IPSEC a DNAT
Peter Ronai
linux na my-scotland.sk
Pondělí Říjen 7 15:55:55 CEST 2002
Zdravicko
mam problem ktory si odporuje s dokumentaciou freeswan. Mame zakaznika
ktory ma rovnaky privatny subnet ako my (tj napriklad dajme tomu ze my
mame 10.1.1.0/24 a zakaznik ma 10.1.1.0/24). Nie je myslitelne aby sme
menili nas alebo ich subnet a potrebujeme sa k nim spajat a robit im
support cez vnc.
Spojenie je na nasej strane checkpoint firewall na ich strane linux
firewall. Mame kopec takychto klientov, ale ziaden nema rovnaky subnet
ako my.
Skusal som to obist sposobom kde checkpoint robil masq (spojenie bude
iniciovane len z nasej siete ku zakaznikovi a nie opacne) a na linuxovom
firewalle som urobil DNAT typu iptables -A PREROUTING -d 172.31.1.0/24
-j DNAT --to 10.1.1.0-10.1.1.255. Potom som sa skusil pripojit z nasej
siete na zakaznicku ta ze namiesto adries 10.1.1.x pouzivam 172.31.1.x.
Potiaz je v tom ze ak spravim tcpdump na linuxovom firewalle, zistim ze
adresy nie su dnatnute (vo vnutri siete je test box na ktorom ak spravim
tcpdump tak zistujem ze k nemu to logicky ani neprichadza a firewall
arpom hlada danu 172 adresu)
stretol sa niekto uz s niecim podobnym?
dik
dz
________________________________________________________________________
This email has been scanned for all viruses by the MessageLabs SkyScan
service. For more information on a proactive anti-virus service working
around the clock, around the globe, visit http://www.messagelabs.com
________________________________________________________________________
Další informace o konferenci Linux