Ipsec Alternative Source-NAT und iptables?
Hallo,
ich habe ein lokales Netz das über ipsec Zugriff auf andere Netze hat
(oder haben soll). Dabei soll jeder Rechner aus dem lokalen Netz Zugriff
auf das entferne Netz bekommen aber nicht umgekehrt. Für die Rechner am
anderen Ende der Tunnel soll nur das öffentliche Interface des
VPN-Gatewas erreichbar sein. Das Gateway ist ein neues Debain Sarge
System mit 2.4 Kernel auch gleichzeitig das default Gateway für das
interne LAN.
Das Gateway hat 2 NICs. eth0 fürs interne LAN und über eth1 kommen die
VPN Verbindungen. Der Endpunkt für die VPN Verbindungen ist eth1.
Mein erster Ansatz war mit iptables ein Source-NAT vom internen subnet
auf die externe IP zu machen. Leider funktioniert das nicht weil die
Packete scheinbar in ESP gekapselt werden bevor sie durch POSTROUTING
der iptables laufen. Ab Kernel 2.6 gibt es einen Patch der das möglich
macht.
ipsec-01-output-hooks
ipsec-02-input-hooks
ipsec-03-policy-lookup
ipsec-04-policy-checks
http://www.netfilter.org/patch-o-matic/pom-extra.html
Ich bin neu bei Debian und würde gerne erstmal den "standard" Kernel
einsetzen. Gibt es eine andere Möglichkeit das lokale Netz von den
anderen zu trennen?
Danke
Thomas
Reply to: