https://slinkov.ru/openforum/vsluhforumID1/75334.html Чего-то совсем запарился... Подскажите, пожалуйста, правила для iptables...<br> Задача - соединиться с машины лок.сети (cisco-клиент) через шлюз с удален. vpn.<br>Если запустить cisco-клиент на самом шлюзе - все OK. <br><br>Надо добавить на шлюзе в iptables какие-то волшебные строчки, чтобы и с локал.машины пускало...<br>адрес лок. машины:192.168.0.1. При запуске клиента устанавливается соединение. Появляется адрес:192.168.1.1. Устанавливается новый роутинг:<br>..<br>192.168.0.0 &lt;- 192.168.1.1 <br>..<br>но коннекта с 192.168.0.5 из удал.vpn сети не происходит<br><br>делал:<br>открывал:500 порт на шлюзе делал nat:<br><br>SNAT tcp -- 192.168.0.0/24 anywhere multiport dports isakmp,...:to внеш.IP<br> <br> https://slinkov.ru/openforum/vsluhforumID1/75334.html#4 Tue, 06 Nov 2007 14:07:57 GMT Хотел бы спросить о своем случае. В iptables на шлюзе все окрыто<br>INPUT ACCEPT<br>FORWARD ACCEPT<br>OUTPUT ACCEPT<br>но кроме этого я еще добавляю правила <br>-A INPUT -p esp -j ACCEPT<br>-A FORWARD -p esp -j ACCEPT<br>-A OUTPUT -p esp -j ACCEPT<br><br>аналогично для utp,icmp,udp,ah прописаны правила<br><br>tcpdump выдает ошибку <br><br>remote_host &gt; inside_host : isakmp bla-bla-bla - admin prohibited filter<br><br>VPN неровный , соскакивает, отрывается-подключается, нестабильный<br><br>Может нужны какие-т о дополнительные модули - в чем может быть дело?<br><br><br><br> https://slinkov.ru/openforum/vsluhforumID1/75334.html#3 Fri, 27 Jul 2007 09:47:27 GMT <br>&gt;Делал: <br>&gt;iptables -A INPUT -s 192.168.2.1 -j ACCEPT <br>&gt;iptables -t nat -A POSTROUTING -o eth1 -s 192.168.2.1 -p tcp <br>&gt;-j SNAT --to-source внеш_IP_шлюза <br><br>Все! Вспомнил... <br>цитата:<br>При работе через firewall важно не забыть настроить фильтры, чтобы пропускать пакеты с ID AH и/или ESP протокола. Для AH номер ID - 51, а ESP имеет ID протокола равный 50. При создании правила не забывайте, что ID протокола не то же самое, что номер порта.<br><br>Все заработало.<br> https://slinkov.ru/openforum/vsluhforumID1/75334.html#2 Thu, 26 Jul 2007 12:58:41 GMT &gt;[оверквотинг удален]<br>&gt;&gt;делал: <br>&gt;&gt;открывал:500 порт на шлюзе делал nat: <br>&gt;&gt;<br>&gt;&gt;SNAT tcp -- 192.168.0.0/24 <br>&gt;&gt; anywhere <br>&gt;&gt; multiport dports isakmp,...:to внеш.IP <br>&gt;&gt;<br>&gt;&gt;<br>&gt;<br>&gt;нарисуйте схему всего этого, 192.168.0.5 - что это за адрес? <br><br>удаленный VPN (внеш.ip) --- ШЛЮЗ(iptables) -- локальная машина (ip=192.168.2.1)<br>(моя сеть:= ШЛЮЗ и локальная машина) <br>(в VPN есть нужная мне машинка: 192.168.0.5)<br><br>при использовании cisco клиента на лок.машине соединение устанавливается. поднимается новый интерфейс: 192.168.1.1, автоматически прописывается роутинг: <br>в частности 192.168.0.0 &lt;- 192.168.1.1<br>но достучатся до 192.168.0.5 нельзя. Не видит ее.<br>PS. 1. Если использовать cisco-клиента на шлюзе - все OK.<br> 2. Раньше все работало и с локал.машины. Но постоянно меняются правила iptables - и я не могу вспомнить, что там надо сделать... <br>Делал: <br>iptables -A INPUT -s 192.168.2.1 -j ACCEPT<br>iptables -t nat -A POSTROUTING -o eth1 -s 192.168.2.1 -p tcp -j SNAT --to-source внеш_IP_ш https://slinkov.ru/openforum/vsluhforumID1/75334.html#1 Thu, 26 Jul 2007 08:54:40 GMT &gt;[оверквотинг удален]<br>&gt;но коннекта с 192.168.0.5 из удал.vpn сети не происходит <br>&gt;<br>&gt;делал: <br>&gt;открывал:500 порт на шлюзе делал nat: <br>&gt;<br>&gt;SNAT tcp -- 192.168.0.0/24 <br>&gt; anywhere <br>&gt; multiport dports isakmp,...:to внеш.IP <br>&gt;<br>&gt;<br><br>нарисуйте схему всего этого, 192.168.0.5 - что это за адрес?<br>