LINUX.ORG.RU
ФорумAdmin

ipsec + NAT


0

0

читал что сделать ipsec-туннель между локалкой через SNAT с другой такой же локалкой (шлюзы обеих организаций лок. сеток ходят в инет через SNAT) как-то проблематично. Есть ли решения? Погуглил, но... реальных советов не видел. Подскажите кто знает.

anonymous
Ответ на: комментарий от anonymous

SNAT не нужен если на шлюзах люди не будут ходить в Инет. Чтобы было и то и то я вижу 2 пути:

1. Поставить 2-й раутер (только для Инета с SNAT), и один шлюз для ipsec. Оба ящика с реальными ИПами.

2. Либо рулить через iproute2 (чтоб был только один шлюз с каждой стороны) направляя запросы от местной локалки (192.168.0.0/24) в дальнюю локалку (192.168.1.0/24) через тунель ipsec, а запросы в мир (!192.168.1.0/24) направлять через SNAT.

Я верно мыслю? Нет ошибки в модели?

anonymous
()
Ответ на: комментарий от anonymous

>SNAT не нужен если на шлюзах люди не будут ходить в Инет.

Не понял высказывания. Одно другому не мешает.

Ты бы модель свою нарисовал - где и что у тебя стоит и кого ты хочешь в инет пустить.

jackill ★★★★★
()

Попробуй обратить взгляд на OpenVPN http://openvpn.org. Там проблем с маскарадом нет. Но есть одно но - работает только в связке *nix<->*nix

anonymous
()
Ответ на: комментарий от jackill

>>SNAT не нужен если на шлюзах люди не будут ходить в Инет.
>Не понял высказывания. Одно другому не мешает.
вот в том то и дело что мешает...
Так написано в доках по freeswan, другое юзать нельзя - диктат хозяина.
Исходные данные:
1-я локалка: 192.168.0.0/24. на шлюзе real IP = x.x.x.x - смотрит в инет.
2-я локалка: 192.168.1.0/24. на шлюзе real IP = y.y.y.y - тоже смотрит в инет.
Обе локалки ходят в инет через, естественно, SNAT.
Надо полиметь доступ через ipsec-туннель всех локалок друг другу.
Чтобы тачка 192.168.0.14 (например) видела тачку 192.168.1.15
в другой удаленной локалке через Инет, через туннель.

цитата:
-------
Создание туннелей FreeS/WAN через какое-либо устройство NAT или IP masquerading (имитации) будет иметь непредсказуемый результат и потому не рекомендуется.......
....По существу, IPSec должен проверять пакеты до того, как они переделаны в NAT. Причина этого в том, что после того, как NAT изменяет IP заголовки пакетов, эти пакеты не проходят проверку целостности IPSec

http://www.securitylab.ru/34764.html

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.