форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[ Отслеживать ]

"IPSEC через NAT"		+/–
Сообщение от Valdemar (ok) on 03-Дек-09, 16:39
Приветствую народ! Есть вопрос, можно начать с теории... В общем, есть роутер на FreeBSD, есть внутренняя сеть. И есть желание посадить за НАТ другой рутер, который будет поднимать IPSEC с третьим рутером из инета. Это если на пальцах. IPSEC стучится по 500 UDP. На ФРЕ стоит ipfw и natd. Честно говоря, пытался и так и сяк перебросить порт внутрь, и ни фига не получается. Слушаю tcpdump внутренний интерфейс, а там тишина. Были попытки черет fwd и -port_redirect - все напрасно. Наверняка руки стали расти чуть ниже. Посему просьба - ежели есть у кого рабочий конфиг, киньте пожалуйста? Перелопачу и приклею к своей системе. На маны не направляйте, перечитано много, и написано там минимум. Странно, что FWD не работает... По идее оно может уже кидать на другую машину... Да, стоит Фрее 7....
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "IPSEC через NAT"		+/–
Сообщение от Valdemar (??) on 03-Дек-09, 23:41
В общем, как в той песне - сам налил, и сам же выпил)) После долгих глубоких ковыряний в пакетах и настройках довел до ума и поднял канал. ЕЖели кому будет интересно или подобные вопросы возникнут - вот описание этого безобразия, и как его кушать: Исходники: два точки в глубоком интернете. С одной стороны - благородный DI804HV, с другой - всеми уважаемый FreeBSD. За плечами у каждого из гигантов приватные сети со кучей пользователей и недостатков. Для удобства администрирования решено использовать микротик, и расположить его за спиной FreeBSD, навесить на него IPSEC и РРР. Так вот об IPSEC. IPSEC на микротике настраивается так, как если бы он стоял лицом в интернет, а не за спиной рутера и через NAT. Единственное НО - на нем должна быть включена функция Nat-traversal. На FreeBSD поднят NAT, через который все пакеты выходят в мир. Nat поднят с функцией переброски портов на микротик -redirect_port udp mikrotik_ip:500 500  В результате к микротику приходят пакеты UDP 500 с заголовком от другого роутера. В обратную сторону нат транслирует пакеты от микротика стандартным способом (ipfw add divert all from any to any out via public_if) одевая их в свой заголовок. К роутеру с другой стороны приходят пакеты как от FreeBSD. На этом роутере все настраивается стандартно. УДачи в экспериментах и всем спасибо за чтение))) P.S. Много букоф и мало цифер для понимания явлений и процессов))
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема