IPSec nat

0

1

Поднимаю VPN между Strongswan (моя сторона) и TP-Link на другой стороне. Смотрим статус ipsec, видят друг друга.

ttt@proxy:/etc/rc.d# ipsec status
Security Associations (1 up, 0 connecting):
     lan2lan[2]: ESTABLISHED 1 second ago, XX.XXX.XXX.XX[XX.XXX.XXX.XX]...YYY.YYY.YYY.YY[YYY.YYY.YYY.YY]
     lan2lan{1}:  INSTALLED, TUNNEL, reqid 1, ESP SPIs: ce635b8e_i 72a8c8cf_o
     lan2lan{1}:   192.168.6.0/24 === 192.168.5.0/24

Пробую пинговать другую сторону, всё нормально. Но как только включаю nat

$IPTABLES -t nat -A POSTROUTING -o eth0   -s 192.168.6.0/24  -j SNAT --to-source XX.XXX.XXX.XX

Пинг пропадает.

Ссылка

←	DNAT одинаково хорошо как из ВНЕ так и из ЛОКАЛКИ

Как смонтировать диск для пользователя

→

У меня так:

iptables -t nat -A POSTROUTING -o eth1 -m policy --dir out --pol ipsec -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth1 -j MASQUERADE

dragster
(13.10.15 10:28:59 MSK)

Как бы, ты если нат включаешь, то адрес источника уже не из сети 192.168.6.0/24. Соответственно, траффик в туннель не попадает.

Gu4 ★
(13.10.15 11:00:04 MSK)

Ссылка

Ответ на: комментарий от dragster 13.10.15 10:28:59 MSK

У меня было проще, что-то вроде такого

iptables -t nat -A POSTROUTING -s 192.168.6.0/24 -d 192.168.5.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.6.0/24 -o eth1 -j MASQUERADE

Gu4 ★
(13.10.15 11:07:31 MSK)

Ответ на: комментарий от Gu4 13.10.15 11:07:31 MSK

Всем спасибо за помошь, всё разрешилось.

$IPTABLES -I POSTROUTING -t nat -d 192.168.5.0/24 -j RETURN

Humaxoid ★
(13.10.15 19:52:53 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	DNAT одинаково хорошо как из ВНЕ так и из ЛОКАЛКИ

Admin

Как смонтировать диск для пользователя

→

Похожие темы