Как да прекарам трафик през IPsec тунел ?

[JikTak]

Здравейте,

Имам издраген IPsec със следните ип адреси предоставени от другата страна: src-address: 172.19.9.32/28 и dst-address 172.19.1.0/29.

Моята локална мрежа е 192.168.172.0/24 със гейт 192.168.172.101.

Как да прекарам трафик от моята мрежа да достигне 172.19.1.2

Благодаря Ви!

 

[Самуил Арсов]

Ако транспортната мрежа в IPsec тунела е 172.19.9.32/28 то може да се предположи, че от твоя страна IP адреса е 172.19.9.34 a от другата e 172.19.9.33, ако това е така трябва да рутираш:

ip route/add dst-address=172.19.1.0/29 gateway=172.19.9.33

Сега рутера ти трябва да вижда вече 172.19.1.2 но за да го вижда мрежата зад рутера 192.168.172.0/24 трябва да направиш masquerade на IPsec интерфейса.

ip firewall/nat/add action=masquerade chain=srcnat out-interface="IPsec тунел"

 

[JikTak]

Но, аз нямам интерфйс на IPsec

[Самуил Арсов]

Ще потъркам кристалната топка със затворени очи и ще опитам да отгатна с каква конфигурация си ?

Дори да нямаш интерфейс, което е възможно, имаш транспортна мрежа през която искаш да видиш друга такава (пакетите между транспортните IP адреси са криптирани, затова се нарича IPsec) но в IP за да видиш друга мрежа трябва да има маршрутизиране (рутиране) и дали ще пренасяш пакетите с "пощенски гълъби" или с тунел няма значение ! NAT може да се направи и без да се описва интерфейса (в src-nat - to-addresess)

 

[JohnTRIVOLTA]

Преди 2 часа, JikTak написа:

Здравейте,

Имам издраген IPsec със следните ип адреси предоставени от другата страна: src-address: 172.19.9.32/28 и dst-address 172.19.1.0/29.

Моята локална мрежа е 192.168.172.0/24 със гейт 192.168.172.101.

Как да прекарам трафик от моята мрежа да достигне 172.19.1.2

Благодаря Ви!

 

С рутиране и сорснатване от двете страни! Тоест заявката от локалната мрежа ще се натне с адреса на рутера/гейта за който вече има изградено полиси и ще се рутне през съответния интерфейс към противоположния рутер, така и за другия рутер също в обратната посока!