我已经用Win10 Pro敏捷VPN客户端和Linux StrongSwan服务器成功build立了VPN Ikev2隧道。 客户端可以ping通strongswan服务器(192.168.0.11)和192.168.0.0/24networking中的其他任何机器。 但是,StrongSwan服务器不能ping / arping连接的RoadWarrior。 所以一些程序因为无法到达客户而失败。 我的networking设置: Win10(192.168.0.10/VirtualIP:192.168.0.100)===(192.168.0.1)Fritz Router#1(ISP的91.13.xx)=== INTERNET ===(ISP的217.94.xx)Fritz Router#2 192.168.0.1)===(192.168.0.11)StrongSwan服务器 ipsec.conf文件: conn %default ikelifetime = 60m keylife = 20m rekeymargin = 3m keyingentries = 1 keyexchange = ikev2 rekey = no conn vpn left = 192.168.0.11 leftsubnet = 192.168.0.0/24 leftauth = pubkey leftcert = server1_Host_cert.pem right = %any rightauth […]
我有一个有两个NIC的RRAS WS2k8r2服务器: 公共网卡位于防火墙后面的DMZ网段(自己做NAT); 私有网卡在本地网段。 同一个防火墙负责处理从本地和DMZ段到Internet的所有stream量。 现在,VPN客户端从本地网段范围接收IP4地址,所以它们可以很好地到达私网,但是无法到达互联网。 “使用默认网关..”选项已启用。 我可以在RRAS服务器本身上实现NAT,但是我认为这意味着stream量会两次(在RRAS和防火墙上),VPN客户端到互联网的stream量将通过DMZ段。 我更喜欢为VPN客户端设置与本地网段中PC相同的策略。 那么,如何通过本地子网将VPN客户端的stream量路由到互联网,而RRAS上没有NAT呢? 也许VPN客户端应该在不同的网段上,RRAS位于这个网段和本地网段之间。 如何做到这一点? 谢谢!
由于不必要的原因,我必须通过互联网运行TFTP服务器。 根据RFC 1350 ,在连接期间使用的每个端点都有一个随机端口。 但是,对于UDP NAT固定,显然只允许从同一个端口响应的请求消息。 这是一个stream量的例子: 客户端:192.168.1.2(NAT设备/网关.1) 客户的公共IP:50.1.1.1 服务器:12.50.100.1:69(公共服务器,不在NAT后面) 客户端: 192.168.1.2:45613 -> 12.50.100.1:69 服务器端: 50.1.1.1:45613 -> 12.50.100.1:69 12.50.100.1:29412 -> 50.1.1.1:45613 在服务器端select的TID是29412,但是请求端口是69.我需要的是确保这个stream量是用源端口69发送的。有没有什么办法可以在不改变源代码TFTP服务器? 我见过一些令人印象深刻的iptables魔术,所以我在这里问。
我正在尝试使用iptablesconfiguration专用的防火墙, 在这里看到我的networking图 我的防火墙有5个接口4用于networking和其他万用 WAN eth0 192.168.1.2/24 Lan1 eth1 192.150.1.1/24 Lan2 eth2 192.131.1.1/24 我已启用转发 root @ FW#cat / proc / sys / net / ipv4 / ip_forward 1 我也创build了以下nat规则,以允许networkingstream量(槽路由器192.168.1.1) iptables -A POSTROUTING -t nat -o eth0 -s 192.131.1.0/24 -d 0/0 -j MASQUERADE iptables -A POSTROUTING -t nat -o eth0 -s 192.150.1.0/24 -d 0/0 -j MASQUERADE 与政策默认“接受”我们有互联网接入,但是当我改变政策FORWARD到DROP。 […]
我确信我缺less一些简单的东西。 我有一个辅助数据中心,将接pipe主要的一些服务。 两个位置都通过openvpn连接。 我想通过VPN连接将站点A中的广域网IP转换为站点B中的主机。 这是很容易完成的Sophos防火墙使用完整的规则,但我不知道如何做到这一点在pfSense。 我已经尝试了DNAT和SNAT规则,将站点B的局域网IP映射到站点A的局域网IP。这是行不通的。 有没有人用pfSense做过这个? 任何帮助,将不胜感激。
我有一组相同的亚马逊linux ec-2前端Web服务器,通过Elastic Load Balancer(ELB)提供Web内容。 他们每个人都有一个公共IP,所以当他们连接到外部服务的www,他们的ips被logging为几个不同的。 我希望这些服务器通过ELB继续提供他们的networking内容,但是通过NAT网关使用它的单个弹性IP连接到外部世界。 以下是我所做的: 1)在同一个子网( 10.0.1.100是ip)创build了NAT网关,因为ec2 machines +为它分配了一个弹性ip。 2) route add -host ifconfig.co gw 10.0.1.100 dev eth0 route add -host otherservice gw 10.0.1.100 dev eth0 … 现在curl ifconfig.co返回NAT网关的外部弹性IP&它是伟大的:),但是我需要所有的stream量去通过NAT网关,除了通过ELB的。 更新:这是我做了什么来完成任务:1)删除自定义路由ifconfig.co及其他服务; 2)创build第二个子网10.0.200.0/24; 3)将NAT网关作为默认网关添加到其路由表中; 4)将以下行添加到/etc/rc.d/rc.local以便在启动时运行它们: for f in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 0 > $f; done echo 1 > /proc/sys/net/ipv4/route/flush if [ -z "`cat /etc/iproute2/rt_tables | […]
当连接到openvpn服务器(Qnap nas)时,我需要将整个子网从一个范围移到另一个范围。 我find了一种使用iptables netmap的方法。 iptables -t nat -A PREROUTING -d 10.8.0.0/24 -j NETMAP –to 192.168.1.0/24 问题是,qnap Nas似乎没有netmap支持。 我只需要知道如何使用通用的nat选项(snat,dnat或masquerade)来对networking进行NAT转换。
我的主机上有以下情况: vethZ 10.0.0.3 o | —————– ——–|–o o–|—-o o— internet | vethX vethY | vethW eth0 | | 192.168.0.9 | namespace | —————– 路由configuration使用基于策略的路由。 据此,从主机发送到Internet的数据包(例如,使用ping)通过vethZ进入我的networking,然后进入命名空间。 从这里转发到eth0,然后到达互联网。 我想configurationNAT规则,使用eth0 IP(192.168.0.9)伪装所有内部IP地址。 然后我使用iptables添加规则 $ iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE 但是,我的数据包到达eth0而没有被上面的规则伪装。 有人知道原因吗? 先谢谢您的帮助。
我想通过不同的接口/到不同的网关(VPN)路由所有在本地路由器上“本地生成”的stream量,而不是通过本机进行NAT转换的所有stream量。 任何想法如何实现? 我想过用iptables来标记包,但我认为有一个更简单的解决scheme?
我想转发Cisco ASA上的端口,以便可以从Internet访问它们。 但是,由于ASA本身在NAT之后并且不直接连接到互联网这一事实,这是复杂的。 简单的端口转发不起作用。 ASA本身作为一个VPN没有问题。 要检查networking拓扑,请点击这里。 我可以使用什么configuration来实现这种转发?