Nastasia Posted March 23, 2017 Posted March 23, 2017 (edited) Добрый день! Прошу подсказки по настройке прозрачного (без NAT) роутинга между private-интерфейсами, когда один из них - L2TP/ipsec туннель. L2TP0 интерфейс на KeeneticII имеет security-level private, no global, прописана команда ip nat L2TP0, чтобы с сервера проходили пакеты к условному хосту 7.7.7.7, который доступен только через один из WAN-портов KeeneticII. Я ожидаю, что команда ip nat L2TP0 приведет к трансляции адресов из подсетей 192.168.200.0/24 и 192.168.230.0/24 при отправке пакетов в public-интерфейсы KeeneticII (к хосту 7.7.7.7, например), а при обращении к хостам из подсети 192.168.60.0/22 пакеты будут проходить прозрачно. Однако wireshark, запущенный на 192.168.60.40 показывает, что при пинге с адресов 192.168.230.33 или 192.168.200.130 хоста 192.168.60.40 источником пакетов является 192.168.60.1 Как сделать, чтобы хосты на разных концах туннелей этого RAS обращались друг к другу без NAT? Схема подключения для наглядного понимания на рисунке ниже. Edited March 23, 2017 by Nastasia Quote
r13 Posted March 23, 2017 Posted March 23, 2017 В кинетике nat висит на интерфейсе источнике, например на Home (ip nat Home) и все его пакеты натятся. Выборочный nat пока в зачаточном состоянии, почитайте, возможно поможет. 1 Quote
Nastasia Posted March 23, 2017 Author Posted March 23, 2017 Спасибо, это похоже на то что мне нужно. Надо попробовать. Quote
gaaronk Posted March 23, 2017 Posted March 23, 2017 Можно скриптом /opt/etc/ndm/netfilter.d/02_nat.sh #!/bin/sh [ "$table" != "nat" ] && exit 0 /opt/sbin/iptables -t nat -A _NDM_IPSEC_POSTROUTING_NAT -o ngre+ -j ACCEPT /opt/bin/logger -t "iptables" "Add GRE rules to table $table" Только имя -o <интерфейс> задайте нужное вам Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.