URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 44534
[ Назад ]

Исходное сообщение
"VPN через шлюз"
Отправлено Barsuk , 28-Май-04 13:58

Привет! помогите найти решение вот такой задачи:
ASP Linux 7.3 (2.4.18)
eth0 имеет ip 192.168.1.1 b и смотрит в сеть 192.168.1.0 255.255.255.0
eth1 ip 172.16.2.1 и смотрти в сеть 172.16.0.0 255.255.0.0
Нужно машинам из сети 192.168.1.0 получить доступ к впн серверу который находится в сети 172.16.0.0 и имеет адресс 172.16.1.1. Из сети 172.16.0.0 можно целиком исплользовать подсеть 172.16.2.0. А выходить на впн сервер под адресами вида 172.16.2.ХХХ, где ХХХ адреса из сети ip 192.168.1.ХХХ.
Что делал: на eth1 повесилс алиас 172.16.2.10 и выполнил: iptables -t nat -A POSTROUTING -s 192.168.1.10 -o eth1 -j SNAT --to 172.16.2.10. У клиента ошибка 619.
На сайте нашел ветки по впну через нат и с похожей ошибкой 619, но там все сводилось к тому что "НАТ делает изменения в пакете, и данный пакет никогда не сможет пройти проверку безопасности на удаленной машине"... или "NAT-T по RFC 3193"?? Как можно решить такую проблему? Можно просто настроить пересылку всех пакетов например с 192.168.1.10 на алиас 172.16.2.10 ? и чтобы можно было обращаться к 192.168.1.10 через 172.16.2.10.. ipfw не настраивался.
Заранее спасибо!

Содержание

VPN через шлюз,screepah, 15:37 , 28-Май-04
- VPN через шлюз,Barsuk, 15:43 , 28-Май-04
  - VPN через шлюз,Sampan, 20:07 , 28-Май-04
    - VPN через шлюз,Barsuk, 21:27 , 28-Май-04
      - VPN через шлюз,sds, 18:42 , 29-Май-04

Сообщения в этом обсуждении

"VPN через шлюз"
Отправлено screepah , 28-Май-04 15:37

echo "1" > /proc/sys/net/ipv4/ip_forward
и открой прохождение по 47 протоколу (-p 47) и к порту 1723, если PPTP

"VPN через шлюз"
Отправлено Barsuk , 28-Май-04 15:43

>echo "1" > /proc/sys/net/ipv4/ip_forward
уже было сделано.
>и открой прохождение по 47 протоколу (-p 47) и к порту 1723,
>если PPTP
можно пример как это сделать? ipwf не настраивался вроде не должно ограничиваться...

"VPN через шлюз"
Отправлено Sampan , 28-Май-04 20:07

Не понимаю, а NAT то зачем? Просто форвардинга не хватает? Разрешить маршрутизацию 172.16.х.х <----> 192.168.x.x и нет проблем

"VPN через шлюз"
Отправлено Barsuk , 28-Май-04 21:27

>Не понимаю, а NAT то зачем? Просто форвардинга не хватает? Разрешить маршрутизацию 172.16.х.х <----> 192.168.x.x и нет проблем
Да это тоже выход походу... вот как делал:
1. Создаю алиас 172.16.2.10
#/sbin/ifconfig eth1:22 172.16.2.10 netmask 255.255.0.0
2. #iptables -A FORWARD -s 192.168.1.10 -d any/0 -j ACCEPT
3. #iptables -t nat -A POSTROUTING -s 192.168.1.10 -d any/0 -j SNAT --to-source 172.16.2.22
при таком раскладе у людей из подсети 192.168.1.0 ошибка 619 или 800 когда ломятся в инет. Где ошибаюсь?

"VPN через шлюз"
Отправлено sds , 29-Май-04 18:42

${ipfw} add allow gre from any to any
ставить только после NAT