Ipsec и 2 сети с одинаковой адресацией



  • Добрый всем вечер.
    Возникла нужда объединить 2 сети по Ipsec. Адресация сетей одинакова, естественно никто ничего менять не хочет. Все настроено, работает ( тестовый вариант с другой адресацией). Какие варианты?

    1. В Linux это можно сделать через PREROUTING / POSTROUTING NETMAP. В PF есть такая возможность? Или можно как -то штатными средствами?
    2. Nat 1 1 - Муторно колотить, да и двойной нат как себя поведет- не знаю.
    3. Товарищи из филиала хотят повесить 2 IP на 1 карту, +маршрут происать и прописать еще 1 шлюз по умолчанию (???????), мол у них все работает. Пока послал, но время поджимает.
      С уважением
      Павел


  • @pavelmil здр.
    С обеих сторон туннеля, что стоит? С Вашей понятно, это PF. Сети с одинаковой адресацией я бы лично об'единял на L2. Например, openvpn в режиме tap. Или используя Netgraph freebsd. Я пока не совсем улавливаю, как пакет для одной и той же сети может попасть в маршрутизатор.( за исключением пакетов для самого маршрутизатора)

    Ps. В принципе, почитав про iptables, стало понятно, как это выглядит на практике. Обмануть маршрутизатор на lan интерфейсе можно, а вот можно ли обмануть маршрутизатор на вх/выходе из туннеля я пока не знаю. Надо подумать.



  • Нарисую схему попозже. Сейчас кроме планшета ничего нет.



  • @pavelmil Да , нарисуйте пожалуйста , если не сложно
    Просто я понимаю , как можно изменить ip пакет на входе/выходе lan интерфейса . А вот как его менять без лишних телодвижений на вх /вых туннеля я пока не очень понимаю .

    Предварительно , я бы пробовал делать так (верхняя строчка это адрес источника , нижняя адрес назначения)
    192.168.15.5->Lan интерфейс без изменений -> туннель->Lan интерфейс (192.168.25.5)-> Хост
    192.168.25.6->Lan интерфейс (меняем на 192.168.15.6) ->туннель-> Lan интерфейс без изменений -> хост (192.168.15.6)

    И обратно меняем зеркально
    Пока лично для меня непонятно :

    1. как отреагирует ядро на селекторы трафика 192.168.15.0/24 == 192.168.15.0/24
    2. будет ли ядро пихать в туннель пакеты с адресом источника и назначения из одной сети

    если на пункты 1 и 2 ответ положительный , то такая схема мб реализована
    Не совсем штатными средствами , но все-таки можно пробовать





  • Ipsec.png
    Сети одинаковы, В тестовом режиме с другой сеткой филиала все работает. Хочется пропустить весь трафик через свое оборудование.



  • @pavelmil
    Здр
    попробуйте сделать , как показал Werter , используя Nat/Binat с обеих сторон туннеля. 3-я ссылка на немецком



  • Спасибо, попробую.
    С уважением
    Павел



  • Спасибо, все заработало. Непонятно следующее. Канал поднимается (фаза 1 и 2) при запросах с обеих сторон.
    Комп. 1 ( филиал) не может подключится по RDP к Комп. 1 ( офис). После подключения Комп. 1 ( офис) к Комп. 1 ( филиал, RDP ), связь в обе стороны. Настройки основного FW? ESP забыл открыть?
    С уважением
    Павел



  • @pavelmil
    Для этого существуют ЛОГИ. Всегда смотрите ЛОГИ.

    Зы. А теперь представьте, что кто-то с ноутом из дома и ви-фи роутером, к -ый (внезапно) тоже выдает 192.168.0.0/24 подключается к вашей "котовасии"? Представили? В сотый раз убеждаюсь ,что за сеть 192.168.0.0 НА РАБОТЕ - гнать ссаными тряпками. За профнепригодность.


Log in to reply