Witam,
Nie mogę sobie poradzić z zagadnieniem jak w tytule. Z tego co wyczytałem w
sieci istnieje faktycznie kłopot z przepuszczaniem ruchu VPN przez
maskaradę. A jednak przecież multum sieci stoi za maskaradą i tyle samo
multum ludzi korzysta z vpnu bedac w takiej konfiguracji.
A konfiguracja jest najprostrza.
1. Router VPN centrala (sprzęt, nie
2. Siec Internet
3. Router z maskaradą Debian
4. Sieć lokalna z klientami wdzwanianymi pod Windows.
Problem polega na tym, że wdzwaniany vpn klient z windows nie potrafi
przejść choćby autoryzacji (lohgin/hasło), połączenie nie zestawia się. Ten
sam klient przepięty na numery IP publiczne które omijają maskowanie
wdzwania
się bez problemu.
Z tego co udało mi się znaleźć na sieci wynika, że maskarada w jakiś sposób
modyfikuje pakiety vpnu przez co występują kłopoty ze spieciem takiego
tunelu. Jest sporo opisów rozwiązań w oparciu o Swany ale sa to rozwiązania
punkt punkt (w obu lokalizacjach są stawiane vpny na linuxie i nie
przechodzą przez maskaradę).
Znalazłem na necie wpisy do maskarady które przepuszaczały by poza maskaradą
ruch na poszczególnych portach wykorzystywanych przy VPN:
iptables --append INPUT --protocol AH --in-interface eth0 --jump ACCEPT
iptables --append INPUT --protocol ESP --in-interface eth0 --jump ACCEPT
iptables --append INPUT --protocol UDP --source-port 500 --destination-port
500 --in-interface eth0 --jump ACCEPT
iptables --append INPUT --protocol UDP --source-port 4500 --destination-port
4500 --in-interface eth0 --jump ACCEPT
tudzież próbowałem wykluczyć z maskarady protokoły odpowiedzialne za vpn:
iptables -t nat -I POSTROUTING 1 -p 50 -j ACCEPT.
iptables -t nat -I POSTROUTING 1 -p 51 -j ACCEPT.
Bez skutku niestety :(
Połączenia wdzwaniane przez klientów stojących za natem są przecież
popularne. Ja nie mogę sobie dać z tym rady. Na każdym routerku za grosze
jest opcja "VPN pass through".
Ale jak to zrobić na Linuxie?????????
Będę wdzięczny za każdą pomocną dłoń.
Pozdrawiam,
G.M.
--
To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/256BB14DC44C4B768FEDFCA028B6CC8A@MAIN2
