Какие правила в iptables прописать, чтобы увидеть машины в сети за IPSec туннелем?

Question

[Ярослав]

Поднят туннель IPSec на хост машине c proxmox, конфиг:
left = 1.1.1.1 (proxmox, интерфейс vmbr0)
leftsubnet = 10.14.0.0/24 (сеть между VM, интерфейс vmbr1)
right = 2.2.2.2 (удалённая Cisco)
rightsubnet = 10.0.0.0/16

Машинки в 10.0.0.0/16 видят VM на proxmox (10.14.0.0/24), а VM не видит машинки в 10.0.0.0/16

Какие правила в iptables надо прописать, чтобы VM видели машины в 10.0.0.0/16?

Answer 1

[Dmitry]

Предполагаю, что проблема не в iptables proxmox, а в firawall cisco, возможно, запрещен форвард новых соединений из вне

Comments

[Ярослав]

Думаю, нет. Потому что туннель из конторы в другом офисе работает. Подозреваю, что надо нат правило прописать на хост тачке proxmox, но не умею) у нас админы виндовые и по линуксу подсказать не могут или не хотят.

[Dmitry]

Ярослав, да, скорее всего нужно исключить маскарад трафика в таблице nat из 10.14.0.0/24 в 10.0.0.0/16
Попробуйте выполнить на proxmox
iptables -t nat -I POSTROUTING 1 -s 10.14.0.0/24 -d 10.0.0.0/16 -j ACCEPT

[Ярослав]

Dmitry, получилось, спасибо. Единственное, что почему то не помогало прописать это дело в консоли, а прописав для 10.14.0.1 интерфейса post-up и перезагрузив proxmox всё взлетело.

[Ярослав]

Dmitry, можно домучить вас?) Есть ещё DMZ 192.168.58.0/24 тут я полагаю же чере ip route add надо разруливать? Что то типа ip route add 192.168.58.0/24 via 10.0.0.0.1? Из DMZ машину на proxmox вижу.

[Ярослав]

Сам отвечу. ip route add 192.168.58.0/24 dev vmbr2

Answer 2

[CityCat4]

Я не знаю, как ведет себя циска - это Вам в гугл - но в линухе за маршрутизацию IPSec отвечает не таблица маршрутизации, а SPD (Security Policy Descriptor), ну то есть таблица SPD конечно же. В обычном линухе ее строит strongswan ну или другой IKE-демон, можно и вручную, хоть криво и долго.