Всем привет! Приключилась бядя: во внутренней сети клиент хочет реальный ip для vpn с москвой. У них на фирму сетка с ip 192.168.111.0/24 спрятана за нашим сервом у которого есть реальный ип с одной стороны и вырожденный с другой, на серве freebsd, nat и squid. Я бы поднял vpn на серве, но им то надо с московскому серваку коннектится. Кто-нибудь видит решение?
>Всем привет! Приключилась бядя: во внутренней сети клиент хочет реальный ip для
>vpn с москвой. У них на фирму сетка с ip 192.168.111.0/24
>спрятана за нашим сервом у которого есть реальный ип с одной
>стороны и вырожденный с другой, на серве freebsd, nat и squid.
>Я бы поднял vpn на серве, но им то надо с
>московскому серваку коннектится. Кто-нибудь видит решение?А натом пробрасывать порты по которому vpn работает не пробывал?
>А натом пробрасывать порты по которому vpn работает не пробывал?У клиента стоит софт vpn-1 securemote, и он, я так понял, требует реальный ip для компа на котором он установлен.
>А натом пробрасывать порты по которому vpn работает не пробывал?
если ipsec - то не пойдет, нужны реальные адреса.
У меня сделано так: 2 адреса (реальный+альяс), изнутри нешифрованный трафик выходит с первого и заворачивается на второй, там шифруется и выкидывается наружу. Т.е. работает роутинг + snat/dnat.
>У меня сделано так: 2 адреса (реальный+альяс), изнутри нешифрованный трафик выходит с
>первого и заворачивается на второй, там шифруется и выкидывается наружу. Т.е.
>работает роутинг + snat/dnat.А чуть подробнее, а то у меня уже каша в голове, от перебора вариантов...
$uname -sr
Linux 2.4.18
Мало чем помогу... Общий смысл такой:
1) создаем альяс на интерфейс
2) snat нужный трафик от первого (основного) адреса (при необходимости - еще и dnat)
3) route его же на второй адрес (альяс или еще одну сетевуху)
4) на этом втором адресе его принимаем, шифруем и отправляем на противоположную сторону (ipsec-router) уже от второго адреса.Если это действительно ipsec, то ему нужно 2 адреса на каждой стороне - роутера и vpn-роутера.