Salutare,
Am o situatie care ma depaseste si de aceea am apelat la ajutorul vostru.
Este un mail mai lung, asa ca aveti rabdare.
Se da un server de VPN (RH9, 2.4.30, openswan-2.3.1-1, ipsec KLIPS) care leaga
mai
multe locatii.
Locatiile au ip-uri private din clasele 172.16.0.0/16
Schema arata cam asa:
LAN-----------"VPN Server"---------GATEWAY----INTERNET------(alte
locatii,tot LAN)
172.16.0.0/22 |
|
|
DMZ,PROXY,MAIL
Internet-ul se da numai prin proxy. Nu se face NAT (*cititi mai jos).
Se vor urmatoarele:
1. Cum scot de oriunde din LAN, un ip privat, pe Internet ?
Ma intereseaza ca un anumit calculator din LAN (cu windows) sa se poata conecta
la un
VPN din afara tarii
cu ajutorul unui client VPN Contivity Nortel.
Pentru asta are nevoie de IP public.
Cum am incercat eu:
-- solutia1
Am pus pe "VPN Server" un server PPTP care "dadea" ip-uri publice la cei care
se
conectau la el si
in acest fel puteau sa iasa direct in Internet.
Solutia pana aici parea buna, dar am avut probleme la ridicarea tunelului
"Nortel" cu
serverul din afara tarii (tunel in tunel)
Dintr-o cauza care imi scapa, traficul pe UDP 500 trecea iar traficul pe UDP
10001 era
blocat, nu ajungea la mine.
-- solutia2: (*)
# acces pentru un anumit ip din lan la serverul vpn remote
-A PREROUTING -i eth1 -s 172.16.x.x -d ip_server_vpn_remote -j ACCEPT
# acces la mail si proxy
-A PREROUTING -i eth1 -s 172.16.0.0/22 -d ip_server_dmz_proxy_mail -j ACCEPT
# acces pentru LAN prin vpn-ipsec
-A PREROUTING -i eth1 -s 172.16.0.0/22 -d 172.16.0.0/16 -j ACCEPT
# drop la restul
-A PREROUTING -i eth1 -j DROP
# scot calculatorul din LAN cu ip-ul serverului pe net
-A POSTROUTING -o eth0 -s 172.16.x.x -j SNAT --to-source ip_"VPN Server"
# fw pentru locatii
-A FORWARD -s 172.16.0.0/16 -d 172.16.0.0/16 -j ACCEPT
# acces la mail si proxy
-A FORWARD -s 172.16.0.0/16 -d ip_server_dmz_proxy_mail -j ACCEPT
# fac forward pentru clientul de vpn
-A FORWARD -s 172.16.x.x -j ACCEPT
# drop la restul
-A FORWARD -s 172.16.0.0/16 -j DROP
Cu solutia 2 merge ok conectarea la VPN-ul din afara tarii numai ca de cand am
facut
asta imi apare
in loguri: Dead loop on netdevice ipsec0, fix it urgently!
Si la un ipsec verify imi apar multe
SNAT from 172.16.x.x to 0.0.0.0/0 kills tunnel 172.16.x.x -> 172.16.y.0/24
[FAILED]
O configuratie din ipsec.conf pentru o locatie arata asa:
conn locatie24
# Left security gateway, subnet behind it, next hop toward right.
left=%defaultroute
leftsubnet=0.0.0.0/0
# Right security gateway, subnet behind it, next hop toward left.
right=ip_public_locatie24
rightsubnet=172.16.24.0/24
keyexchange=ike
ikelifetime=480m
keylife=60m
pfs=yes
compress=no
authby=secret
auto=start
2. "GATEWAY" din schema face si BGP ca am 2 conexiuni de la acelasi ISP pentru
backup
si o clasa de IP-uri publice.
Trebuie sa fac conexiuni de backup si la alte locatii care sunt in VPN.
Cum ma sfatuiti sa fac ai cand pica o conexiune sa se ridice tunelul automat pe
celalalta?
Am un script banal (miltihomed) care verifica legaturile si daca
una pica se trece automat pe cealalta, iar la revenirea ei se trece inapoi.
As putea sa modific acel script sa-mi porneasca si tunelele pe cealalta
conexiune cand
pica prima si invers.
Stiu ca folosind BGP e mai corect, dar cred ca asa e mai simplu dpdv. al
configurarii
cu acest script.
In celelalte capete ale tunelului sunt momentan majoritatea LinkSys-uri BEFVP41
care nu
prea se impaca bine cu
Linuxul "VPN Server" - pica des tunelul. Am si cateva linux-uri (cu IPCop sau
FC) care
merg ok.
lucian
_______________________________________________
RLUG mailing list
[email protected]
http://lists.lug.ro/mailman/listinfo/rlug
