OVH Community, votre nouvel espace communautaire.

NAT impossible a traver VPN pptp ou l2tp ipsec


Labure
09/02/2016, 23h55
Bonjour

J'ai un serveur kimsufi sous debian Jessie. Je rencontre un probleme en installant mes serveurs VPN pptp et l2tp ou je n'arrive pas a faire du NAT.

les connexions se font bien mais impossible de NAT pourtant avec openvpn en TUN aucun souci.

mes config :

ipsec strongswan :

Code:
version 2.0
config setup
        nat_traversal=yes

        cachecrls=yes
        uniqueids=yes

conn L2TP-PSK-NAT
        rightsubnet=192.168.210.0/24
        also=L2TP-PSK-noNAT
conn L2TP-PSK-noNAT
        authby=secret
#       pfs=no
        auto=add
        keyingtries=3
        rekey=no
        ikelifetime=8h
        keylife=1h
        type=transport
        left=x.x.x.x ( ip failover de mon server)
        leftprotoport=17/1701
        right=%any
        rightprotoport=17/%any
        dpddelay=15
        dpdtimeout=30
        dpdaction=clear

conn ios
        keyexchange=ikev1
        authby=xauthpsk
        xauth=server
        left=%defaultroute
        leftsubnet=0.0.0.0/0
        leftfirewall=yes
        right=%any
        rightsubnet=192.168.220.0/24
        rightsourceip=192.168.220.2/24
        rightdns=10.8.0.1
        auto=add
xl2pt

Code:
global]
listen-addr = x.x.x.x (ip failover de mon serveur)
[lns default]
ip range = 192.168.210.2-192.168.210.10
local ip = 192.168.210.1
length bit = yes
require chap = yes
refuse pap = yes
require authentication = yes
ppp debug = no
name = Nocturbulous
pppoptfile = /etc/ppp/options.xl2tpd
bien evidament mon net.ipv4.ip_forward=1 est bien a 1

ifconfig pendant qu'un client vpn est connecté :

eth0= ip puplique
eth0:0 alias qui pointe sur un ip faillover
lo:1 un looppack qui me sert pour un client openvpn (sert a avoir une ip fixe avec un vpn client qui change d ip)
ppp0 mon l2tp over ipsec ici connecté a un iphone
tun0 mon serveur openvpn qui lui marche tres bien

Code:
eth0      Link encap:Ethernet  HWaddr 00:1c:c0:c7:ef:dd  
          inet adr: y.y.y.y  Bcast:y.y.y.y  Masque:255.255.255.0
          adr inet6: fe80::21c:c0ff:fec7:efdd/64 Scope:Lien
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:137372889 errors:0 dropped:0 overruns:0 frame:0
          TX packets:187746928 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:1000 
          RX bytes:58616540632 (54.5 GiB)  TX bytes:252298482656 (234.9 GiB)

eth0:0    Link encap:Ethernet  HWaddr 00:1c:c0:c7:ef:dd  
          inet adr:x.x.x.x  Bcast:x.x.x.x  Masque:255.255.255.255
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

lo        Link encap:Boucle locale  
          inet adr:127.0.0.1  Masque:255.0.0.0
          adr inet6: ::1/128 Scope:Hôte
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:6131296 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6131296 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:0 
          RX bytes:474532152 (452.5 MiB)  TX bytes:474532152 (452.5 MiB)

lo:1      Link encap:Boucle locale  
          inet adr:192.168.201.1  Masque:255.255.255.255
          UP LOOPBACK RUNNING  MTU:65536  Metric:1

ppp0      Link encap:Protocole Point-à-Point  
          inet adr:192.168.210.1  P-t-P:192.168.210.2  Masque:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1400  Metric:1
          RX packets:15 errors:0 dropped:0 overruns:0 frame:0
          TX packets:13 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:3 
          RX bytes:714 (714.0 B)  TX bytes:810 (810.0 B)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet adr:10.8.0.1  P-t-P:10.8.0.2  Masque:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:62296014 errors:0 dropped:0 overruns:0 frame:0
          TX packets:125196347 errors:0 dropped:121943 overruns:0 carrier:0
          collisions:0 lg file transmission:100 
          RX bytes:3544128838 (3.3 GiB)  TX bytes:173919676925 (161.9 GiB)
extrait de mes regle de firewall :

Code:
# VPN l2tpd que sur failover 1
        iptables -t filter -A INPUT -i eth0 -d $FAILOVER1 -p udp --dport 500 -j ACCEPT
        iptables -t filter -A OUTPUT -o eth0 -d $FAILOVER1 -p udp --dport 500 -j ACCEPT
        iptables -t filter -A INPUT -i eth0 -d $FAILOVER1 -p udp --dport 4500 -j ACCEPT
        iptables -t filter -A OUTPUT -o eth0 -d $FAILOVER1 -p udp --dport 4500 -j ACCEPT
        iptables -t filter -A INPUT -i eth0 -d $FAILOVER1 -p udp --dport 1701 -j ACCEPT
#       iptables -A INPUT -p udp -m policy --dir in --pol ipsec -m udp --dport 1701 -j ACCEPT
        iptables -A INPUT -i eth0 -d $FAILOVER1 -p esp -j ACCEPT
        iptables -A OUTPUT -o eth0 -d $FAILOVER1 -p esp -j ACCEPT
        iptables -A INPUT -i eth0 -d $FAILOVER1 -p 50 -j ACCEPT
        iptables -A INPUT -i eth0 -d $FAILOVER1 -p 51 -j ACCEPT
echo "[Autoriser VPN l2tpd que sur FAILOVER1: OK]"

# Masquerade NAT
iptables -t nat -A POSTROUTING -s 192.168.210.0/24 -m policy --dir out --pol ipsec -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.210.0/24 -j SNAT --to-source $IPSERVER
Je pense a un conflit avec d'autre app ou ancien mal desinstallé comme racoon

si quelqu'un a une idée pour avoir plus de log car j'ai du mal a debugger et a avoir des infos sur pourquoi ca marche pas. Car dans les log tout ce passe bien.

derniere info, de mon serveur je peux pinguer l'iphone en 192.168.210.2 mais de l'iphone no route to host quand j'essai de pinguer mon serveur 192.168.210.1.

Merci d'avance pour votre aide.