Настройка VPN между офисами

Вопрос следующий.
Есть центральный офис. В качестве шлюза выхода в интернет — имеется d-link DFL-800, на котором поднято 2 интерфейса:

Внешний: 10.10.20.1
Внутренний: 192.168.0.1

Также на роутере штатными средствами поднят VPN gate, работающий через IPsec c PSK ключом.

Есть филлиал, на котором в качестве роутера был собран и настроен сервер на Debian 7. Сервер имеет также 2 интерфейса:

Внешний: eth0 10.10.30.1
Внутренний: eth1 192.168.7.1

На сервере крутится маршрутизация, прозрачный кальмар, да пару служебных утилит. Задача законнектить его по VPN (сеть -сеть) к роутеру в офисе.
Для решение этой проблемы был выбран openswan. Вот конфиг ipsec.conf:

Код:

# basic configuration 
config setup 
    nat_traversal=yes 
    oe=off 
    protostack=netkey 

#vpn connection 
conn net-to-net 
    authby=secret 
    left=10.10.30.1 
    leftsubnet=192.168.7.0/24 
    leftnexthop=%defaultroute 
    right=10.10.20.1 
    rightsubnet=192.168.0.0/24 
    rightnexthop=%defaultroute 
    auto=start



Вопрос заключается в том, что из сети головного офиса (192.168.0.0/24) узлы прекрасно пингуются и доступны, а вот обратно (из 192.168.7.0/24) — пинг не проходит. Хотя конфигурация на роутере рабочая, так как раньше, вместо сервера на дебиане, стояла такая-же железка, как и в головном офисе и между ними была нормальная связь.

Вот конфиг правил:

Код:

# Включаем форвардинг пакетов 
echo 1 > /proc/sys/net/ipv4/ip_forward 

# Разрешаем трафик на loopback-интерфейсе 
iptables -A INPUT -i lo -j ACCEPT 

# Разрешаем доступ из внутренней сети наружу 
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT 

# Включаем NAT 
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.7.0/24 -j MASQUERADE 

# Разрешаем ответы из внешней сети 
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT 


# Проброс DNS 
iptables -t nat -I PREROUTING -i eth1 -p udp --dport 53 -j DNAT --to-destination 195.177.123.1 

# Добавляем в iptables строчку перенаправления запросов юзеров с 80-го порта на порт сквида 3128: 

iptables -t nat -A PREROUTING -i eth1 ! -d 192.168.7.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.7.1:3128 
  • Вопрос задан
  • 8161 просмотр
Пригласить эксперта
Ответы на вопрос 3
@Ethril
шлюха выхода в интернет?
Ответ написан
@lkern
По идее надо где-то так: iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
Ответ написан
я просто оставлю это здесь pfsense.org/
(не изобретайте велосипед, указанная мною система с нуля настраивается до нужного вам функционала минут за 15)
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы