Мне нужно было настроить VPN типа «сеть-сеть» между серверами A и B, где сервер A управляется мной, а сервер B — клиентом.
Сервер A работает под управлением Ubuntu 20.04, и я использую strongswan для настройки VPN на своей стороне. Я использую UFW для управления брандмауэром сервера А.
Публичный IP-адрес A: 16.ХХ.ХХХ.17
Публичный IP-адрес B: 14.ХХХ.ХХХ.94
Теперь, после внесения необходимых изменений в конфигурацию для настройки VPN и его включения, я вижу следующие журналы: /var/журнал/системный журнал
21 марта 13:58:47 worker0 charon: 01[ENC] проанализировано ответ IKE_AUTH 1 [IDr AUTH N(ESP_TFC_PAD_N) SA TSi TSr]
21 марта 13:58:47 worker0 charon: 01[IKE] аутентификация «14.XXX.XXX.94» с предварительным общим ключом прошла успешно
21 марта 13:58:47 worker0 charon: 01[IKE] IKE_SA s-to-s[1] установлен между 16.XX.XXX.17[16.XX.XXX.17]...14.XXX.XXX. 94[14.ХХХ.ХХХ.94]
21 марта 13:58:47 worker0 charon: 01[IKE] планирование повторной аутентификации в 2644s
21 марта 13:58:47 worker0 charon: 01[IKE] максимальное время жизни IKE_SA 3184 с
21 марта 13:58:47 worker0 charon: 01[IKE] получил ESP_TFC_PADDING_NOT_SUPPORTED, не используя заполнение ESPv3 TFC
21 марта 13:58:47 worker0 charon: 01[CFG] выбранное предложение: ESP:AES_CBC_256/HMAC_SHA2_256_128/NO_EXT_SEQ
21 марта 13:58:47 worker0 charon: 01[IKE] CHILD_SA s-to-s{1} установлен с SPI c97fea32_i f60175ca_o и TS 10.132.86.142/32 === 10.128.28.96/27
21 марта 13:58:53 worker0 charon: 14[NET] получен пакет: с 14.XXX.XXX.94[4500] по 16.XX.XXX.17[4500] (80 байт)
21 марта 13:58:53 worker0 charon: 14[ENC] проанализирован ИНФОРМАЦИОННЫЙ запрос 0 [ ]
21 марта 13:58:53 worker0 charon: 14[ENC] генерирует ИНФОРМАЦИОННЫЙ ответ 0 [ ]
21 марта 13:58:53 worker0 charon: 14[NET] отправка пакета: с 16.XX.XXX.17[4500] по 14.XXX.XXX.94[4500] (80 байт)
21 марта 13:58:58 worker0 charon: 07[NET] получен пакет: с 14.XXX.XXX.94[4500] по 16.XX.XXX.17[4500] (80 байт)
21 марта 13:58:58 worker0 charon: 07[ENC] проанализирован ИНФОРМАЦИОННЫЙ запрос 1 [ ]
21 марта 13:58:58 worker0 charon: 07[ENC] генерирует ИНФОРМАЦИОННЫЙ ответ 1 [ ]
21 марта 13:58:58 worker0 charon: 07[NET] отправка пакета: с 16.XX.XXX.17[4500] по 14.XXX.XXX.94[4500] (80 байт)
21 марта 13:59:03 worker0 charon: 05[NET] получен пакет: с 14.XXX.XXX.94[4500] по 16.XX.XXX.17[4500] (80 байт)
Вывод статус ipsec:
Ассоциации безопасности (1 вверх, 0 соединение):
s-to-s[1]: УСТАНОВЛЕНО 5 минут назад, 16.XX.XXX.17[16.XX.XXX.17]...14.XXX.XXX.94[14.XXX.XXX.94]
s-to-s{1}: INSTALLED, TUNNEL, reqid 1, SPI ESP: c97fea32_i f60175ca_o
s-to-s{1}: 10.132.86.142/32 === 10.128.28.96/27
статус ufw
Статус: активен
К действию от
-- ------ ----
666 LIMIT Anywhere # Для ssh
62626 РАЗРЕШИТЬ ВСЕГДА # Для Wireguard
Где угодно на pv0 РАЗРЕШИТЬ ВСЕГДА
666 (v6) LIMIT Anywhere (v6) # Для ssh
62626 (v6) ALLOW Anywhere (v6) # Для wireguard
Где угодно (v6) на pv0 РАЗРЕШИТЬ ВСЕГДА (v6)
Как сервер может принимать пакеты на порт 4500 (по логам ipsec в /var/журнал/системный журнал) без моего открытия этого порта? Что мне здесь не хватает?
Я вообще не касался IP-таблиц напрямую.
Я проверил, запустив простой http-сервер на порту 8000 (используя python3 -m http.сервер), что я не могу получить доступ к другим неоткрытым портам из-за пределов сервера)
