добрый день.
в подразделении необходимо настроить шлюз на ubuntu c NAT в интернет для пользователей подразделения и ipsec в режиме tunnel до головного предприятия. ну и, естественно, завернуть в тоннель весь внутренний трафик. в ГП на циске авторизация по IP.убунту внутренний 192.168.38.100
внешний 81.91.х.158циска 81.91.y.14
файл interfaces
auto lo
iface lo inet loopback# внутренний
auto eth0
iface eth0 inet static
address 192.168.38.100
netmask 255.255.255.0
network 192.168.38.0
broadcast 192.168.38.255
dns-search u-nat.х.ru
# наружный
auto eth1
iface eth1 inet static
address 81.91.х.158
netmask 255.255.255.128
network 81.91.х.128
broadcast 81.91.х.255
gateway 81.91.х.129
dns-nameservers 8.8.8.8 208.67.222.222
dns-search u-nat.х.rupost-up /etc/nat
файл /etc/nat
#!/bin/shecho 1 > /proc/sys/net/ipv4/ip_forward
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
iptables -t nat -I POSTROUTING 1 -o eth1 -s 192.168.38.0/24 -d 192.168.39.0/25 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.38.0/24 -j MASQUERADE
iptables -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j REJECT
файл ipsec-tools.conf#!/usr/sbin/setkey -f
flush;
spdflush;spdadd 192.168.38.0/24 192.168.39.0/25 gre -P out ipsec
esp/tunnel/81.91.x.158-81.91.y.14/require;spdadd 192.168.39.0/25 192.168.38.0/24 gre -P in ipsec
esp/tunnel/81.91.y.14-81.91.x.158/require;нат и интернет работают, а вот тоннель нет.
я так понимаю, что ipsec нужно завернуть мимо NAT но как это реализовать не знаю.
Как выражается что не работает тунель? покажите дамп.ну и первое что непонятно это :
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j REJECTс одной стороны можно, а с другой нельзя инициировать соединение?
> Как выражается что не работает тунель? покажите дамп.какой именно дамп? tcpdump -i eth1 host 81.91.y.14 ?
> ну и первое что непонятно это :
> iptables -A FORWARD -i eth1 -o eth0 -j REJECT
> с одной стороны можно, а с другой нельзя инициировать соединение?убрал строчку, никакой разницы