Исходное сообщение
"NAT Over VPN в FreeBSD" Отправлено Dor, 11-Янв-06 21:05
>Помогите плиз решить слудующую задачу. >Есть установленный VPN между FreeBSD 4.10-RELEASE и Cisco PIX. Все сделано статье: >http://www.bshell.com/projects/freebsd_pix/static.html . >Итого, есть VPN с адресами 1.1.1.1 - это мой peer, 2.2.2.2 - >удаленный peer. На концах туннеля адреса: 192.168.1.18 локальный - 192.168.1.1 - >удаленный. > >root@router# ifconfig gif0 >gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280 >tunnel inet 1.1.1.1 --> 2.2.2.2 >inet 192.168.1.18 --> 192.168.1.1 netmask 0xffffffff >-------- > >Задача в том, чтобы весь траффик идущий с сети 10.0.0.0/8 (есть соответствующий >интерфейс fxp0, смотрящий в локалку) на 192.168.1.1 натился от адреса 192.168.1.18 > >Что я делал: >root@router# route get 192.168.1.1 >route to: 192.168.1.1 >destination: 192.168.1.1 >interface: gif0 >Роутинг настроен. >запуск ната: >/sbin/natd -n gif0 -p 8671 -s -m -u >ipfw add divert 8671 log ip from any to any via gif0 > >ipfw add pass log all from any to any via gif0 >ipfw add pass all from any to any via fxp0 >ipfw add pass all from 10.0.0.0/8 to 192.168.1.1 >ipfw add pass all from 192.168.1.1 to 10.0.0.0/8 >Вообщем - разрешено всё >-- >В итоге пакеты уходят. На той стороне видно, что пакеты приходят с >адреса 192.168.1.18, т.е. с нужного. >Вопрос в том, что пакеты не возвращаются. Тоесть они как-бы возвращаются, ибо >tcpdump -i ed0 host 2.2.2.2 показывает, что идут ответы с ESP >траффиком обратно, но куда-то пропадают. То-ли обратно не натятся, то ли >еще что-то. В логах ничего не сказано. Отловить пакеты не смог. >Что я не так сделал, или что мне нужно сделать для >решения моей задачи? >Заранее спасибо за помощь. Это должно быть в /etc/ipsec.conf: spdadd   1.1.1.1/24  2.2.2.2/24 any -P out ipsec   ipcomp/transport//use; spdadd   2.2.2.2/24  1.1.1.1/24 any -P out ipsec   ipcomp/transport//use;

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>>Помогите плиз решить слудующую задачу. >>Есть установленный VPN между FreeBSD 4.10-RELEASE и Cisco PIX. Все сделано статье: >>http://www.bshell.com/projects/freebsd_pix/static.html . >>Итого, есть VPN с адресами 1.1.1.1 - это мой peer, 2.2.2.2 - >>удаленный peer. На концах туннеля адреса: 192.168.1.18 локальный - 192.168.1.1 - >>удаленный. >> >>root@router# ifconfig gif0 >>gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280 >>tunnel inet 1.1.1.1 --> 2.2.2.2 >>inet 192.168.1.18 --> 192.168.1.1 netmask 0xffffffff >>-------- >> >>Задача в том, чтобы весь траффик идущий с сети 10.0.0.0/8 (есть соответствующий >>интерфейс fxp0, смотрящий в локалку) на 192.168.1.1 натился от адреса 192.168.1.18 >> >>Что я делал: >>root@router# route get 192.168.1.1 >>route to: 192.168.1.1 >>destination: 192.168.1.1 >>interface: gif0 >>Роутинг настроен. >>запуск ната: >>/sbin/natd -n gif0 -p 8671 -s -m -u >>ipfw add divert 8671 log ip from any to any via gif0 >> >>ipfw add pass log all from any to any via gif0 >>ipfw add pass all from any to any via fxp0 >>ipfw add pass all from 10.0.0.0/8 to 192.168.1.1 >>ipfw add pass all from 192.168.1.1 to 10.0.0.0/8 >>Вообщем - разрешено всё >>-- >>В итоге пакеты уходят. На той стороне видно, что пакеты приходят с >>адреса 192.168.1.18, т.е. с нужного. >>Вопрос в том, что пакеты не возвращаются. Тоесть они как-бы возвращаются, ибо >>tcpdump -i ed0 host 2.2.2.2 показывает, что идут ответы с ESP >>траффиком обратно, но куда-то пропадают. То-ли обратно не натятся, то ли >>еще что-то. В логах ничего не сказано. Отловить пакеты не смог. >>Что я не так сделал, или что мне нужно сделать для >>решения моей задачи? >>Заранее спасибо за помощь. > Это должно быть в /etc/ipsec.conf: > spdadd 1.1.1.1/24 2.2.2.2/24 any -P out ipsec > ipcomp/transport//use; > spdadd 2.2.2.2/24 1.1.1.1/24 any -P out ipsec > ipcomp/transport//use;
	Введите код, изображенный на картинке: