OpenSWAN транспортный режим

Аватар пользователя alu

(Извините за дублирование в разделе ASPLinux 11 - не в тему вопрос написал :-? )
В общем дело такое - есть 2 сервера оба ASPLinux 11 OpenSWAN из родных RPM пакетов. Эти сервера соседние (провайдер выдал адреса из 1-й сети допустим х.х.х.0/24). На первом сервере (А) х.х.х.а работает перенаправление портов через iptables на второй (Б) х.х.х.б на втором открыт squid наружу для работы некоторого приложения. Все нормально работает, но безопасность конечно ... ... Вот и решил я сделать шифрование шлюз(А)-шлюз(Б). Сеть-сеть (VPN) не нужно. Настроил OpenSwan шлюз(А)-шлюз(Б) шифруется (ping смотрю через tcpdump идут пакеты ESP), но пропало перенапрвление на squid. Что я не так сделал? Или чего не понимаю? По документации про IPSec наткнулся на рисунок типа такого:

Шлюз1 - IpTables - Ipsec driver - ||| internet ||| - IpSec driver - IpTables - Шлюз2

По его логике все должно работать, в цепочке INPUT FOWARD OUTPUT все соединения к серверу Б по всем протоколам разрешены и наоборот, правило поставил первым...

Вот куски настроек OpenSWAN и IpSec на обоих шлюзах.
IpSec:

config setup
interfaces="ipsec0=eth1"
nat_traversal=no
conn connection1
left = х.х.х.А
leftid = @А
leftrsasigkey=0sAQNy
right = х.х.х.Б
rightid = @Б
rightrsasigkey=0sAQO5
auto = start

Iptables А
-A INPUT -s х.х.х.б -j ACCEPT
-A FORWARD -d х.х.х.б -j ACCEPT
-A FORWARD -s х.х.х.б -j ACCEPT
-A OUTPUT -d х.х.х.б -j ACCEPT

-A PREROUTING -d local_A_ip -p tcp -m tcp --dport 8899 -j DNAT --to-destination x.x.x.б:8899
-A POSTROUTING -d х.х.х.б -p tcp -m tcp --dport 8899 -j SNAT --to-source х.х.х.а

Iptables Б
-A INPUT -s х.х.х.а -j ACCEPT
-A OUTPUT -d х.х.х.а -j ACCEPT

С локальной машины в сети со шлюзом (А) пробую "telnet local_A_ip 8899" - не подключается!!! (((((((((((((((((
Подскажите, поясните кто что сможет... И если я не правильно понял как работает IpSec по тому рисунку - киньте ссылку на другой...
Заранее благодарен!!!

Аватар пользователя DRVTiny

OpenSWAN транспортный режим

Рекомендую со всеми вопросами по SWAN'у обращаться на asplinuxclub.org - там некий sergeil по этой части специалист. Спрашивайте там и возвращайтесь к нам обратно: здесь полно специалистов по другим, менее специфическим вопросам.

RSS-материал