https://opennet.ru/openforum/vsluhforumID1/91847.html Не могу настроить сабж чтобы сети видели друг друга.<br>Тунель поднимается, можно пинговать шлюз на другой строне тунеля(если добавить маршруты на серверах) но сети друг друга не видят<br>Краткая вводная<br>на серверах две сетевые Lan1 eth0 - a.a.a.a (RealIP) eth1 - 10.35.99.254<br>Lan2 eth0 - b.b.b.b eth1 - 10.35.100.254<br>На обоих установлен OpensWan растройки обоих серверов одинаковые <br><br># /etc/ipsec.conf - Openswan IPsec configuration file<br><br>version 2.0 # conforms to second version of ipsec.conf specification<br><br># basic configuration<br>config setup<br> forwardcontrol=yes<br> klipsdebug=none<br> nat_traversal=yes<br> virtual_private=%v4:10.0.0.0/8<br> oe=off<br> protostack=netkey<br><br># Add connections here<br>conn net-vpn<br> left=a.a.a.a<br> leftid=@first<br> leftsubnet=10.35.99.0/24<br> leftrsasigkey=AdsWE.....<br> leftnexthop=чfaultroute<br> right=b.b.b.b<br> rightid=@second<br> rightsubnet=10.35.100.0/24<br> rightrsasigkey=FdsdE.....<br> https://opennet.ru/openforum/vsluhforumID1/91847.html#4 Wed, 29 Jun 2011 09:37:04 GMT &gt;&gt;&gt; Вы уверены в необходимости этих правил ?<br>&gt;&gt; 1-е правило включает NAT для сети кроме адресов в противоположной сети VPN <br>&gt; это делается не так.<br><br>Это просто один из вариантов, можно и вот так - результат тот же<br>-A POSTROUTING -o eth0 -s 10.35.99.0/24 -d ! 10.35.100.0/24 -j MASQUERADE<br><br>&gt;&gt; 2-e правило отсылает все пакеты направленные из первой сети во 2 сеть <br>&gt; правда чтолЕ ?<br>&gt; Обычно я думал, это делает маршрутизация в соответствии со своими правилами.<br><br>ну можно и маршрутизацией, но в данном случае маршруты придется прописывать на каждой машине, а что бы этого не делать используем SNAT настройки были взяты:<br>http://www.opennet.ru/base/net/openswan_tunnel.txt.html<br><br>&gt;&gt; 3-е правило производить пронос порта с машины внутренней сети во внешний мир <br>&gt;&gt; (ни какого отношения к VPN ne имеет. Приведено только в целях <br>&gt;&gt; текущей конфигурации) <br>&gt; любопытнейшая формулировочка. ...<br><br>А что в выносе порта не устраивает?<br><br> https://opennet.ru/openforum/vsluhforumID1/91847.html#3 Wed, 29 Jun 2011 09:01:33 GMT <br>&gt;&gt; Вы уверены в необходимости этих правил ?<br>&gt; 1-е правило включает NAT для сети кроме адресов в противоположной сети VPN <br><br>это делается не так.<br> <br>&gt; 2-e правило отсылает все пакеты направленные из первой сети во 2 сеть <br><br>правда чтолЕ ?<br>Обычно я думал, это делает маршрутизация в соответствии со своими правилами.<br> <br>&gt; 3-е правило производить пронос порта с машины внутренней сети во внешний мир <br>&gt; (ни какого отношения к VPN ne имеет. Приведено только в целях <br>&gt; текущей конфигурации) <br><br>любопытнейшая формулировочка. ... <br><br> https://opennet.ru/openforum/vsluhforumID1/91847.html#2 Wed, 29 Jun 2011 07:00:32 GMT &gt;&gt; -A POSTROUTING -s 10.35.99.0/24 ! -d 10.35.100.0/24 -j SNAT --to-source a.a.a.a <br>&gt;&gt; -A POSTROUTING -s a.a.a.a/32 -d 10.35.100.0/24 -j SNAT --to-source 10.35.99.254 <br>&gt;&gt; -A POSTROUTING -d 10.35.99.100/32 -p tcp -m tcp --dport 1121 -j SNAT <br>&gt;&gt; --to-source a.a.a.b <br>&gt; --- <br>&gt;&gt; -A POSTROUTING -s 10.35.100.0/24 ! -d 10.35.99.0/24 -j SNAT --to-source b.b.b.b <br>&gt;&gt; -A POSTROUTING -s b.b.b.b/32 -d 10.35.99.0/24 -j SNAT --to-source 10.35.100.254 <br>&gt;&gt; -A POSTROUTING -d 10.35.100.100/32 -p tcp -m tcp --dport 1121 -j SNAT <br>&gt;&gt; --to-source b.b.b.c <br>&gt; Вы уверены в необходимости этих правил ?<br><br>1-е правило включает NAT для сети кроме адресов в противоположной сети VPN<br>2-e правило отсылает все пакеты направленные из первой сети во 2 сеть<br>3-е правило производить пронос порта с машины внутренней сети во внешний мир (ни какого отношения к VPN ne имеет. Приведено только в целях текущей конфигурации)<br> https://opennet.ru/openforum/vsluhforumID1/91847.html#1 Wed, 29 Jun 2011 05:48:00 GMT &gt; -A POSTROUTING -s 10.35.99.0/24 ! -d 10.35.100.0/24 -j SNAT --to-source a.a.a.a <br>&gt; -A POSTROUTING -s a.a.a.a/32 -d 10.35.100.0/24 -j SNAT --to-source 10.35.99.254 <br>&gt; -A POSTROUTING -d 10.35.99.100/32 -p tcp -m tcp --dport 1121 -j SNAT <br>&gt; --to-source a.a.a.b <br><br>---<br>&gt; -A POSTROUTING -s 10.35.100.0/24 ! -d 10.35.99.0/24 -j SNAT --to-source b.b.b.b <br>&gt; -A POSTROUTING -s b.b.b.b/32 -d 10.35.99.0/24 -j SNAT --to-source 10.35.100.254 <br>&gt; -A POSTROUTING -d 10.35.100.100/32 -p tcp -m tcp --dport 1121 -j SNAT <br>&gt; --to-source b.b.b.c <br><br>Вы уверены в необходимости этих правил ?<br>