Настройка VPN между офисами

Question

[ChiPer]

Вопрос следующий.
Есть центральный офис. В качестве шлюза выхода в интернет — имеется d-link DFL-800, на котором поднято 2 интерфейса:

Внешний: 10.10.20.1
Внутренний: 192.168.0.1

Также на роутере штатными средствами поднят VPN gate, работающий через IPsec c PSK ключом.

Есть филлиал, на котором в качестве роутера был собран и настроен сервер на Debian 7. Сервер имеет также 2 интерфейса:

Внешний: eth0 10.10.30.1
Внутренний: eth1 192.168.7.1

На сервере крутится маршрутизация, прозрачный кальмар, да пару служебных утилит. Задача законнектить его по VPN (сеть -сеть) к роутеру в офисе.
Для решение этой проблемы был выбран openswan. Вот конфиг ipsec.conf:

Код:

# basic configuration 
config setup 
    nat_traversal=yes 
    oe=off 
    protostack=netkey 

#vpn connection 
conn net-to-net 
    authby=secret 
    left=10.10.30.1 
    leftsubnet=192.168.7.0/24 
    leftnexthop=%defaultroute 
    right=10.10.20.1 
    rightsubnet=192.168.0.0/24 
    rightnexthop=%defaultroute 
    auto=start

Вопрос заключается в том, что из сети головного офиса (192.168.0.0/24) узлы прекрасно пингуются и доступны, а вот обратно (из 192.168.7.0/24) — пинг не проходит. Хотя конфигурация на роутере рабочая, так как раньше, вместо сервера на дебиане, стояла такая-же железка, как и в головном офисе и между ними была нормальная связь.

Вот конфиг правил:

Код:

# Включаем форвардинг пакетов 
echo 1 > /proc/sys/net/ipv4/ip_forward 

# Разрешаем трафик на loopback-интерфейсе 
iptables -A INPUT -i lo -j ACCEPT 

# Разрешаем доступ из внутренней сети наружу 
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT 

# Включаем NAT 
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.7.0/24 -j MASQUERADE 

# Разрешаем ответы из внешней сети 
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT 


# Проброс DNS 
iptables -t nat -I PREROUTING -i eth1 -p udp --dport 53 -j DNAT --to-destination 195.177.123.1 

# Добавляем в iptables строчку перенаправления запросов юзеров с 80-го порта на порт сквида 3128: 

iptables -t nat -A PREROUTING -i eth1 ! -d 192.168.7.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.7.1:3128 

Answer 1

[Ethril]

шлюха выхода в интернет?

Comments

[lkern]

Их в последнее время так называют.

[ChiPer]

=)) сорри)

Answer 2

[lkern]

По идее надо где-то так: iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

Comments

[ChiPer]

Все равно не пингует…

[lkern]

Кстати, а остальные сервисы работают через канал? Или проблема только в пинге?
И не могли бы показать, что выводит iptables -L

[ChiPer]

Остальные тоже не работают. Пингом проверяю.

iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     icmp --  anywhere             anywhere             icmp echo-request

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     all  --  192.168.0.0/24       192.168.7.0/24      
ACCEPT     all  --  192.168.7.0/24       192.168.0.0/24     

[lkern]

Похоже дело не в файрволе — без моего правила должно все работать.
А что говорит ifconfig -a?

[ChiPer]

eth0      Link encap:Ethernet  HWaddr 90:2b:34:db:a3:c3  
          inet addr:10.10.30.1  Bcast:10.10.30.255  Mask:255.255.255.0
          inet6 addr: fe80::922b:34ff:fedb:a3c3/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:3815698 errors:0 dropped:3679 overruns:0 frame:0
          TX packets:2025711 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:1838037586 (1.7 GiB)  TX bytes:680973002 (649.4 MiB)
          Interrupt:40 Base address:0xc000 

eth1      Link encap:Ethernet  HWaddr 90:2b:34:db:a3:c1  
          inet addr:192.168.7.1  Bcast:192.168.7.255  Mask:255.255.255.0
          inet6 addr: fe80::922b:34ff:fedb:a3c1/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1963410 errors:0 dropped:40 overruns:0 frame:0
          TX packets:2346769 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:671701310 (640.5 MiB)  TX bytes:1716868476 (1.5 GiB)
          Interrupt:41 Base address:0x2000 

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:850 errors:0 dropped:0 overruns:0 frame:0
          TX packets:850 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:91158 (89.0 KiB)  TX bytes:91158 (89.0 KiB)

Answer 3

[Константин]

я просто оставлю это здесь pfsense.org/
(не изобретайте велосипед, указанная мною система с нуля настраивается до нужного вам функционала минут за 15)