VPN net-to-net Ipsec нужна помощь с iptables

0

2

Есть центральный офис. В качестве шлюза выхода в интернет - имеется d-link DFL-800, на котором поднято 2 интерфейса:

Внешний: 10.10.20.1 Внутренний: 192.168.0.1

Также на роутере штатными средствами поднят VPN gate, работающий через IPsec c PSK ключом.

Есть филлиал, на котором в качестве роутера был собран и настроен сервер на Debian 7. Сервер имеет также 2 интерфейса:

Внешний: eth0 10.10.30.1 Внутренний: eth1 192.168.7.1

Для НАТа существуют следующие правила:

# Включаем форвардинг пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward

# Разрешаем трафик на loopback-интерфейсе
iptables -A INPUT -i lo -j ACCEPT

# Разрешаем доступ из внутренней сети наружу
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

# Включаем NAT 
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.7.0/24 -j MASQUERADE 

# Разрешаем ответы из внешней сети
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

#Разрешаем доступ во внутреннюю сеть для оффиса

#iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT


# Проброс DNS
iptables -t nat -I PREROUTING -i eth1 -p udp --dport 53 -j DNAT --to-destination 195.177.123.1

# Добавляем в iptables строчку перенаправления запросов юзеров с 80-го порта на порт сквида 3128:

iptables -t nat -A PREROUTING -i eth1 ! -d 192.168.7.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.7.1:3128

Вопрос заключается в том, что из сети головного офиса (192.168.0.0/24) узлы прекрасно пингуются и доступны, а вот обратно (из 192.168.7.0/24) - пинг не проходит. Хотя конфигурация на роутере рабочая, так как раньше, вместо сервера на дебиане, стояла такая-же железка, как и в головном офисе и между ними была нормальная связь.

По задачам, вот: На сервере филиала нужно:

1. Настроить NAT. и разрешить клиентам из внутренней сети выходить в интернет.
2. Настроить проброс DNS запросов на адрес 195.177.123.1 (для внутреннего интерфейса)
3. Настроить заворачивание http трафика нв сквид, который крутится на 192.168.7.1:3128
4. И Самое главное, настроить беспрепятственного обмена пакетами через VPN с подсеткой 192.168.0.0

Все остальное, в целях безопасности, можно заблокировать.

Ссылка

Ядро настроил? http://xgu.ru/wiki/IPsec_в_Linux#.D0.9A.D0.BE.D0.BD.D1.84.D0.B8.D0.B3.D1.83.D....

adxfighter
(31.10.13 10:12:38 MSK)

Я бы еще на маршрутизацию посмотрел. А вообще палить внешний ip на ресурсах аналогичных этому не очень правильно.

alozovskoy ★★★★★
(31.10.13 11:04:56 MSK)

iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

замени это правило на это и посмотри, что будет

iptables -A FORWARD -i eth1 -j ACCEPT

Gu4 ★
(01.11.13 23:01:25 MSK)

iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

и вот это замени на

iptables -A FORWARD -i eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

запусти traceroute. глянь, гда пакеты теряются. а то заявления, типа d-link точно работает напоминают фразу «раньше все работало и ничего не меняли». знаем мы таких.

Gu4 ★
(01.11.13 23:06:19 MSK)

Похожие темы