¿Qué reglas deben configurarse para permitir que NAT en el softether vpn? -- 18.04 campo con vpn campo con ipsec camp askubuntu Relacionados El problema

What Rules Need To Be Setup To Allow NAT on Softether VPN?


0
vote

problema

Español

Me gustaría una asistencia en la configuración de Bettery en una red localizada con NAT, así como para ayudar a obtener la configuración de las normas de las tablas IP. Tengo 2 interfaces de red con Ubuntu 18.04 LTS. Me gustaría asegurarme de que pueda acceder a través de software VPN de software en el servidor que actúa como una puerta de enlace y un centro VPN.

Original en ingles

I would like some assistance setting up Softether on a locally bridged network with NAT, as well help getting the ip tables rules setup. I have 2 network interfaces with Ubuntu 18.04 LTS. I would like to ensure that I can get access through softether VPN software into the server which is acting as a gateway and VPN hub.

        

Lista de respuestas

1
 
vote

En primer lugar, asegúrese de que esté usando la función de puente local de Sofether, y utilice la interfaz de TAP. Esto será más rápido que el puente estándar, y le permitirá configurar DHCP de una manera que no rompa las cosas para sus otros clientes. - -)

He nombrado la interfaz de mi toque 'suave' para facilitar su uso, pero recuerde ajustar sus reglas de NetPlan como se indica a continuación: En las reglas a continuación, he usado ENP0S7 como WAN, y ENP3S0F0 como la interfaz LAN.

  # This file is generated from information provided by # the datasource.  Changes to it will not persist across an instance. # To disable cloud-init's network configuration capabilities, write a file # /etc/cloud/cloud.cfg.d/99-disable-network-config.cfg with the following: # network: {config: disabled} network:     ethernets:         enp0s7:             dhcp4: true             optional: false         enp3s0f0:             addresses: [192.168.254.1/24]             nameservers:                 addresses: [9.9.9.9,192.168.1.254]                 search: [vinceworks.com]             dhcp4: false             optional: true         tap_soft:             addresses: [192.168.253.1/24]             dhcp4: false             optional: true      version: 2   

También deberá ajustar sus reglas DHCP en el archivo /etc/dhcp/dhcpd.conf:

  subnet 192.168.254.0 netmask 255.255.255.0 {   range 192.168.254.100 192.168.254.150; # broadcast-address needs to be .255 to cover all the address range   option broadcast-address 192.168.254.255;   option routers 192.168.254.1; }  subnet 192.168.253.0 netmask 255.255.255.0 {   range 192.168.253.30 192.168.253.42; # broadcast-address needs to be .255 to cover all the address ranges   option broadcast-address 192.168.253.255;   option routers 192.168.253.1; }   

Aquí están las reglas de IPTables que debe configurar en el inicio:

  # Default policy to drop all incoming packets. iptables -P INPUT DROP iptables -P FORWARD DROP # Allow forwarding at the highest levels! sudo sysctl -w net.ipv4.ip_forward=1  # Accept incoming packets from localhost and the LAN interface. iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -i enp3s0f0 -j ACCEPT # Accept incoming packets from tap_soft iptables -A INPUT -i tap_soft -j ACCEPT  # Accept incoming packets from the WAN if the router initiated the #connection iptables -A INPUT -i enp0s7 -m conntrack  --ctstate ESTABLISHED,RELATED -j ACCEPT  # Forward LAN packets to the WAN. iptables -A FORWARD -i enp3s0f0 -o enp0s7 -j ACCEPT # Forward packets Between the LAN and WAN to VPN iptables -A FORWARD -i tap_soft -o enp0s7 -j ACCEPT iptables -A FORWARD -i tap_soft -o enp3s0f0 -j ACCEPT  # Forward WAN packets to the LAN if the LAN initiated the connection. iptables -A FORWARD -i enp0s7 -o enp3s0f0 -m conntrack  --ctstate ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i enp0s7 -o tap_soft -m conntrack  --ctstate ESTABLISHED,RELATED -j ACCEPT  # NAT traffic going out the WAN interface. iptables -t nat -A POSTROUTING -o enp0s7 -j MASQUERADE  #Sleep for a little bit to allow the VPN interface to come up sleep 30 #Restart the DHCP server to begin serving for the new interface systemctl restart isc-dhcp-server   
 

First Off, ensure that you are using Softether's Local Bridge function, and utilizing the tap interface. This will be faster than the standard bridge, and will allow you to setup DHCP in a way that doesn't break things for your other clients. :-)

I have named my TAP interface 'soft' for ease of use, but remember to adjust your netplan rules as listed below: In the rules below I have used enp0s7 as the WAN, and enp3s0f0 as the LAN interface.

# This file is generated from information provided by # the datasource.  Changes to it will not persist across an instance. # To disable cloud-init's network configuration capabilities, write a file # /etc/cloud/cloud.cfg.d/99-disable-network-config.cfg with the following: # network: {config: disabled} network:     ethernets:         enp0s7:             dhcp4: true             optional: false         enp3s0f0:             addresses: [192.168.254.1/24]             nameservers:                 addresses: [9.9.9.9,192.168.1.254]                 search: [vinceworks.com]             dhcp4: false             optional: true         tap_soft:             addresses: [192.168.253.1/24]             dhcp4: false             optional: true      version: 2 

You will also need to adjust your DHCP rules in the /etc/dhcp/dhcpd.conf file:

subnet 192.168.254.0 netmask 255.255.255.0 {   range 192.168.254.100 192.168.254.150; # broadcast-address needs to be .255 to cover all the address range   option broadcast-address 192.168.254.255;   option routers 192.168.254.1; }  subnet 192.168.253.0 netmask 255.255.255.0 {   range 192.168.253.30 192.168.253.42; # broadcast-address needs to be .255 to cover all the address ranges   option broadcast-address 192.168.253.255;   option routers 192.168.253.1; } 

Here are the iptables rules you should setup on boot:

# Default policy to drop all incoming packets. iptables -P INPUT DROP iptables -P FORWARD DROP # Allow forwarding at the highest levels! sudo sysctl -w net.ipv4.ip_forward=1  # Accept incoming packets from localhost and the LAN interface. iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -i enp3s0f0 -j ACCEPT # Accept incoming packets from tap_soft iptables -A INPUT -i tap_soft -j ACCEPT  # Accept incoming packets from the WAN if the router initiated the #connection iptables -A INPUT -i enp0s7 -m conntrack \ --ctstate ESTABLISHED,RELATED -j ACCEPT  # Forward LAN packets to the WAN. iptables -A FORWARD -i enp3s0f0 -o enp0s7 -j ACCEPT # Forward packets Between the LAN and WAN to VPN iptables -A FORWARD -i tap_soft -o enp0s7 -j ACCEPT iptables -A FORWARD -i tap_soft -o enp3s0f0 -j ACCEPT  # Forward WAN packets to the LAN if the LAN initiated the connection. iptables -A FORWARD -i enp0s7 -o enp3s0f0 -m conntrack \ --ctstate ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i enp0s7 -o tap_soft -m conntrack \ --ctstate ESTABLISHED,RELATED -j ACCEPT  # NAT traffic going out the WAN interface. iptables -t nat -A POSTROUTING -o enp0s7 -j MASQUERADE  #Sleep for a little bit to allow the VPN interface to come up sleep 30 #Restart the DHCP server to begin serving for the new interface systemctl restart isc-dhcp-server 
 
 

Relacionados problema

2  Creación de dispositivo TUN para IPSEC  ( Creating tun device for ipsec ) 
¿Es posible crear un dispositivo separado (como TUN Hecho por OpenVPN) para IPSec? Si es así, ¿cómo puedo hacerlo? ...

0  Configuración de Aruba VPN para Ubuntu Server 12.04  ( Aruba vpn configuration for ubuntu server 12 04 ) 
Necesito configurar el cliente VPN para ARUBA Intranet Access. Aruba ofrece a los clientes VPN solo para Windows, Mac y Android, no para Linux. ¿Puede ser alg...

1  Ubuntu 15.1 L2TP con MSCHAP  ( Ubuntu 15 1 l2tp with mschap ) 
Tengo un cliente que quiere usar su VPN existente que utiliza L2TP con MSCHAP .. Veo que 15.1 no usa OpenSwan, sino que utiliza Secure Swan. He instalado es...

2  ¿Cómo se conecta a VPN con IKEV2 con autenticación EAP-TLS en Ubuntu 16.0.4?  ( How do you connect to vpn with ikev2 with eap tls authentication on ubuntu 16 0 ) 
Recientemente he recibido tres archivos llamados: vpn-host-certificado.cer compañía-ca-certificado.cer me.p12 Mi entorno de trabajo es Ubuntu 16.0...

1  OpenVPN vs. IPSEC - ¿Cuál es más rápido para el túnel?  ( Openvpn vs ipsec which one is faster for tunneling ) 
La complejidad de la instalación de IPSec no es un problema. Me gustaría saber cuál proporcionará una conexión más rápida para la tunelización. ...

27  ¿Dónde agregar la clave precompartida para la autenticación del servidor con Network Manager para L2TP / IPSEC?  ( Where to add the pre shared key for the server authentication with network manag ) 
Anteriormente, estaba tratando de descubrir cómo instalar el código L2TP / IPSEC Manager. Supongo que Ubuntu / Canonical se alejó de OpenSwan a Strongswan,...

3  El requisito de acción de Juju faltante. ¿Por qué?  ( Juju action requirement missing why ) 
Estoy teniendo muchos problemas para pasar los parámetros requeridos a una acción de Juju. Este es el contenido de mis acciones.YAML: create-root-cert: d...

3  ¿Cómo configurar Strongswan a autenticar a LDAP?  ( How to setup strongswan to auth to ldap ) 
Estoy tratando de crear un servidor VPN L2TP / IPSEC en 20.04 que usa LDAP para la autenticación de usuario. Supongo que Strongswan hace esto. ¿Dónde, en ...

1  UFW sigue bloqueando IPsec  ( Ufw keep blocking ipsec ) 
Estoy tratando de ejecutar IKEV2 VPN Server en Ubuntu 16. La lista de UFW contiene: To Action From -- ...

0  ¿Puedo tener herramientas IPSec trabajando para puertos no estándar?  ( Can i have ipsec tools working for non standard ports ) 
Estaba tratando de configurar una conexión con llave manual a través de IPSec-Tools entre dos servidores Ubuntu 12.04, siguiendo este simple Tutorial , pero ...




© 2022 respuesta.top Reservados todos los derechos. Centro de preguntas y respuestas reservados todos los derechos