URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 94978
[ Назад ]

Исходное сообщение
"ubuntu server 13.04 и ipsec tunnel до cisco"

Отправлено Logrim , 03-Сен-13 13:20 
добрый день.
в подразделении необходимо настроить шлюз на ubuntu c NAT в интернет для пользователей подразделения и ipsec в режиме tunnel до головного предприятия. ну и, естественно, завернуть в тоннель весь внутренний трафик. в ГП на циске авторизация по IP.

убунту внутренний  192.168.38.100
внешний  81.91.х.158

циска 81.91.y.14

файл interfaces

auto lo
iface lo inet loopback

# внутренний
auto eth0
iface eth0 inet static
    address 192.168.38.100
    netmask 255.255.255.0
    network 192.168.38.0
    broadcast 192.168.38.255
    dns-search u-nat.х.ru
# наружный
auto eth1
iface eth1 inet static
    address 81.91.х.158
    netmask 255.255.255.128
    network 81.91.х.128
    broadcast 81.91.х.255
    gateway 81.91.х.129
    dns-nameservers 8.8.8.8 208.67.222.222
    dns-search u-nat.х.ru

post-up /etc/nat

файл /etc/nat
#!/bin/sh

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -A INPUT -i lo -j ACCEPT

iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT

iptables -t nat -I POSTROUTING 1 -o eth1 -s 192.168.38.0/24 -d 192.168.39.0/25 -j ACCEPT

iptables -t nat -A POSTROUTING -o eth1 -s 192.168.38.0/24 -j MASQUERADE

iptables -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -i eth1 -o eth0 -j REJECT


файл ipsec-tools.conf

#!/usr/sbin/setkey -f

flush;
spdflush;

spdadd 192.168.38.0/24 192.168.39.0/25 gre -P out ipsec
esp/tunnel/81.91.x.158-81.91.y.14/require;

spdadd 192.168.39.0/25 192.168.38.0/24 gre -P in ipsec
esp/tunnel/81.91.y.14-81.91.x.158/require;

нат и интернет работают, а вот тоннель нет.

я так понимаю, что ipsec нужно завернуть мимо NAT но как это реализовать не знаю.


Содержание

Сообщения в этом обсуждении
"ubuntu server 13.04 и ipsec tunnel до cisco"
Отправлено КуКу , 03-Сен-13 13:41 
Как выражается что не работает тунель? покажите дамп.

ну и первое что непонятно это :

iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j REJECT

с одной стороны можно, а с другой нельзя инициировать соединение?


"ubuntu server 13.04 и ipsec tunnel до cisco"
Отправлено Logrim , 04-Сен-13 06:10 
> Как выражается что не работает тунель? покажите дамп.

какой именно дамп? tcpdump -i eth1 host 81.91.y.14 ?

> ну и первое что непонятно это :
> iptables -A FORWARD -i eth1 -o eth0 -j REJECT
> с одной стороны можно, а с другой нельзя инициировать соединение?

убрал строчку, никакой разницы