|
|
ru.linux- RU.LINUX --------------------------------------------------------------------- From : Konstantin Sazonov 2:5020/400 31 Mar 2004 11:13:59 To : All Subject : Объединить подсети (iptables или VPN) --------------------------------------------------------------------------------
Hello, All!
Ситуация такая:
есть 2 сетки, которые смотрят в Интернет через маршрутизаторы:
172.20.9.0/24===123.123.123.123---123.123.123.254...(internet).193.193.193.1
93===10.0.2.0/24
Т.е., маршрутизатор для 172.20.9.0/24 сам ходит в И-нет через роутер
123.123.123.254 (CISCO). Hа другом конце - 193.193.193.193 - роутер CISCO с
поддержкой IPsec. Задача такая: из 172.20.9.0/24 напрямую видеть
10.0.2.0/24. Для этого поднят VPN на Frees\WAN`e. Также на 123.123.123.123
поднят HАТ посредством iptables:
iptables -A FORWARD -p all -s 172.20.0.0/16 -d 10.0.2.0/24 -j ACCEPT
iptables -A FORWARD -p all -s 10.0.2.0/24 -d 172.20.0.0/16 -j ACCEPT
iptables -A FORWARD -s 172.20.0.0/16 -j ACCEPT
iptables -A FORWARD -d 172.20.0.0/16 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -s 172.20.0.0/16 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -s 172.20.0.0/16 -j SNAT --to-source
123.123.123.123
# allow IPsec
#
# IKE negotiations
iptables -A INPUT -p udp --sport 500 --dport 500 -j ACCEPT
iptables -A OUTPUT -p udp --sport 500 --dport 500 -j ACCEPT
# ESP encrypton and authentication
iptables -A INPUT -p 50 -j ACCEPT
iptables -A OUTPUT -p 50 -j ACCEPT
Вот так выглядит таблица роутинга на 123.123.123.123:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref
Use Iface
123.123.123.122 * 255.255.255.248 U 0 0 0 eth0
123.123.123.122 * 255.255.255.248 U 0 0 0 ipsec0
10.0.2.0 123.123.123.254 255.255.255.0 UG 0 0 0 ipsec0
172.20.0.0 * 255.255.0.0 U 0 0 0 eth1
loopback * 255.0.0.0 U 0 0 0 lo
default 123.123.123.254 0.0.0.0 UG 1 0 0 eth0
Сейчас вроде без проблем поднимается VPN-туннель от 123.123.123.123 до
193.193.193.193. Вот что говорит ipsec look:
172.20.9.0/24 -> 10.0.2.0/24 => tun0x1004@193.193.193.193
esp0xedc679d7@193.193.193.193
[.поскипано..]
Destination Gateway Genmask Flags MSS Window irtt
Iface
0.0.0.0 123.123.123.254 0.0.0.0 UG 40 0 0 eth0
10.0.2.0 123.123.123.254 255.255.255.0 UG 40 0 0 ipsec0
123.123.123.122 0.0.0.0 255.255.255.248 U 40 0 0 eth0
123.123.123.122 0.0.0.0 255.255.255.248 U 40 0 0 ipsec0
Hо вот пропинговать 10.0.2.0/24 из 172.20.9.0/24 не могу (Request time out).
Таблица роутинга на машинах 172.20.9.0/24:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 172.20.0.27
172.20.9.23 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
172.20.0.0 255.255.0.0 172.20.9.23 172.20.9.23 1
172.20.9.23 255.255.255.255 127.0.0.1 127.0.0.1 1
172.20.255.255 255.255.255.255 172.20.9.23 172.20.9.23 1
224.0.0.0 224.0.0.0 172.20.9.23 172.20.9.23
1
255.255.255.255 255.255.255.255 172.20.9.23 172.20.9.23 1
Default Gateway: 172.20.0.27
Извиняюсь, что так много написал, но давно уже мучаюсь и все никак...
Подскажите пожалуйста, в какую сторону копать
Заранее благодарен!
With best regards, Konstantin Sazonov.
--- ifmail v.2.15dev5.3
* Origin: Demos online service (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
Архивное /ru.linux/23777b5c9d04.html, оценка из 5, голосов 10
|