> IPsec Ubuntu - racoon, ipsec-tools, openswan, strongswan?racoon + ipsec-tools
> покажите route -n или ip r s.
root@ss:~# ip r s
default dev ppp0 scope link
192.168.1.0/24 via 192.168.99.1 dev eth1 scope link
192.168.99.0/24 dev eth1 proto kernel scope link src 192.168.99.1
212.xxx.xxx.xxx dev ppp0 proto kernel scope link src 95.xxx.xxx.xxx
213.xxx.xxx.xxx/29 dev eth0 proto kernel scope link src 213.xxx.xxx.xxx
> Для начала разберитесь с iptables.
да, я прочитал ваши комментарии, понял свои ошибки - сейчас буду все переписывать.
>[оверквотинг удален]
>> а вот потом он приходит так 192.168.1.2 → 213.xxx.xxx.xxx → 192.168.99.2.
>> #настраиваем нат для VPN (без этого удаленная сеть недоступна)
>> iptables -t nat -A POSTROUTING -s $LOCAL_NET -d $VPN_LOCAL_NET -o ppp0 -j
>> SNAT --to-source 192.168.99.1
>> #настраиваем нат для локальной сети, включая сам сервер. При этом сервера из
>> $INET_DMZ будут ходить со совими реальными ip адресами
>> iptables -t nat -A POSTROUTING ! -s $INET_DMZ -o ppp0 -j SNAT
>> --to-source $INET_IP
> это маршрутизация. там (в сети 192.168.1) должны знать что хост 192.168.99.2 надо
> искать за 192.168.99.1.
Cisco ASA умная железка, она и так знает, что траффик для 192.168.99.0/24 надо заворачивать в туннель. И она же является default gateway для подчети 192.168.1.0/24. Так что там точно все нормалдьно. А вот как все организовать на ubuntu я пока еще не разобрался. Предполагаю, что надо сделать 2 вещи:
- правильно прописать роутинг
- правильно настроить FORWARD для того чтобы пакеты беспрепятственно проходили в туннель и обратно.
Верное направление?