Непростая маршрутизация

0

0

Есть настроенный Gate1 c выходом в интернет. у него IP локальный 192.168.4.1, шлюз в инет с IP 111.xxx.xxx.xxx, весь траффик в инет идет через него.

Есть второй настроенный Gate2 с выходом в интернет. у него IP локальный 192.168.4.10, шлюз в инет с IP 222.xxx.xxx.xxx

У клиентов в сети 4.0/24 есть VPN соединение с удаленным хостом в инете с IP 212.212.212.212. У клиентов в сети прописан по дефолту гейт Gate1 (4.1).

Необходимо настроить на Gate1, чтобы все VPN соединения (порт 4500,udp) с удаленным внешним IP 212.212.212.212 c клиентских машин в локальной сети с Gate1 форвардились на Gate2. На Gate2 уже настроен файрволл который при входящих соединения с локального IP 192.168.4.1 гейта Gate1 форвардились соединения на 212.212.212.212.

Подскажите как такое можно провернуть на Gate1 через iptables?

Ссылка

←	BGP роутинг

нужен совет

→

Одних iptables мало, смотрите в сторону iproute2 (если Линукс). Создаем отдельную таблицу маршрутизации

ip route add default via Gate2 dev Карточка table 5

Маркируем весь требуемый трафик

iptables -t mangle -I PREROUTING -s 212.212.212.212 -p udp --sport 4500 -j MARK --set-mark 5

Перекидываем весь маркированный трафик в отдельную таблицу маршрутизации

ip rule add fwmark 5 table 5

P.S. Прежде чем использовать приведенный команды прочитать Linux Adwanced Routing HOWTO

mky ★★★★★
(02.11.07 11:36:11 MSK)

Ссылка

Тоже мне, бином Ньютона:

на Gate1

iptables -A PREROUTING -t mangle -s 192.168.4.0/24 -d 212.212.212.212 -p udp --dport 4500 -j MARK --set-mark 1

echo 201 vpn >> /etc/iproute2/rt_tables

ip rule add fwmark 1 table vpn

ip route add default via 192.168.4.10 table vpn

На Gate2 соединения будут с локальных адресов, если нужно только с 192.168.4.1 - использовать NAT.

capricorn20 ★
(02.11.07 11:37:14 MSK)

Ответ на: комментарий от capricorn20 02.11.07 11:37:14 MSK

попробовал. не катит. на Gate2 даже нет входящих соединений с Gate1.

P.S.: Соединение по IPSec идет.

anonymous
(02.11.07 13:03:15 MSK)

Ответ на: комментарий от anonymous 02.11.07 13:03:15 MSK

IPSec использует протоколы IP номер 50 и 51 (ESP и AH) а также udp порт 500 при использовании ISAKMP, NAT-T не пробовал. А зачем такое извращение? Пусть IPSEC связывает допустим сети A<-->B и C - IPSEC сервер в сети A. Просто маршрутизируй B через C для A. Рекомендую сначала изучить литературу.

capricorn20 ★
(02.11.07 13:29:58 MSK)

Ответ на: комментарий от capricorn20 02.11.07 13:29:58 MSK

Cisco VPN Client не дает расшаривать свой виртуальный интерфейс. используя на нем Ipsec over UDP

anonymous
(02.11.07 13:53:59 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	BGP роутинг

Admin

нужен совет

→

Похожие темы