Witam,
Nie mogę sobie poradzić z zagadnieniem jak w tytule. Z tego co
wyczytałem w
sieci istnieje faktycznie kłopot z przepuszczaniem ruchu VPN przez
maskaradę. A jednak przecież multum sieci stoi za maskaradą i tyle samo
multum ludzi korzysta z vpnu bedac w takiej konfiguracji.
A konfiguracja jest najprostrza.
1. Router VPN centrala (sprzęt, nie
2. Siec Internet
3. Router z maskaradą Debian
4. Sieć lokalna z klientami wdzwanianymi pod Windows.
Problem polega na tym, że wdzwaniany vpn klient z windows nie potrafi
przejść choćby autoryzacji (lohgin/hasło), połączenie nie zestawia
się. Ten
sam klient przepięty na numery IP publiczne które omijają maskowanie
wdzwania
się bez problemu.
Z tego co udało mi się znaleźć na sieci wynika, że maskarada w jakiś
sposób modyfikuje pakiety vpnu przez co występują kłopoty ze spieciem
takiego tunelu. Jest sporo opisów rozwiązań w oparciu o Swany ale sa
to rozwiązania punkt punkt (w obu lokalizacjach są stawiane vpny na
linuxie i nie przechodzą przez maskaradę).
Znalazłem na necie wpisy do maskarady które przepuszaczały by poza
maskaradą ruch na poszczególnych portach wykorzystywanych przy VPN:
iptables --append INPUT --protocol AH --in-interface eth0 --jump ACCEPT
iptables --append INPUT --protocol ESP --in-interface eth0 --jump ACCEPT
iptables --append INPUT --protocol UDP --source-port 500
--destination-port 500 --in-interface eth0 --jump ACCEPT
iptables --append INPUT --protocol UDP --source-port 4500
--destination-port 4500 --in-interface eth0 --jump ACCEPT
tudzież próbowałem wykluczyć z maskarady protokoły odpowiedzialne za vpn:
iptables -t nat -I POSTROUTING 1 -p 50 -j ACCEPT.
iptables -t nat -I POSTROUTING 1 -p 51 -j ACCEPT.
Bez skutku niestety :(
Połączenia wdzwaniane przez klientów stojących za natem są przecież
popularne. Ja nie mogę sobie dać z tym rady. Na każdym routerku za
grosze jest opcja "VPN pass through".
Ale jak to zrobić na Linuxie?????????
Będę wdzięczny za każdą pomocną dłoń.
Pozdrawiam,
G.M.