classic.ISPforum.cz

Ahoj,

mam dve lokality spojeny IPsecem (A: 192.168.88.0/24, B:192.168.0.0/24), to je v pohode, taffic prochazi.
Nyni bych potreboval vyresit sutuaci, ze kdyz pristoupim na verejku na lokalite A a port treba 9999, tak aby se mi to prohnalo tim IPsecem na stanici ktera je v lokalite B na port 80.
Je to vubec resitelny?

Diky!

to je stejne jako jsi resil tady: viewtopic.php?f=5&t=21370&p=198676#p198676

akorat je potreba v mangle pridat ty porty

ale na vic v te lokalite B (routeru) bude muset byt DST NAT ze 9999 je 80 pro tu stanici


akorat me je divne kde natujes na Verejky? Protoze kdyz se s A zeptam na verejku a nekde nahore budu mit NAT 1:1 do lokality B, tak prave zde bych mel mit navic pravidlo ze 9999 je PC B s portem 80

hocimin1 píše:to je stejne jako jsi resil tady: viewtopic.php?f=5&t=21370&p=198676#p198676

akorat je potreba v mangle pridat ty porty

ale na vic v te lokalite B (routeru) bude muset byt DST NAT ze 9999 je 80 pro tu stanici


akorat me je divne kde natujes na Verejky? Protoze kdyz se s A zeptam na verejku a nekde nahore budu mit NAT 1:1 do lokality B, tak prave zde bych mel mit navic pravidlo ze 9999 je PC B s portem 80

Každá lokalita přistupuje na net pres svoji verejku.
Tzn verejka je nastavena vždy na WAN kazdyho routeru a udělaná maskarada.
Původně byl server na který potrebuju přistupovat v lokalitě A a ted se musel dat do lokality B. A je nemožný objet 100 lidi a měnit jim IP adresu. Takze to je primární důvod.

Testni, jestli už dali dohromady double NAT pro tento případ, před časem to rozbili. Takže na routeru v lokalitě A uděláš naráz dstnat (na tu druhou stranu skrz tunel) i srcnat (nahradíš zdrojovou IP nějakou lokální, takže všechny přístupy z internetu budou vystupovat z té lokální IP). Nicméně toto před časem rozbili, nešlo zkombinovat IPsec tunel, src a dst nat v jednom routeru, tak jsem to ojebal malým metarouterem, který provedl to obrácení do tunelu. Vlastní router udělal dstnat do svého matarouteru, metarouter udělal příslušný dst i srcnat na druhou stranu a šlape to tak dosud někde a neměl jsem důvod na to už sahat (na věci, co člověk nastavoval uprostřed víkendové noci v metal klubu po sedmém pivu je lepší se už nedívat, pokud fungují).
Blbosti typu policy routing a mngle na tohle neplatí, protože IPsec pravidla mají prioritu...