« previous next »
Pages: [1]

Author Topic: [RESUELTO] VPN Routing IPsec  (Read 1953 times)

dr_mad

  • Zen Apprentice
  • *
  • Posts: 1
  • Karma: +0/-0
    • View Profile
[RESUELTO] VPN Routing IPsec
« on: April 04, 2013, 06:04:55 pm »
Hola, soy nuevo en la administración de firewall con linux y estoy teniendo algunos problemas con el enrutado a través de una conexión IPsec.

Usando Zentyal he configurado una conexión IPsec con un cliente que tiene un router Cisco, entre las restricciones que me impone el cliente es que tengo que establecer la conexión desde una única IP (10.2.3.4).

Tengo 2 tarjetas de red, la de nuestra LAN con IP estática (192.x.x.1-eth1) y la que se conecta a Internet a través de un router con IPSec Passtrrough activado (1.2.3.4-eth0). La conexión VPN se levanta correctamente y desde la máquina zentyal puedo hacer ping a las máquinas de la red del cliente (10.0.0.0/8). El problema lo tengo con el enrutado desde las máquinas de la LAN interna nuestra.

He activado el ip_forward (net.ipv4.ip_forward=1 e, /etc/sysctl.conf).

Para hacer la prueba establezco una ruta de la siguiente forma:
Code: [Select]
route add 10.0.0.0 mask 255.0.0.0 gw 192.x.x.1
He creado 2 objetos, uno llamado "LANInterna" y otro "LANcliente" estableciendo la dirección CDIR 192.x.x.0/24 y 10.0.0.0/8 respectivamente.

Con estos objetos he creado reglas del firewall para permitir cualquier tipo de tráfico desde LANcliente hacia el servidor Zentyal y hacia LANinterna. También he creado reglas para permitir cualquier tipo de tráfico desde LANinterna hacia LANcliente.

Además he configurado SNAT como se indica en el adjunto.

¿Podéis ayudarme?

Gracias

EDIT: Me da la impresión de que zentyal no está encaminando los paquetes a través del túnel pero no se cómo definir esto ¿se crea algún tipo interfaz virtual a través de la cual encaminar los paquetes?

EDIT: He tenido que añadir reglas al firewall a mano en concreto esta:
Code: [Select]
sudo iptables -t nat -I POSTROUTING 1 -s 192.x.x.0/24 -o eth0 -d 10.0.0.0/8 -j SNAT --to-source 10.2.3.4

Por defecto la primera regla de la tabla nat para POSTROUTING esta definida de la siguiente forma:
Code: [Select]
Chain POSTROUTING (policy ACCEPT 125 packets, 9318 bytes)
 pkts bytes target     prot opt in     out     source               destination
  453 32821 postmodules  all  --  *      *       0.0.0.0/0            0.0.0.0/0
Y luego añade las entradas SNAT, los paquetes no pasaban de la primera regra por lo que he tenido que insertar la regla por delante de esa con lo escrito anteriormente, me ha ayudado para resolverlo este post del foro: http://forum.zentyal.org/index.php?topic=4287.0.
« Last Edit: April 05, 2013, 04:14:00 pm by dr_mad »
Logged
Pages: [1]
« previous next »