Здравствуйте, буду признателен за консультацию, вопрос в следующем.
Есть две сети, офис и магазин, в офисе имеем сервер на базе ос debian 2,6,хх, на котором есть nat с двумя vlan на стороне прова, и racoon, (конфиги ниже), в магазине zywall 5e, сеть 192,168,20,0.24. Туннель поднялся нормально, но пакеты ходят только из магазина в офис, из офиса в магазин не идут,
трассировка показывает, что пакеты уходят на шлюз провайдера, и соответственно там теряются. Попытки в iptables заставить их идти в магазин к результату не приводят. Честно говоря я впервые ipsec тунель поднимаю, уже все мозги прокурил, чувствую что уже (или еще ) наглухо запутался в маршрутах и роутингах, по сему вопрос к знатокам, где я перемудрил ?
[quote]
gtw:~# iptables-save
# Generated by iptables-save v1.4.2 on Fri Jan 15 03:19:24 2010
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth1 -j QUEUE
-A INPUT -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -d 192.168.20.0/24
-A FORWARD -j QUEUE
-A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT
-A OUTPUT -o eth1 -j QUEUE
-A OUTPUT -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT
COMMIT
# Completed on Fri Jan 15 03:19:24 2010
# Generated by iptables-save v1.4.2 on Fri Jan 15 03:19:24 2010
*nat
:PREROUTING ACCEPT [30177:1563896]
:POSTROUTING ACCEPT [15327:1104501]
:OUTPUT ACCEPT [22234:1630540]
-A PREROUTING -s 192.168.0.0/24 -d 192.168.20.0/24
-A PREROUTING -d 77.*.*.*/32 -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.0.101:25
-A PREROUTING -d 77.*.*.*/32 -p udp -m udp --dport 25 -j DNAT --to-destination 192.168.0.101:25
-A PREROUTING -d 77.*.*.*/32 -p tcp -m tcp --dport 110 -j DNAT --to-destination 192.168.0.101:110
-A PREROUTING -d 77.*.*.*/32 -p udp -m udp --dport 110 -j DNAT --to-destination 192.168.0.101:110
-A PREROUTING -d 77.*.*.*/32 -p tcp -m tcp --dport 443 -j DNAT --to-destination 192.168.0.101:443
-A PREROUTING -d 77.*.*.*/32 -p udp -m udp --dport 443 -j DNAT --to-destination 192.168.0.101:443
-A PREROUTING -d 77.*.*.*/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.101:3389
-A PREROUTING -d 77.*.*.*/32 -p udp -m udp --dport 3389 -j DNAT --to-destination 192.168.0.101:3389
-A POSTROUTING -o eth1 -j SNAT --to-source 80.*.*.126
COMMIT
# Completed on Fri Jan 15 03:19:24 2010
[/quote]
[quote]
eth0 Link encap:Ethernet HWaddr 00:22:68:3f:4a:85
inet addr:192.168.0.200 Bcast:192.168.0.255 Mask:255.255.255.0
eth1 Link encap:Ethernet HWaddr 00:e0:4c:df:15:77
inet addr:80.*.*.126 Bcast:80.*.*.127 Mask:255.255.255.252
eth1:1 Link encap:Ethernet HWaddr 00:e0:4c:df:15:77
inet addr:77.*.*.* Bcast:77.*.*.255 Mask:255.255.255.0
[/quote]
[quote]
ipsec-tools.conf
spdadd 192.168.0.0/24 192.168.20.0/24 any -P out ipsec esp/tunnel/80.*.*.126-195.*.*.25/require;
spdadd 192.168.20.0/24 192.168.0.0/24 any -P in ipsec esp/tunnel/195.*.*.25-80.*.*.126/require;
[/quote]
[quote]
/etc/racoon/racoon.conf
path include «/etc/racoon»;
path pre_shared_key «/etc/racoon/psk.txt»;
log warning;
padding
{
maximum_length 20; # maximum padding length.
randomize off; # enable randomize length.
strict_check off; # enable strict check.
exclusive_tail off; # extract last one octet.
}
listen
{
isakmp 80.*.*.126 [500];
}
timer
{
# These value can be changed per remote node.
counter 5; # maximum trying count to send.
interval 10 sec; # maximum interval to resend.
persend 1; # the number of packets per send.
# maximum time to wait for completing each phase.
phase1 30 sec;
phase2 15 sec;
}
remote anonymous
{
exchange_mode aggressive;
doi ipsec_doi;
situation identity_only;
my_identifier user_fqdn «gtw@example.com»;
peers_identifier user_fqdn «gtw@example.com»;
nonce_size 16;
lifetime time 28800 sec; # sec,min,hour
initial_contact off;
support_proxy on;
proposal_check obey; # obey, strict, or claim
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 1;
}
}
sainfo anonymous
{
pfs_group 1;
lifetime time 28800 sec;
encryption_algorithm 3des;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
}
[/quote]
[quote]
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
80.*.*.124 * 255.255.255.252 U 0 0 0 eth1
77.*.*.240 * 255.255.255.0 U 0 0 0 eth1
192.168.0.0 * 255.255.255.0 U 0 0 0 eth0
default *.236.addr-arpa 0.0.0.0 UG 0 0 0 eth1
default *.125.addr-arpa 0.0.0.0 UG 0 0 0 eth1
[/quote]
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Похожие темы
- Форум проброс порто iptables (2012)
- Форум Помогите с ошибками в правилах iptables (2017)
- Форум iptables по наследству (2017)
- Форум Iptables защита от исходящего спама (2012)
- Форум [:|||:][чяднт?]dnat и проброс порта (2009)
- Форум Запретить NAT по протоколу http (2015)
- Форум Проброс портов на шлюзе к веб серверу (Трансляция ip адресов) (2014)
- Форум Оцените конфиг iptables (2015)
- Форум iptables + доступ по IP (2012)
- Форум шлюз из одного ПК (2010)