ipsec + NAT

0

0

читал что сделать ipsec-туннель между локалкой через SNAT с другой такой же локалкой (шлюзы обеих организаций лок. сеток ходят в инет через SNAT) как-то проблематично. Есть ли решения? Погуглил, но... реальных советов не видел. Подскажите кто знает.

Ссылка

←	sendmail и спам

Бредовая идея...

→

ну если на шлюзах тунель поднимать SNAT же не нужен.

anonymous
(28.01.05 07:52:47 MSK)

Ответ на: комментарий от anonymous 28.01.05 07:52:47 MSK

SNAT не нужен если на шлюзах люди не будут ходить в Инет. Чтобы было и то и то я вижу 2 пути:

1. Поставить 2-й раутер (только для Инета с SNAT), и один шлюз для ipsec. Оба ящика с реальными ИПами.

2. Либо рулить через iproute2 (чтоб был только один шлюз с каждой стороны) направляя запросы от местной локалки (192.168.0.0/24) в дальнюю локалку (192.168.1.0/24) через тунель ipsec, а запросы в мир (!192.168.1.0/24) направлять через SNAT.

Я верно мыслю? Нет ошибки в модели?

anonymous
(28.01.05 09:54:08 MSK)

Ответ на: комментарий от anonymous 28.01.05 09:54:08 MSK

>SNAT не нужен если на шлюзах люди не будут ходить в Инет.

Не понял высказывания. Одно другому не мешает.

Ты бы модель свою нарисовал - где и что у тебя стоит и кого ты хочешь в инет пустить.

jackill ★★★★★
(28.01.05 11:07:54 MSK)

Попробуй обратить взгляд на OpenVPN http://openvpn.org. Там проблем с маскарадом нет. Но есть одно но - работает только в связке *nix<->*nix

anonymous
(28.01.05 14:03:00 MSK)

Ответ на: комментарий от anonymous 28.01.05 14:03:00 MSK

Прошу прощения урлик не тот http://openvpn.net

anonymous
(28.01.05 14:07:28 MSK)

Ссылка

Ответ на: комментарий от anonymous 28.01.05 14:03:00 MSK

>Но есть одно но - работает только в связке *nix<->*nix

а почему тогда есть http://openvpn.net/INSTALL-win32.html ?

fagot ★★★★★
(28.01.05 14:13:08 MSK)

Ответ на: комментарий от fagot 28.01.05 14:13:08 MSK

Подразумевалось не связывается со всякими кисками.

anonymous
(28.01.05 14:18:36 MSK)

Ответ на: комментарий от anonymous 28.01.05 14:18:36 MSK

Вот кстати интересная ссылочка http://www.opennet.ru/opennews/art.shtml?num=4499 там народ тоже обсуждает

anonymous
(28.01.05 14:21:59 MSK)

Ссылка

Ответ на: комментарий от jackill 28.01.05 11:07:54 MSK

>>SNAT не нужен если на шлюзах люди не будут ходить в Инет.
>Не понял высказывания. Одно другому не мешает.
вот в том то и дело что мешает...
Так написано в доках по freeswan, другое юзать нельзя - диктат хозяина.
Исходные данные:
1-я локалка: 192.168.0.0/24. на шлюзе real IP = x.x.x.x - смотрит в инет.
2-я локалка: 192.168.1.0/24. на шлюзе real IP = y.y.y.y - тоже смотрит в инет.
Обе локалки ходят в инет через, естественно, SNAT.
Надо полиметь доступ через ipsec-туннель всех локалок друг другу.
Чтобы тачка 192.168.0.14 (например) видела тачку 192.168.1.15
в другой удаленной локалке через Инет, через туннель.

цитата:
-------
Создание туннелей FreeS/WAN через какое-либо устройство NAT или IP masquerading (имитации) будет иметь непредсказуемый результат и потому не рекомендуется.......
....По существу, IPSec должен проверять пакеты до того, как они переделаны в NAT. Причина этого в том, что после того, как NAT изменяет IP заголовки пакетов, эти пакеты не проходят проверку целостности IPSec

http://www.securitylab.ru/34764.html

anonymous
(28.01.05 21:58:47 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	sendmail и спам

Admin

Бредовая идея...

→

Похожие темы