LINUX.ORG.RU
ФорумAdmin

IPsec, нет доступа в локальную сеть моей стороны.

 


0

2

Левая сторона (моя) Strongswan, iptables. Правая сторона (удаленный офис) VPN роутер типа ТП-Линк. Канал настроен и работает. Есть доступ к ресурсам удаленной стороны, пинги шминги ходят нормально. А вот в мою сетку доступа нет. Пингуется только локальный ip самого Strongswan. А то что за ним, тишина.Вот кусок ipsec.conf

conn office2
        left=XX.XXX.XXX.XX
        leftsubnet=192.168.6.0/24
        leftid=XX.XXX.XXX.Xx
        leftfirewall=yes
        right=YY.YYY.YYY.YY
        rightsubnet=192.168.5.0/24
        rightid=YY.YYY.YYY.YY
        rightfirewall=yes
        auto=start

XX.XXX.XXX.XX - мой белый ip YY.YYY.YYY.YY - белый ip удаленной стороны

В моей локальной сети на компе к которому необходимо дать доступ прописан маршрут

route -p add 192.168.5.0 mask 255.255.255.0 192.168.6.102

где 102 адрес шлюза (на нем же поднят ipsec)

В iptables поднят nat

$IPTABLES -t nat -A POSTROUTING -o eth0   -s 192.168.6.0/24  -j SNAT --to-source XX.XXX.XXX.XX
Так же открыл воздух для ipsec
$IPTABLES $IPTABLES -A INPUT -i eth0 -p udp -m udp -s YY.YYY.YYY.YY --sport 500 --dport 500 -j ACCEPT
    $IPTABLES -A OUTPUT -o eth0 -p udp -m udp  -d YY.YYY.YYY.YY --sport 500 --dport 500 -j ACCEPT
    #
    $IPTABLES -A INPUT -i eth0 -p 50 -s YY.YYY.YYY.YY -j ACCEPT
    $IPTABLES -A OUTPUT -o eth0 -p 50 -d YY.YYY.YYY.YY -j ACCEPT
    #
    $IPTABLES -A INPUT -i eth0 -p 51 -s YY.YYY.YYY.YY -j ACCEPT
    $IPTABLES -A OUTPUT -o eth0 -p 51 -d YY.YYY.YYY.YY -j ACCEPT
Не в nat ли собака зарыта или что то забыл? Как побороть?

iptables -I POSTROUTING -t nat -d АДРЕС_УДАЛЕННОЙ_ПОДСЕТИ_ЗА_IPSEC -j RETURN

anonymous ()

echo 1 > /proc/sys/net/ipv4/ip_forward

echo «net.ipv4.ip_forward = 1» >> /etc/sysctl.conf

и я не совсем понял с натом, при тонелировании нахрена он нужен?

anonymous ()
Ответ на: комментарий от anonymous

iptables -I POSTROUTING -t nat -d АДРЕС_УДАЛЕННОЙ_ПОДСЕТИ_ЗА_IPSEC -j RETURN

Это прописано ранее было. Не помогает.

и я не совсем понял с натом, при тонелировании нахрена он нужен?

Он нужен не для тунелирования. Там еще люди в инет ходят через NAT.

echo 1 > /proc/sys/net/ipv4/ip_forward
echo «net.ipv4.ip_forward = 1» >> /etc/sysctl.conf

Так по любому у него форвардинг включен. Как же ийпитаблесу без него?

Humaxoid ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.