Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
TepKuH Гость
|
Добавлено: Пн Сен 27 2004 14:42 Заголовок сообщения: Не тривиальная задача с NAT'ом |
|
|
Есть машина с win2k server, она являеся шлюзом в инет для локалки(192.168.1.0). На ней поднят НАТ и он работает. Хочется еще чтобы на ней(на этой же машине) работал VPN/IPSec хотя он тоже работает, НО если только остановить НАТ.
Т.е. по отдельности они работают на ура, а вместе никак.
Это была предыстория.
Так вот вопрос следующий:
Как не НАТить пакеты летящие из локалки(192.168.1.0) в (192.168.167.0)? (идеально это если бы был какой нить хитренький маршрутик)
ЗЫ.
Даже не представляю в какую сторону копать
ЗЗЫ. Реализация L2TP не подходит так как другая IPSec сторона(шлюз безопасности) не держит L2TP |
|
Вернуться к началу |
|
|
a-m-d
Зарегистрирован: 09.09.2004 Сообщения: 1498 Откуда: SPb
|
Добавлено: Пн Сен 27 2004 15:05 Заголовок сообщения: Re: Не тривиальная задача с NAT'ом |
|
|
Хотел было сказать, что правила файервола для туннеля надо повыше NAT-а прописАть... Да перечитал вопрос
Глянь тут "ихнюю" архитектуру после слов How to Configure RRAS Filtering
http://support.microsoft.com/default.aspx?scid=kb;en-us;252735
А также
Note IPSec tunnel mode does not work directly with an endpoint that runs Network Address Translation (NAT)...
Так чта... Похоже, не выйдет. _________________ Век живи - век учись!.. Дураком помрёшь. |
|
Вернуться к началу |
|
|
Гость
|
Добавлено: Пн Сен 27 2004 15:33 Заголовок сообщения: |
|
|
Через NAT VPV/IpSec не пройдет. Ставь отдельный тунельный сервер в обход NAT. |
|
Вернуться к началу |
|
|
Гость
|
Добавлено: Пн Сен 27 2004 15:35 Заголовок сообщения: |
|
|
Цитата: | Note IPSec tunnel mode does not work directly with an endpoint that runs Network Address Translation (NAT)... |
ну я это понимаю... вот и хочу чтобы шло как то мимо, мквозь НАТа
читанно... там имеется ввиду не как сквозь нат что то пустить там скорее что то типа файрвол на сетевой интерефейс
Цитата: | Так чта... Похоже, не выйдет. |
не хочется мне так думать, просто во всех доках говорится, что пройти прямо через НАТ(т.е. пакеты заНАТить) а я не хочу их натить, яхочу какой нить виртуальный интерфейс который меня именно отмаршрутит меня мимо НАТа.
Есть какая то фича "IP-туннель" в службе RRAS зачем оно я так и не понял может в эту сторону копать? |
|
Вернуться к началу |
|
|
TepKuH Гость
|
Добавлено: Пн Сен 27 2004 15:39 Заголовок сообщения: |
|
|
Цитата: | Через NAT VPV/IpSec не пройдет. Ставь отдельный тунельный сервер в обход NAT. |
т.е. отдельную машину с 2-я опять же интерфейсами?
В любой нормальной железяке(Cisco, D-link, Zyxell и пр.) или ОСи(*никс) делается на раз, два.
Может НАТ стороних производителей пофичастее? |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Пн Сен 27 2004 15:50 Заголовок сообщения: |
|
|
Цитата: | Может НАТ стороних производителей пофичастее? |
Дело не в NAT, как таковом, а в IPSec. Его правила работы не позволяют использовать NAT. Производители "железных" роутеров и разработчики UNIX-систем различными способами устранили эту проблему. А разработчики весьма не бедной фирмы наверно даже чесаться не будут. Не ходовая это часть в их "прекрасной" ОС.
Так шта.... Делайте выводы сами.
Я давно уже перенес функции управления сетевым трафиком на UNIX-машины. Чего и вам желаю. |
|
Вернуться к началу |
|
|
TepKuH Гость
|
Добавлено: Пн Сен 27 2004 16:39 Заголовок сообщения: |
|
|
ну почему же... мне наоборот кажется что в нем... было бы там фича "исключение подсетей/хостов"
RRAS кажется такой фичастой весчю, а не нельзя исключить определенные подсети из списка того что НАТить не надо
это то понятно, пакеты IPSec нельзя фрагментировать, но я не хочу НАТить IPSec я хочу наоборот исключить его и списка.
Нужен какой то статический маршрут
Цитата: | Я давно уже перенес функции управления сетевым трафиком на UNIX-машины |
да там подсеть(.1.0) то на 10 машин жалко мне там 3-ю машину ставить и так Oracle, да шлюз на винде, имеенно на винде потому что там крутятся некоторые самописные win32 сервисы. |
|
Вернуться к началу |
|
|
|