Вопрос по маршрутизации в Linux

0

2

Я тут пытаюсь создать VPN соеденение.

Офис - за NAT-ом на Cisco
VPN-Сервер на Linux и racoon

Все соеденение с интернетом должно идти так:

NAT-> Cisco ASA-> VPN Over Internet -> Linux сервер (в другой стране)->Интернет

правильно ли я понимаю, что после настройки racoon-a, мне нужно настроить маршрутизацию, и достаточно ли сделать так:

route add X.X.X.X dev eth1

Где X.X.X.X - внешный ip циски.

//Простите за уровень вопроса, я совсем нуб ;)

Ссылка

←	После добавления Linux машины в домен, команда id не показывает доменных пользователей

потоковое вещание видео

→

говорят, что racoon - ето еще тот костыль.

ipeacocks ★★★★★
(06.09.12 11:20:32 MSK)

Ответ на: комментарий от ipeacocks 06.09.12 11:20:32 MSK

знаю, но ASA не умеет openvpn

Rimbaud
(06.09.12 11:21:03 MSK) автор топика

Ссылка

попробуй vpnc он нормально отрабатывает, юзаем в продакшене ( есть еще какое то расширение cisco vpn на tcp его он не умеет).

pinachet ★★★★★
(06.09.12 15:01:11 MSK)

Если у вас там RHEL 6 или его клоны, то там нет racoon, там opepswan. Это я к том, что выбор от части определяется дистрибутивом.

А по поводу написания маршрута я вобще не понял. Где вы его собрались прописывать? Заворачивание трафика в ipsec тунель определяется политиками ipsec (команда ip xfrm pol show).

mky ★★★★★
(06.09.12 15:06:26 MSK)

GRE/ipip туннель.

unfo ★★★★★
(06.09.12 15:11:09 MSK)

Ответ на: комментарий от pinachet 06.09.12 15:01:11 MSK

vpnc — это вроде клиент для vpn, разве нет?

мне же нужно траффик туда заворачивать

Rimbaud
(06.09.12 16:07:14 MSK) автор топика

Ответ на: комментарий от mky 06.09.12 15:06:26 MSK

Если у вас там RHEL 6 или его клоны, то там нет racoon, там opepswan. Это я к том, что выбор от части определяется дистрибутивом.

Спасибо, не знал. У меня debian-based, там есть и openswan и racoon — какой посоветуйте?

А по поводу написания маршрута я вобще не понял. Где вы его собрались прописывать? Заворачивание трафика в ipsec тунель определяется политиками ipsec (команда ip xfrm pol show).

т.е. грубо говоря на Linux-е мне не надо ничего кроме racoon/openswan настроивать?

Rimbaud
(06.09.12 16:10:46 MSK) автор топика

Ответ на: комментарий от unfo 06.09.12 15:11:09 MSK

GRE? Зачем? У меня же за линуксом нет другой подсети

Rimbaud
(06.09.12 16:12:09 MSK) автор топика

Ссылка

Ответ на: комментарий от Rimbaud 06.09.12 16:10:46 MSK

Советую openswan, по личным предпочтениям.

В принципе, скрипт инициализации в openswan сам прописывает маршрут, но этот маршрут зачастую не нужен. А настраивать нужно iptables, так, чтобы пакеты идущие от Linux к ASA проходили iptables без потерь (без DROP и без SNAT). Тогда они будут обработаны и завёрнуты в ipsec.

Хотя, может вам нужет GRE-тунель (не помню, умеет ли его ASA), у него нет шифрации и никаких ключей не надо (проще настраивать).

Схема мне ваша не совсем понятна, почему NAT перед ASA?

mky ★★★★★
(06.09.12 19:27:09 MSK)

Ссылка

Да, в случае если машина, на которой поднят racoon не является гейтом.

at ★★
(06.09.12 19:30:09 MSK)

Ссылка

Ответ на: комментарий от Rimbaud 06.09.12 16:07:14 MSK

vpnc — это вроде клиент для vpn, разве нет?

Да .

мне же нужно траффик туда заворачивать

Ок . понял .

pinachet ★★★★★
(07.09.12 15:45:52 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	После добавления Linux машины в домен, команда id не показывает доменных пользователей

Admin

потоковое вещание видео

→

Похожие темы