web-dev-qa-db-ja.com

iptablesでIPsec VPNを転送する方法

こんにちはiptablesを使用してIPsec VPNデータを転送する方法について質問があります。これが私がやりたいことです:

WANコンピューターeth1/WAN IP)Server1(eth0/10.81.1.2)-(eth0/10.66.2.3)Server2(eth1/WAN IP)-WAN

---(注: Server1とServer2の内部ネットワークを接続できます

これらをServer1に設定しようとしました:

iptables -t nat -A PREROUTING -p udp --dport 4500 -j DNAT --to-destination 10.66.2.3
iptables -t nat -A PREROUTING -p udp --dport 500 -j DNAT --to-destination 10.66.2.3
iptables -t nat -A PREROUTING -p udp --dport 1701 -j DNAT --to-destination 10.66.2.3
iptables -t nat -A POSTROUTING -p udp -d 10.66.2.3 --dport 4500 -j SNAT --to-source 10.81.1.2
iptables -t nat -A POSTROUTING -p udp -d 10.66.2.3 --dport 500 -j SNAT --to-source 10.81.1.2
iptables -t nat -A POSTROUTING -p udp -d 10.66.2.3 --dport 1701 -j SNAT --to-source 10.81.1.2
iptables -A FORWARD -p esp -j ACCEPT
iptables -A FORWARD -p ah -j ACCEPT

しかし、WAN Computer1を使用して、Server1のWAN IPを使用するコンピュータで、Server2に直接接続するためにIPsec VPNを使用できますWAN WAN経由のコンピュータ)。

誤解している部分があるかもしれませんが、Server1を使用してServer2に接続し、WANにアクセスするように設定するにはどうすればよいですか?

1
Saiyu Sarai

これを行うことをお勧めします

eth0は「公開インターフェース」です

/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

アクティブルーティング

/bin/echo 1 >  /proc/sys/net/ipv4/ip_forward

内部IPSecサーバーに要求をリダイレクトするようにNATを設定します

/sbin/iptables -t nat -A PREROUTING -i eth0 -p utp --dport 1701 -j DNAT --to-destination 10.66.2.3:1701
/sbin/iptables -t nat -A PREROUTING -i eth0 -p utp --dport 500 -j DNAT --to-destination 10.66.2.3:500
/sbin/iptables -t nat -A PREROUTING -i eth0 -p utp --dport 4500 -j DNAT --to-destination 10.66.2.3:4500
1
asterissco

Iptablesの設定に問題はありません。 server1でIP転送を有効にしましたか? (デフォルトでは無効)

echo 1 > /proc/sys/net/ipv4/ip_forward
0
bcs78