Posted By: pvl (Tao-te-ting) on 'CZunix'
Title:     IPsec a natovani range
Date:      Tue Feb  5 19:33:38 2008

Zdravim,

nemam s IPsecem zadne zkusenosti, ale potrebuju pripojit sit ukoncenou linux 
routerem k jakesi centrale s ciscem.
Borec co nastavoval cisco zase nezna linux, ale uchodili jsme to nakonec. V 
testovaci konfiguraci. Dle vzoroveho howto na propojeni dvou siti v tunel 
modu...  (pouzil jsem ipsec-tools + racoon)

Tak a ted problem, nas subnet je 192.168.1.0 (dedictvi) a ten samozrejmne 
koliduje s jinou siti ktera se pripojuje tamtez. Jsme domluveni ze mame nas 
subnet natovat, coz jsem si myslel ze neni problem, ale praxe ukazala ze ano.

Vite nekdo jak to udelat?

Ja jsem si udelal v iptables monitorovaci pravidla a co jsem tak vysledoval, 
tak paket z vnitrni siti prijde do PREROUTING, pak se objevi ve FORWARD, 
nasledne se ho asi chopi ipsec a zakoduje ho do ESP a obali a nasledne 
pokracuje POSTROUTINGem, nicmene jiz src a dst ip jsou verejne IP koncu 
tunelu. 
Takze v iptables nemam kde udelat ten SNAT, ten jde jen v POSTROUTINGu a tam 
uz se ta lokalni src ip nedostane.

Koukal jsme zda neco neumi racoon nebo ten setkey ale nenasel jsem, nicmene 
jak rikam, nemam s tim zkusenosti a treba to nejak jde.
Google jsem zkousel ale nevim jak se zeptat, dotazi na ipsec a nat vracej veci 
ohledne nat traversal, coz neni muj problem, ja mam verejne ip.

Zacinam premejslet jak moc by bylo narocny tu sit precislovat, ale radsi bych 
to neriskoval. 

Pavel (zastance transparentni OpenVPN:)

Search the boards