Маршрутизатор на Ubuntu 14.04 (проброс портов и VPN)

jmurr · Непрочитанное сообщение **jmurr** » 2015-12-01 13:50:32

Добрый день!
Установил Ubuntu Server 14.04 x86. Вроде всё настроил но есть проблемы.
Конфигурация:
eth1 - LAN; IP - 192.168.0.254
eth0 - WAN DHCP over PPPoE
eth2 - WAN Static (резервный)

NAT работает.
Настраивал проброс портов снаружи в локалку, но так что-то и не заработало, посмотрите плиз конфиг для iptables, что не так сделал.

PS: по VPN вопрос чуть позже, главное настроить проброс портов для почтовика.

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

jmurr · Непрочитанное сообщение **jmurr** » 2015-12-02 9:49:43

Надеюсь, что кто-то поможет с настройками iptables.
А пока про VPN.
OpenSWAN
На железке CISCO LinkSys WRV210 был настроен VPN Site2Site по IPSec, которая успешно сдохла...
Настройки видны на скрине

: Настройки старого роутера VPN

, подскажите, что надо настроить в конфиге

ipsec.txt: Настройки VPN на Ubuntu; (1.51 КБ) 37 скачиваний

, чтобы связаться с сервером с той стороны.

И подскажите где глянуть логи OpenSWAN?

Graf · Непрочитанное сообщение **Graf** » 2015-12-03 13:06:41

Твои конфиги не смотрел, даю рабочие. Правда, я использую ipsec в связке с l2tp, но думаю, направление понятно

ipsec.conf

Код: Выделить всё

version 2.0

config setup
    dumpdir=/var/run/pluto/
    nat_traversal=yes
    oe=off
    protostack=netkey
    nhelpers=0
    interfaces=%defaultroute

conn vpnpsk
    connaddrfamily=ipv4
    auto=add
# внешний IP-адрес    
    left=77.77.77.77
    leftnexthop=%defaultroute
    leftprotoport=17/1701
    rightprotoport=17/%any
    right=%any
    rightsubnetwithin=0.0.0.0/0
    forceencaps=yes
    authby=secret
    pfs=no
    type=tunnel
    auth=esp
    ike=3des-sha1,aes-sha1
    phase2alg=3des-sha1,aes-sha1
    rekey=no
    keyingtries=5
    dpddelay=30
    dpdtimeout=120
    dpdaction=clear

ipsec.secrets

Код: Выделить всё

%any %any : PSK "mysuperpassword"

iptables, естественно не весь. У меня он жутко большой

. Поправь и добавь свое.

Код: Выделить всё

# переброс 80 порта на 192.168.1.234
$IPTABLES -t nat -A PREROUTING -d $INET_IP -p tcp --dport 80 -j DNAT --to-destination 192.168.1.234

# ipsec
 $IPTABLES -I INPUT -p ah -j ACCEPT
 $IPTABLES -I INPUT -p esp -j ACCEPT
 $IPTABLES -A INPUT -m policy --strict --dir in --pol ipsec --proto esp -j ACCEPT
 $IPTABLES -A INPUT -p udp --dport 1701 -j ACCEPT
 $IPTABLES -A INPUT -p udp --dport 500 -j ACCEPT

# разрешаем от 192.168.1.234  все и вся
$IPTABLES -I FORWARD 1 -i $INET_IFACE -o $LAN_IFACE -d 192.168.1.234 -p ALL -j ACCEPT

# ipsec
$IPTABLES -A FORWARD -p udp --dport 500 -j ACCEPT
$IPTABLES -A FORWARD -p udp --dport 1701 -j ACCEPT

# ipsec
$IPTABLES -A OUTPUT -p udp --sport 500 -j ACCEPT
$IPTABLES -A OUTPUT -p udp --sport 1701 -j ACCEPT

forum.lissyara.su