Posted By: pvl (Tao-te-ting) on 'CZunix' Title: IPsec a natovani range Date: Tue Feb 5 19:33:38 2008 Zdravim, nemam s IPsecem zadne zkusenosti, ale potrebuju pripojit sit ukoncenou linux routerem k jakesi centrale s ciscem. Borec co nastavoval cisco zase nezna linux, ale uchodili jsme to nakonec. V testovaci konfiguraci. Dle vzoroveho howto na propojeni dvou siti v tunel modu... (pouzil jsem ipsec-tools + racoon) Tak a ted problem, nas subnet je 192.168.1.0 (dedictvi) a ten samozrejmne koliduje s jinou siti ktera se pripojuje tamtez. Jsme domluveni ze mame nas subnet natovat, coz jsem si myslel ze neni problem, ale praxe ukazala ze ano. Vite nekdo jak to udelat? Ja jsem si udelal v iptables monitorovaci pravidla a co jsem tak vysledoval, tak paket z vnitrni siti prijde do PREROUTING, pak se objevi ve FORWARD, nasledne se ho asi chopi ipsec a zakoduje ho do ESP a obali a nasledne pokracuje POSTROUTINGem, nicmene jiz src a dst ip jsou verejne IP koncu tunelu. Takze v iptables nemam kde udelat ten SNAT, ten jde jen v POSTROUTINGu a tam uz se ta lokalni src ip nedostane. Koukal jsme zda neco neumi racoon nebo ten setkey ale nenasel jsem, nicmene jak rikam, nemam s tim zkusenosti a treba to nejak jde. Google jsem zkousel ale nevim jak se zeptat, dotazi na ipsec a nat vracej veci ohledne nat traversal, coz neni muj problem, ja mam verejne ip. Zacinam premejslet jak moc by bylo narocny tu sit precislovat, ale radsi bych to neriskoval. Pavel (zastance transparentni OpenVPN:)