[Pluto-security] Impossibile nattare ed impossibile non
nattare, come faccio?!?
Tom aka 'Dido'
tom at pluto.linux.it
Mon Mar 17 11:26:39 CET 2003
Ciao!
Se usi IPSec, il problema è che non puoi nattare.... Tu dici che i tuoi
client hanno ip pubblico. Perchè questo? Non dovrebbe.....Se ho capito
bene, i client non sono dei Road Warrior!
Per risolvere il problema del nat puoi sempre dire di nattare le
connessioni dirette ovunque tranne che verso gli ip dell'altro capo della VPN.
Io lascerei ai client l'IP privato, poi metterei una regola del genere:
iptables -t nat -I POSTROUTING -i eth1 -o eth0 ! -d 172.16.32.2 -j SNAT
--to-source 10.1.1.2
(ok, la regola non è otimizzata, ma è tanto per farci capire..) In pratica,
natto tutti i pacchetti uscenti, tranne che quelli diretti al VPN Conc...
Spero comunque di avere capito il problema....
Dido
>I servizi che devono passare sono questi:
>
>Service Protocol
>PPTP Control Connection 6 (TCP)
>PPTP Tunnel Encapsulation 47 (GRE)
>ISAKMP/IPSEC Key Management 17 (UDP)
>IPSEC Tunnel Encapsulation 50 (ESP)
>IPSEC NAT Transparency 17 (UDP)
>
>Esiste un modo per aggirare questo problema?!? Aiutatemi...
>
>Grazie, Roberto
More information about the pluto-security
mailing list