forum.opennet.ru

Составление сообщения

Исходное сообщение

"Нужна помощь по настройке iptables"
Отправлено LonelyBeast, 26-Янв-12 21:40

> IPsec Ubuntu - racoon, ipsec-tools, openswan, strongswan?
racoon + ipsec-tools
> покажите route -n или ip r s.
root@ss:~# ip r s
default dev ppp0  scope link
192.168.1.0/24 via 192.168.99.1 dev eth1  scope link
192.168.99.0/24 dev eth1  proto kernel  scope link  src 192.168.99.1
212.xxx.xxx.xxx dev ppp0  proto kernel  scope link  src 95.xxx.xxx.xxx
213.xxx.xxx.xxx/29 dev eth0  proto kernel  scope link  src 213.xxx.xxx.xxx
> Для начала разберитесь с iptables.
да, я прочитал ваши комментарии, понял свои ошибки - сейчас буду все переписывать.
>[оверквотинг удален]
>> а вот потом он приходит так 192.168.1.2 →  213.xxx.xxx.xxx → 192.168.99.2.
>> #настраиваем нат для VPN (без этого удаленная сеть недоступна)
>> iptables -t nat -A POSTROUTING -s $LOCAL_NET -d $VPN_LOCAL_NET -o ppp0 -j
>> SNAT --to-source 192.168.99.1
>> #настраиваем нат для локальной сети, включая сам сервер. При этом сервера из
>> $INET_DMZ будут ходить со совими реальными ip адресами
>> iptables -t nat -A POSTROUTING ! -s $INET_DMZ -o ppp0 -j SNAT
>> --to-source $INET_IP
> это маршрутизация. там (в сети 192.168.1) должны знать что хост 192.168.99.2 надо
> искать за 192.168.99.1.
Cisco ASA умная железка, она и так знает, что траффик для 192.168.99.0/24 надо заворачивать в туннель. И она же является default gateway для подчети 192.168.1.0/24. Так что там точно все нормалдьно. А вот как все организовать на ubuntu я пока еще не разобрался. Предполагаю, что надо сделать 2 вещи:
- правильно прописать роутинг
- правильно настроить FORWARD для того чтобы пакеты беспрепятственно проходили в туннель и обратно.
Верное направление?

Исходное сообщение
"Нужна помощь по настройке iptables" Отправлено LonelyBeast, 26-Янв-12 21:40
> IPsec Ubuntu - racoon, ipsec-tools, openswan, strongswan? racoon + ipsec-tools > покажите route -n или ip r s. root@ss:~# ip r s default dev ppp0 scope link 192.168.1.0/24 via 192.168.99.1 dev eth1 scope link 192.168.99.0/24 dev eth1 proto kernel scope link src 192.168.99.1 212.xxx.xxx.xxx dev ppp0 proto kernel scope link src 95.xxx.xxx.xxx 213.xxx.xxx.xxx/29 dev eth0 proto kernel scope link src 213.xxx.xxx.xxx > Для начала разберитесь с iptables. да, я прочитал ваши комментарии, понял свои ошибки - сейчас буду все переписывать. >[оверквотинг удален] >> а вот потом он приходит так 192.168.1.2 → 213.xxx.xxx.xxx → 192.168.99.2. >> #настраиваем нат для VPN (без этого удаленная сеть недоступна) >> iptables -t nat -A POSTROUTING -s $LOCAL_NET -d $VPN_LOCAL_NET -o ppp0 -j >> SNAT --to-source 192.168.99.1 >> #настраиваем нат для локальной сети, включая сам сервер. При этом сервера из >> $INET_DMZ будут ходить со совими реальными ip адресами >> iptables -t nat -A POSTROUTING ! -s $INET_DMZ -o ppp0 -j SNAT >> --to-source $INET_IP > это маршрутизация. там (в сети 192.168.1) должны знать что хост 192.168.99.2 надо > искать за 192.168.99.1. Cisco ASA умная железка, она и так знает, что траффик для 192.168.99.0/24 надо заворачивать в туннель. И она же является default gateway для подчети 192.168.1.0/24. Так что там точно все нормалдьно. А вот как все организовать на ubuntu я пока еще не разобрался. Предполагаю, что надо сделать 2 вещи: - правильно прописать роутинг - правильно настроить FORWARD для того чтобы пакеты беспрепятственно проходили в туннель и обратно. Верное направление?

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>> IPsec Ubuntu - racoon, ipsec-tools, openswan, strongswan? > racoon + ipsec-tools >> покажите route -n или ip r s. > root@ss:~# ip r s > default dev ppp0 scope link > 192.168.1.0/24 via 192.168.99.1 dev eth1 scope link > 192.168.99.0/24 dev eth1 proto kernel scope link src 192.168.99.1 > 212.xxx.xxx.xxx dev ppp0 proto kernel scope link src 95.xxx.xxx.xxx > 213.xxx.xxx.xxx/29 dev eth0 proto kernel scope link src 213.xxx.xxx.xxx >> Для начала разберитесь с iptables. > да, я прочитал ваши комментарии, понял свои ошибки - сейчас буду все > переписывать. >>[оверквотинг удален] >>> а вот потом он приходит так 192.168.1.2 → 213.xxx.xxx.xxx → 192.168.99.2. >>> #настраиваем нат для VPN (без этого удаленная сеть недоступна) >>> iptables -t nat -A POSTROUTING -s $LOCAL_NET -d $VPN_LOCAL_NET -o ppp0 -j >>> SNAT --to-source 192.168.99.1 >>> #настраиваем нат для локальной сети, включая сам сервер. При этом сервера из >>> $INET_DMZ будут ходить со совими реальными ip адресами >>> iptables -t nat -A POSTROUTING ! -s $INET_DMZ -o ppp0 -j SNAT >>> --to-source $INET_IP >> это маршрутизация. там (в сети 192.168.1) должны знать что хост 192.168.99.2 надо >> искать за 192.168.99.1. > Cisco ASA умная железка, она и так знает, что траффик для 192.168.99.0/24 > надо заворачивать в туннель. И она же является default gateway для > подчети 192.168.1.0/24. Так что там точно все нормалдьно. А вот как > все организовать на ubuntu я пока еще не разобрался. Предполагаю, что > надо сделать 2 вещи: > - правильно прописать роутинг > - правильно настроить FORWARD для того чтобы пакеты беспрепятственно проходили в туннель > и обратно. > Верное направление?
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру