Posted By: Xen () on 'CZunix'
Title:     Re: IPsec a natovani range
Date:      Wed Feb  6 22:17:13 2008

Ahoj,

> nemam s IPsecem zadne zkusenosti, ale potrebuju pripojit sit ukoncenou linux
> routerem k jakesi centrale s ciscem.
> Borec co nastavoval cisco zase nezna linux, ale uchodili jsme to nakonec. V 
> testovaci konfiguraci. Dle vzoroveho howto na propojeni dvou siti v tunel 
> modu...  (pouzil jsem ipsec-tools + racoon)
> 
> Tak a ted problem, nas subnet je 192.168.1.0 (dedictvi) a ten samozrejmne 
> koliduje s jinou siti ktera se pripojuje tamtez. Jsme domluveni ze mame nas 
> subnet natovat, coz jsem si myslel ze neni problem, ale praxe ukazala ze
> ano.
> 
> Vite nekdo jak to udelat?

ja pouzivam IPsec v transportnim rezimu pro zajisteni propojeni eduroam RADIUS 
serveru. NAT je v tomhle docela nestesti, dobre nastaveny pravidla sice pusti 
pakety ven/dovnitr ale muj box na verejnych adresach pak nechape co ma delat 
s 192.... kdyz on ocekava verejnou adresu toho NATujiciho boxu. 

Nekolikrat jsem experimentoval s NAT-T ale racoon pri tom pada jako shnila 
hruska. Bohuzel :(

Prestante kriplit Internet NATem a nebo zkuste neco jineho co s prekladem 
adres pocita. OpenVPN je velice vitalni a prezije i opravdu masivne NATovanou 
a FW sit. Bohuzel je dost proprietarni a to CISCO to asi umet nebude.

Semik (zastance verejnych IP adress)

> Pavel (zastance transparentni OpenVPN:)