увидите очевидную ошибку, три мануала уже пробовал, взлетает только на одном.

    Покажите свои конфиги, у кого это работает.
     
  2. Илья Князев

    Илья Князев Администратор Команда форума

    Файрволл?
     
  3. mmaerov

    mmaerov Новый участник

    Порты udp 500,4500 открыты. Никаких правил не добавлял, 1701, 500 и 4500 открыты для l2tp-ipsec, он работает.
     
  4. Илья Князев

    Илья Князев Администратор Команда форума

    Проверьте что у вас разрешен трафик на forward между адресами выдаваемыми IPSec-клиентам и сетью.
     
  5. mmaerov

    mmaerov Новый участник

    Клиенту даю адрес из той же сети, в которой всё, к чему нужен доступ. На всякий случай создал правило в forward, ни к чему не привело.
    Сервер не используется как удалённый шлюз. Настроек, отвечающих за это на клиенте не нашёл, т.е. это поведение не изменить. Непонятно тогда, в чём смысл подключения к серверу vpn, если трафик пускается мимо этого сервера. У разрабов спросил, молчат.
     
    Последнее редактирование: 20 янв 2021
  6. Илья Князев

    Илья Князев Администратор Команда форума

    Это неправильное решение. Попробуйте на LAN-интерфейсе включить proxy-arp=yes
    Если не поможет - выдавайте адрес в другой сети.
     
  7. mmaerov

    mmaerov Новый участник

    С этим разобрался.
    Proxy-arp был включён изначально. Выдал адрес из другой подсети, добавил правило в forward, доступ ко внутренним ресурсам появился. Ещё интересует dns, если указать в static dns, нужный адрес, должны резолвиться имена из локалки? Сейчас не резолвятся.
     
  8. Илья Князев

    Илья Князев Администратор Команда форума

    На клиенте пропишите в сетевых настройках корректный DNS-суффикс. Или разорвите по FQDN.
     
  9. mmaerov

    mmaerov Новый участник

    Илья, спасибо за помощь.