LINUX.ORG.RU
ФорумAdmin

2 туннеля IPsec через NAT

 , ,


1

1

Доброго времени суток! Ситуация такая - нужно законнектить хост с Линуксом (RHEL 6.2) и FortiGate 3950B. Я админ на линуксовом хосте, FortiGate админится не мной. На FortiGate настроено подключение для 2 подсетей, мой линуксовый хост попадает в интернет через NAT. Ставлю на линуксовый хост Openswan, создаю конфиг с подключением к любой из сетей - все работает. Делаю два конфига для каждой из сетей - пингуется только последнее поднятое подключение. Если все запихать в 1 конфиг, используя опцию rightsubnets, то пингуется только та сеть, которая указана первая. Подобные проблемы видел в интернете, но они все без решений. Скорее всего дело в NAT, но как победить его не знаю.

Ответ на: комментарий от blind_oracle

Да, конечно.

Вот полные конфиги.

config setup

protostack=netkey nat_traversal=yes virtual_private=%v4:10.109.0.0/16,%v4:10.128.0.0/16 oe=off

conn smart

conn smart type=tunnel authby=secret auth=esp ikelifetime=86400s keylife=28800s esp=aes256-sha1 ike=aes256-sha1;modp1024 keyexchange=ike pfs=yes left=%defaultroute leftsubnet=192.168.1.0/24 leftsourceip=192.168.1.181 right=xx.xx.xx.xx auto=add

conn smart_109 also=smart rightsubnet=10.109.0.0/16

conn smart_128 also=smart rightsubnet=10.128.0.0/16

Secret файл

xx.xx.xx.xx. 192.168.1.181: PSK «passphrase»

dagger_nn ()
Ответ на: комментарий от dagger_nn

1. Лучше юзать strongswan если есть возможность

2. Зачем тебе два коннекта при связывании всего двух хостов друг с другом? Сделай просто rightsubnet=10.109.0.0/16,10.128.0.0/16 и запихни в один коннект, всё будет работать (правда не знаю как в опенсване, но думаю прокатит)

blind_oracle ★★★★★ ()
Ответ на: комментарий от dagger_nn

1. Потому что он активно развивается

2. Да, пропустил. Нужно искать косяки в энтом «FortiGate 3950B» я думаю тогда, как он настроен и т.п. Конфиг в нём грубо говоря должен быть симметричен линупсу.

blind_oracle ★★★★★ ()
Ответ на: комментарий от dagger_nn

Неа, там может быть много разных весёлых глюков при их несовпадении. На той стороне у тебя 2 сети настроены, а тут ты отдельные коннекты для каждой сети настроил - они по-отдельности устанавливаются же, несмотря на несимметричность. Можно попробовать врубить дебаг в сване и посмотреть что он говорит.

blind_oracle ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.