Nat Over IPSec

Обсуждаем OS FreeBSD и сервисы на ней.

Nat Over IPSec

Сообщение buryanov » 29 апр 2009, 18:44

Hi All
Собрал IPSec между Racoon и Cisco
на шлюзе поднят нат на gif1
Код: Выделить всё
gif1: flags=8151<UP,POINTOPOINT,RUNNING,PROMISC,MULTICAST> metric 0 mtu 1280
        tunnel inet 217.112.209.33 --> 8.5.5.2
        inet 172.25.1.8 --> 172.25.7.3 netmask 0xffff0000
${FwCMD} nat 117 config ip 172.25.31.128
${FwCMD} add nat 117 all from ${lan} to 172.20.6.0/24 out via gif1
${FwCMD} add nat 117 all from 172.20.6.0/24 to 172.25.1.8 in via gif1
со шлюза всё ходит
Код: Выделить всё
16:41:26.873247 IP 8.5.5.2 > 217.112.209.33: ESP(spi=0x011568e4,seq=0x22), length 100
16:41:26.873591 IP 217.112.209.33 > 8.5.5.2: ESP(spi=0x298b2797,seq=0x24), length 100
но, когда я иду с машины, которая за нат
Код: Выделить всё
16:39:27.359587 IP 217.112.209.33 > 80.5.5.2: IP 172.25.1.8.4686 > 172.20.6.2.80: S 646185615:646185615(0) win 64512 <mss 1460,nop,nop,sackOK> (ipip-proto-4)
если я делаю
Код: Выделить всё
route change 172.20.6.2 -interface gif1
то
Код: Выделить всё
tcpdump -i ng2 host 80.5.5.216:58:53.855134 IP 217.112.209.33 > 80.5.5.2:  etherip 5016:58:56.865760 IP 217.112.209.33 > 80.5.5.2:  etherip 50
16:59:02.901862 IP 217.112.209.33 > 80.5.5.2:  etherip 50
tcpdump -i gif1
16:58:53.855099 AF Unknown (18), length 52:
        0x0000:  4500 0030 c363 4000 7f06 de27 ac19 1f80  E..0.c@....'....
        0x0010:  ac14 e28e 045b 0050 9d05 15c8 0000 0000  .....[.P........
        0x0020:  7002 fc00 7569 0000 0204 05b4 0101 0402  p...ui..........
16:58:56.865727 AF Unknown (18), length 52:
        0x0000:  4500 0030 c44e 4000 7f06 dd3c ac19 1f80  E..0.N@....<....
        0x0010:  ac14 e28e 045b 0050 9d05 15c8 0000 0000  .....[.P........
        0x0020:  7002 fc00 7569 0000 0204 05b4 0101 0402  p...ui..........
16:59:02.901826 AF Unknown (18), length 52:
        0x0000:  4500 0030 c5ee 4000 7f06 db9c ac19 1f80  E..0..@.........
        0x0010:  ac14 e28e 045b 0050 9d05 15c8 0000 0000  .....[.P........
        0x0020:  7002 fc00 7569 0000 0204 05b4 0101 0402  p...ui..........
Третий день парюсь
Аватара пользователя
buryanov
новичок
 
Сообщения: 25
Зарегистрирован: 29 апр 2009, 18:32

Re: Nat Over IPSec

Сообщение root » 30 апр 2009, 12:43

брррр....
для начала разберемся, ты пишешь:
buryanov писал(а):tunnel inet 217.112.209.33 --> 8.5.5.2

затем адрес превращается в:
buryanov писал(а):16:39:27.359587 IP 217.112.209.33 > 80.5.5.2:


так же
buryanov писал(а):${FwCMD} nat 117 config ip 172.25.31.128

а где адрес 172.25.31.128 ?

buryanov писал(а):${FwCMD} add nat 117 all from ${lan} to 172.20.6.0/24 out via gif1

"кто" такие ${lan} ?

непонятно зачем NAT ? а просто роутинга тебе не достаточно ?

давай так:
нарисуй схемку, в которой распиши за чем (оборудование) какие подсети находятся
ну и что ты в итоге хочешь добиться, какой должен быть результат, какая именно задача стоит
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia


Вернуться в FreeBSD

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 33