URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 87513
[ Назад ]
Исходное сообщение
"IPSEC через NAT"
Отправлено Valdemar , 03-Дек-09 16:39 
Приветствую народ!
Есть вопрос, можно начать с теории... В общем, есть роутер на FreeBSD, есть внутренняя сеть. И есть желание посадить за НАТ другой рутер, который будет поднимать IPSEC с третьим рутером из инета. Это если на пальцах. IPSEC стучится по 500 UDP. На ФРЕ стоит ipfw и natd. Честно говоря, пытался и так и сяк перебросить порт внутрь, и ни фига не получается. Слушаю tcpdump внутренний интерфейс, а там тишина. Были попытки черет fwd и -port_redirect - все напрасно. Наверняка руки стали расти чуть ниже. Посему просьба - ежели есть у кого рабочий конфиг, киньте пожалуйста? Перелопачу и приклею к своей системе. На маны не направляйте, перечитано много, и написано там минимум. Странно, что FWD не работает... По идее оно может уже кидать на другую машину... Да, стоит Фрее 7....

Содержание
Сообщения в этом обсуждении
"IPSEC через NAT"
Отправлено Valdemar , 03-Дек-09 23:41 
В общем, как в той песне - сам налил, и сам же выпил))
После долгих глубоких ковыряний в пакетах и настройках довел до ума и поднял канал. ЕЖели кому будет интересно или подобные вопросы возникнут - вот описание этого безобразия, и как его кушать:

Исходники: два точки в глубоком интернете. С одной стороны - благородный DI804HV, с другой - всеми уважаемый FreeBSD. За плечами у каждого из гигантов приватные сети со кучей пользователей и недостатков. Для удобства администрирования решено использовать микротик, и расположить его за спиной FreeBSD, навесить на него IPSEC и РРР. Так вот об IPSEC. IPSEC на микротике настраивается так, как если бы он стоял лицом в интернет, а не за спиной рутера и через NAT. Единственное НО - на нем должна быть включена функция Nat-traversal. На FreeBSD поднят NAT, через который все пакеты выходят в мир. Nat поднят с функцией переброски портов на микротик -redirect_port udp mikrotik_ip:500 500  В результате к микротику приходят пакеты UDP 500 с заголовком от другого роутера. В обратную сторону нат транслирует пакеты от микротика стандартным способом (ipfw add divert all from any to any out via public_if) одевая их в свой заголовок. К роутеру с другой стороны приходят пакеты как от FreeBSD. На этом роутере все настраивается стандартно.

УДачи в экспериментах и всем спасибо за чтение)))

P.S. Много букоф и мало цифер для понимания явлений и процессов))