页次: 1
192.168.2.0/24-----(2.1)网关A-------internet---------网关B(1.1)------192.168.1.0/24
如上拓扑,两端通过openswan建立了IPsec VPN可以互相访问内网,但现在需要将左侧(192.168.2.0)局域网访问internet的流量也通过左侧网关出去,请问如何实现?
左侧ipsec.conf配置如下:
conn Arch
left=######.f3322.org
leftsubnet=192.168.2.0/255.255.255.0
right=**********.f3322.org
rightsubnet=192.168.1.0/24
leftid="*####@163.com"
rightid="*****@163.com"
ike=3des-md5-modp1024
esp=3des-md5
ikelifetime=8h
keylife=1h
aggrmode=yes
dpddelay=30
dpdtimeout=120
dpdaction=restart
pfs=yes
authby=secret
auto=start
左侧NAT:
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 ! -d 192.168.1.0/24 -o eth0 -j MASQUERADE
左侧添加静态路由:ip route add 192.168.1.0/24 via 192.168.2.1
右侧配置略
如果要将所有流量从VPN走(应该就不需要做NAT了),左侧怎样通过ipsec.conf设置这些流量(ASA防火墙可以通过ACL来适配这些流量,openswan中通过的leftsubnet怎样添加,或者是需要通过其他方法添加)。右侧需要将左侧过来的192.168.2.0/24流量添加NAT,配置有什么注意的地方?右侧的ipsec.conf配置要怎么做?
离线
但现在需要将左侧(192.168.2.0)局域网访问internet的流量也通过左侧网关出去
这个不就是只要在2.1网关上设置下可以访问interlnet,然后nat直接从这个口出去 ,你发的这条就是类似“iptables -t nat -A POSTROUTING -s 192.168.2.0/24 ! -d 192.168.1.0/24 -o eth0 -j MASQUERADE”,记得sysctl设置forward,然后左边所有机器添加 ip route add default via 192.168.2.1 不就可以了? openswan开在两边网关机上。
最后一行我看不明白你说的是什么
EDIT:TYPO
最近编辑记录 atmouse (2015-03-22 18:40:00)
离线
现在两边上网都是正常OK的,只是还想达到另外的效果!比如总部与分公司通过IPSec VPN连接后,希望分公司访问internet也通过总部出去!
离线
现在两边上网都是正常OK的,只是还想达到另外的效果!比如总部与分公司通过IPSec VPN连接后,希望分公司访问internet也通过总部出去!
上面我说了,让分公司的网关ip设置成 总公司的ip就行了,当然总公司的网关要开nat跟forward,
假如 左边分公司,右边总公司,
那么在左边网关上设置下两条
一条直连右边总公司的路由
一条default via 右边的总公司的路由,那么分公司就通过=>分公司网关=>总公司网关=>internet
其实,你确认了分公司的内部终端机可以ping 右边总公司的ip, 那么让所有终端机直接用DHCP获取到总公司的网关ip就行了
离线
页次: 1