+----------+ +--------------+
| Linux |10.8.0.2 tap0 10.8.0.1| Win2003 |
| debian5.0[]-----------------------------[] server |
| client | VPN | |
| OpenVPN |eth1 | |
| Shorewall[]-----------------------------[] |
| |192.168.1.2 192.168.1.1| |
+---[]-----+ +--------------+
|192.168.2.2
|eth0
|
|
|192.168.2.1
+---[]-----+
| |
| user |
| |
+----------+Приветствую! Такая проблема, может кто-нибудь сталкивался с такой...
Надо настроить shorewall на Linux, чтобы user смог "достучаться" до servera через VPN, т.е. чтобы все пакеты шли через зашифрованный канал... Никак не могу это сделать...
Заранее спасибо за помощь!
разрешите все пакеты через tap интерфейс, у user должен быть прописан маршрут к 10.8.0.0/24 через 192.168.2.2 и обращаться к server он должен по 10.8.0.1, а не по 192.168.1.1, ну или в случай обращения по 192.168.1.1 делать DNAT на 10.8.0.1. для возврата пакетов от server через tap , на server прописать маршрут к 192.168.2.1/32 или к 192.168.2.0/24 через 10.8.0.2 или на debian делать SNAT на tap интерфейсе
Большое спасибо попробую - отпишусь...
Настраивал весь день и толку мало... не хочет пинговать и всё тут... пишет что заданный узел недоступен:interfaces
#ZONE INTERFACE BROADCAST OPTIONS
loc2 eth0 detect tcpflags,nosmurfs
loc tap0 detect tcpflags,nosmurfs
masq
#INTERFACE SOURCE ADDRESS PROTO PORT(S) IPSEC MARK
eth0 tap0policy
#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST
$FW net ACCEPT info
loc net ACCEPT info
loc2 loc ACCEPT info
loc loc2 ACCEPT info
all all REJECT
rules
#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/ MARK
# PORT PORT(S) DEST LIMIT GROUPDNS/ACCEPT $FW net
DNS/ACCEPT loc loc2
DNS/ACCEPT loc2 locSSH/ACCEPT loc $FW
SSH/ACCEPT loc2 $FW
SSH/ACCEPT loc loc2
SSH/ACCEPT loc2 locPing/ACCEPT loc $FW
Ping/ACCEPT loc2 $FW
Ping/ACCEPT loc loc2
Ping/ACCEPT loc2 loc
Ping/ACCEPT loc2 netACCEPT $FW net icmp
ACCEPT $FW loc icmp
ACCEPT $FW loc2 icmp
Как только не пытался... да видимо не всё так просто как казалось бы...
>
>masq
>#INTERFACE SOURCE ADDRESS PROTO PORT(S) IPSEC MARK
>eth0 tap0
>маскарадинг не обязателен, но если действительно нужен, то для соединения user-->tap
надо поменять местами:
tap0 eth0
>также, в файле shorewall.conf установи параметр: IP_FORWARDING=On
забыл про зоны и конфиг...
#ZONE TYPE OPTIONS IN OUT
# OPTIONS OPTIONS
fw firewall
net ipv4
loc ipv4
loc2 ipv4конфиг дефолтный только изменил
ADD_SNAT_ALIASES=Yes
DETECT_DNAT_IPADDRS=Yes
не, правила для генератора правил без толку тут показывать , iptables-save - это понятней будета так же таблицы маршрутизации с user, debian и server
>не, правила для генератора правил без толку тут показыватьПолучается что без настройки iptales тут не обойтись! Говорили что мол настроил один только shorewall и всё работает!??! или я чего то не понимаю!?
>>не, правила для генератора правил без толку тут показывать
>
>Получается что без настройки iptales тут не обойтись! Говорили что мол настроил
>один только shorewall и всё работает!??! или я чего то не
>понимаю!?shorewall - это один из генераторов правил для iptables (если рассматривать сильно упрощенно) и запоминать кто и как создает правила не вариант, лично мне проще было понять как пишутся правила в iptables и теперь не важно как загружались правила для него, посмотрев вывод iptables-save видно какие правила на текущий момент , при этом если вывод перенаправить в файл, то из него же можно их и загрузить или с небольшими затратами сделать скипт для загрузки этих или подправленных правил.
Огромное спасибо! Разобрался с iptables, но как-то shorewall роднее оказался...Как говориться каждому своё!
Еще один вопросик меня интересует... я использую VPN и для этого установил OpenVPN... вопрос: есть ли в shorewall свой встроеный "OpenVPN"... и подойдет ли он для замены отдельной программы OpenVPN? Заранее спасибо!