Ipsec in iptables
davor krabše
davork at email.si
Sun Nov 7 11:21:12 CET 2004
Težave imam s konfiguracijo iptables pri L2TP in IPSEC. Konfiguracija:
winXp L2TP Client(Internet) <---> Linux FW <--> WIn2K Server[RAS](Lan)
Xp in Linux imata public ip-je, RAS server pa je v private lanu. Linux je z
eth1 povezan v public, z eth0 pa na private segment. Xp client se z vgrajenim
VPN clientom preko L2TP povezje do RAS serverja. V primeru, da na xp-ju, linuxu
in RASu izključim IPSEC in uporabim:
iptables -t nat -A PREROUTING -i eth1 -p udp --dport 1701 -j DNAT --to
192.168.0.111:1701
gre povezava skozi bp. Problem nastane, če vključim IPSEC. Ideja je ta, da Xp
clinet in Linux komunicirata preko IPSEC, medtem ko je komunikacija linux-RAS
dekriptana.
Na linux strani uporabljam openswan 2.2.0 in kenrel 2.4.27. Tega sem vzel, ker
v 2.4 kernelu še obstaja ipsec0 kot device, da bi lažje izpeljal routing. Na xp
sem vključil IPSEC za L2TP (kar je tako ali tako default, samo ga pa za prej
opisan test izključil) in se brez problema povežem do openswana. Torej IPSEC
tudi deluje bp. Problem nastane pri dekriptani komunikaciji med Linux in RAS.
Kolikor vem, je na ipsec0 virutalni napravi pri openswanu promet že dekriptan,
zato sem zgornji PREEOUTING samo popravil v:
iptables -t nat -A PREROUTING -i ipsec0 -p udp --dport 1701 -j DNAT --to
192.168.0.111:1701
In tukaj se stvar ustavi, saj mi RAS neprestano javlja timeout, tako da ziher
nič ne pride do njega. Ima kdo kakšno idejo, kaj manjka?
Davor
____________________
http://www.email.si/
More information about the lugos-list
mailing list