* martedì 22 maggio 2007, alle 20:11, Fabio Muzzi scrive:
> Ora, per vari motivi il remoto si aspetta che io parli con lui dalla
> rete 151.95.160.0/28, pero` io ho i miei 100 pc nella rete 10.0.0.0/16.
>
> Ora, come posso configurare il NAT sul firewall, il quale e` lo stesso
> che fa da endpoint del tunnel? Cioe`, siccome non ho una interfaccia
> associata al tunnel ipsec, la domanda e`: che cacchio di comando uso per
> iptables? Qual'e` l'interfaccia di uscita dei miei pacchetti? A quale
> interfaccia assegno un indirizzo nella rete 151.95.160.0/28, posto che
> non ho alcuna interfaccia associata con il tunnel?
Credo, ma prendi con ampio beneficio di inventario, che lo devi fare da
racoon, mediante le opzioni nat_traversal (nota che il default dovrebbe
essere off) nella definizione di remote bla bla { opzioni }.
Dovrebbe fare autodiscovery e usare poi pacchetti udp sulla porta 4500.
Se non va nat_traversal on, potresti provare force (lo fa anche se non
"sente" il nat).
Nota che, credo, tu debba specificare _tu_ l'interfaccia e la porta
(default sempre 4500) con listen { isakmp_natt address [port]; }.
HTH.
--
Maurizio - Tannoiser - Lemmo
Founder Member of ERLUG http://erlug.linux.it
-------------------------------------------------------------------------------
BOFH excuse #109:
The electricity substation in the car park blew up.
|