https://www.opennet.ru/openforum/vsluhforumID10/5200.html Коллеги,<br><br>помогите с настройкой. Надо соединить IPSec'ом site-2-site две сети для доступа к партнёру. Причём по их правилам должны использоваться только белые IP. Условно говоря, с нашей стороны надо поставить ещё один шлюз, за которым NAT'ом будут сидеть сотрудники, а главный шлюз, подключенный к провайдеру, должен делать IPsec. Примерно так:<br><br>192.168.x.x -&gt; [шлюз1, NAT в белый A.A.A.A] -&gt; [шлюз2, IPSec, IP = X.X.X.X] -&gt; сеть провайдера<br><br>Хочется сэкономить на лишнем шлюзе и сделать примерно так:<br><br>192.168.x.x -&gt; [шлюз2, NAT в белый A.A.A.A, а затем его внутрь IPSec] -&gt; сеть провайдера<br><br>Шлюз 2 = FreeBSD 9.1, racoon, NAT делается с помощью IPFW.<br>IPSec поднялся, для проверки выполняю на шлюзе 'ssh -b A.A.A.A ...', т.е. инициирую соединение с нужного белого IP. Это работает.<br>Но при попытки подключения из серой сети, после прохождения через NAT соединение уходит не в IPSec, а напрямую в сеть провайдера. <br>sysctl net.inet.ip.fw.one_pass = 0, хотя это похоже не влияет.<br><br>Поиски по словам IPSec / NAT нах https://www.opennet.ru/openforum/vsluhforumID10/5200.html#7 Wed, 23 Oct 2013 11:49:09 GMT &gt;&gt; .. тоннель типа "host-to-net" не поднялся? Что-то вроде "road warrior"?<br>&gt; Доступ в свою сеть для сотрудников, а также объединение нескольких своих удалённых <br>&gt; сетей я делаю через OpenVPN - для меня он на порядок <br>&gt; нагляднее и проще, чем IPSec.<br><br>А (организация-NAT-IPSec"RdWrr")--&gt;(IPSec-сеть партнёра) не то, что нужно?<br> https://www.opennet.ru/openforum/vsluhforumID10/5200.html#6 Tue, 22 Oct 2013 10:35:52 GMT &gt; .. тоннель типа "host-to-net" не поднялся? Что-то вроде "road warrior"?<br><br>Доступ в свою сеть для сотрудников, а также объединение нескольких своих удалённых сетей я делаю через OpenVPN - для меня он на порядок нагляднее и проще, чем IPSec.<br><br> https://www.opennet.ru/openforum/vsluhforumID10/5200.html#5 Tue, 22 Oct 2013 05:50:45 GMT &gt; Всё в туннельном.<br>&gt; Конфиг такой (все A.A.A.0/24 - мои белые IP, .117 и .115 находятся <br>&gt; на главном шлюзе, а .120 - на дополнительном, через который сейчас <br>&gt; работает обсуждаемый коллектив. Остальными буквами обозначены белые адреса партнёров): <br>&gt; flush; <br>&gt; spdflush; <br>&gt; ## IPSec 1 <br>&gt; spdadd 192.168.1.0/24 192.168.2.0/24 any -P out ipsec esp/tunnel/A.A.A.117-B.B.B.B/unique; <br>&gt; spdadd 192.168.2.0/24 192.168.1.0/24 any -P in ipsec esp/tunnel/B.B.B.B-A.A.A.117/unique; <br><br>Вот прямо сейчас не на чем посмотреть, а тоннель типа "host-to-net" не поднялся? Что-то вроде "road warrior"?<br> https://www.opennet.ru/openforum/vsluhforumID10/5200.html#4 Sun, 20 Oct 2013 09:50:36 GMT Всё в туннельном.<br>Конфиг такой (все A.A.A.0/24 - мои белые IP, .117 и .115 находятся на главном шлюзе, а .120 - на дополнительном, через который сейчас работает обсуждаемый коллектив. Остальными буквами обозначены белые адреса партнёров):<br><br>flush;<br>spdflush;<br><br>## IPSec 1<br>spdadd 192.168.1.0/24 192.168.2.0/24 any -P out ipsec esp/tunnel/A.A.A.117-B.B.B.B/unique;<br>spdadd 192.168.2.0/24 192.168.1.0/24 any -P in ipsec esp/tunnel/B.B.B.B-A.A.A.117/unique;<br><br>spdadd 192.168.1.0/24 192.168.3.0/24 any -P out ipsec esp/tunnel/A.A.A.117-B.B.B.B/unique;<br>spdadd 192.168.3.0/24 192.168.1.0/24 any -P in ipsec esp/tunnel/B.B.B.B-A.A.A.117/unique;<br><br>## IPSec 2<br><br>spdadd A.A.A.120/32 C.C.C.C/32 any -P out ipsec esp/tunnel/A.A.A.117-D.D.D.D/unique;<br>spdadd C.C.C.C/32 A.A.A.120/32 any -P in ipsec esp/tunnel/D.D.D.D-A.A.A.117/unique;<br><br>spdadd A.A.A.115/32 C.C.C.C/32 any -P out ipsec esp/tunnel/A.A.A.117-D.D.D.D/unique;<br>spdadd C.C.C.C/32 A.A.A.115/32 any -P in ipsec esp/tunnel/D.D.D.D-A.A.A.117/unique;<br><br><br>Спасибо за с https://www.opennet.ru/openforum/vsluhforumID10/5200.html#3 Fri, 18 Oct 2013 10:52:16 GMT IPSec нужен в транспортном или туннельном режиме? Я так понял - гибридном? :) Это в курсе? http://www.rusnoc.ru/index.php?option=com_content&view=article&catid=4:cisco&id=140:ponimanie-ipsec<br><br>&gt;&gt; Отсюда http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/ipsec.html что-то <br>&gt;&gt; не пошло?<br>&gt; Отсюда не пошло использование gif-интерфейса и ручное изменение маршрутизации. Во многих <br>&gt; местах упоминалось, что это лишнее. <br><br>Что-то вроде http://lj.rossia.org/users/isatys/14041.html<br><br>&gt; В настоящий момент этот же шлюз <br>&gt; успешно работает с другим ipsec без gif и маршрутизации (netstat -rn <br>&gt; ничего про IP-адреса туннеля не сообщает). Разница между этим работающим ipsec <br>&gt; и нужным сейчас только в том, что в первом случае используются <br>&gt; серые адреса из внутренней сети, т.е. не требуется привлекать NAT.<br>&gt; Более того, уже работает и первый вариант из моего вопроса, с двумя <br>&gt; шлюзами. Т.е. "главный шлюз" туннель успешно поднял.<br>&gt; Что мне непонятно, так почему выполнение 'ssh -b A.A.A.A' на шлюзе уходит https://www.opennet.ru/openforum/vsluhforumID10/5200.html#2 Fri, 18 Oct 2013 06:20:44 GMT &gt; Отсюда http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/ipsec.html что-то <br>&gt; не пошло?<br><br>Отсюда не пошло использование gif-интерфейса и ручное изменение маршрутизации. Во многих местах упоминалось, что это лишнее. В настоящий момент этот же шлюз успешно работает с другим ipsec без gif и маршрутизации (netstat -rn ничего про IP-адреса туннеля не сообщает). Разница между этим работающим ipsec и нужным сейчас только в том, что в первом случае используются серые адреса из внутренней сети, т.е. не требуется привлекать NAT.<br><br>Более того, уже работает и первый вариант из моего вопроса, с двумя шлюзами. Т.е. "главный шлюз" туннель успешно поднял.<br><br>Что мне непонятно, так почему выполнение 'ssh -b A.A.A.A' на шлюзе уходит в ipsec, а тот-же A.A.A.A, но полученный kernel NAT'ом, идёт напрямую провайдеру, а не в туннель.<br> https://www.opennet.ru/openforum/vsluhforumID10/5200.html#1 Fri, 18 Oct 2013 05:18:40 GMT &gt; Поиски по словам IPSec / NAT находят только про NAT Traversal, что <br>&gt; совсем не о том.<br><br>Отсюда http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/ipsec.html что-то не пошло?<br>