LINUX.ORG.RU
ФорумAdmin

Вопрос по маршрутизации в Linux


0

2

Я тут пытаюсь создать VPN соеденение.

Офис - за NAT-ом на Cisco
VPN-Сервер на Linux и racoon

Все соеденение с интернетом должно идти так:

NAT-> Cisco ASA-> VPN Over Internet -> Linux сервер (в другой стране)->Интернет

правильно ли я понимаю, что после настройки racoon-a, мне нужно настроить маршрутизацию, и достаточно ли сделать так:

route add X.X.X.X dev eth1

Где X.X.X.X - внешный ip циски.

//Простите за уровень вопроса, я совсем нуб ;)



Последнее исправление: Rimbaud (всего исправлений: 2)

попробуй vpnc он нормально отрабатывает, юзаем в продакшене ( есть еще какое то расширение cisco vpn на tcp его он не умеет).

pinachet ★★★★★
()

Если у вас там RHEL 6 или его клоны, то там нет racoon, там opepswan. Это я к том, что выбор от части определяется дистрибутивом.

А по поводу написания маршрута я вобще не понял. Где вы его собрались прописывать? Заворачивание трафика в ipsec тунель определяется политиками ipsec (команда ip xfrm pol show).

mky ★★★★★
()
Ответ на: комментарий от mky

Если у вас там RHEL 6 или его клоны, то там нет racoon, там opepswan. Это я к том, что выбор от части определяется дистрибутивом.

Спасибо, не знал. У меня debian-based, там есть и openswan и racoon — какой посоветуйте?

А по поводу написания маршрута я вобще не понял. Где вы его собрались прописывать? Заворачивание трафика в ipsec тунель определяется политиками ipsec (команда ip xfrm pol show).

т.е. грубо говоря на Linux-е мне не надо ничего кроме racoon/openswan настроивать?

Rimbaud
() автор топика
Ответ на: комментарий от unfo

GRE? Зачем? У меня же за линуксом нет другой подсети

Rimbaud
() автор топика
Ответ на: комментарий от Rimbaud

Советую openswan, по личным предпочтениям.

В принципе, скрипт инициализации в openswan сам прописывает маршрут, но этот маршрут зачастую не нужен. А настраивать нужно iptables, так, чтобы пакеты идущие от Linux к ASA проходили iptables без потерь (без DROP и без SNAT). Тогда они будут обработаны и завёрнуты в ipsec.

Хотя, может вам нужет GRE-тунель (не помню, умеет ли его ASA), у него нет шифрации и никаких ключей не надо (проще настраивать).

Схема мне ваша не совсем понятна, почему NAT перед ASA?

mky ★★★★★
()

Да, в случае если машина, на которой поднят racoon не является гейтом.

at ★★
()
Ответ на: комментарий от Rimbaud

vpnc — это вроде клиент для vpn, разве нет?

Да .

мне же нужно траффик туда заворачивать

Ок . понял .

pinachet ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.