[Sysadmins] Q: IPsec + NAT (или NAT + IPsec)

[Alexey I. Froloff]

* Alexey I. Froloff <raorn@> [060808 13:01]:
> Есть примерно такая конфигурация:

> 10.20.30.40/32 - 1.2.3.4 -(...)- 4.3.2.1 - 4.3.2.10/32

> 1.2.3.4 и 4.3.2.1 - IPsec шлюзы, 10.20.30.40/32 и 4.3.2.10/32 -
> связываемые хосты.

> Левая сторона хочет использовать адрес 10.20.30.40/32, праваа
> против этого возражает.  Есть свободный адрес 1.2.3.40, можно на
> него как-то NAT'ить?  Слева используется OpenS/WAN.

Ну в общем на интерфейсе ipsec+ работает SNAT:

iptables -t nat -A POSTROUTING -o ipsec+ -s 10.20.30.40/32 -d 4.3.2.10/32 -j SNAT --to-source=1.2.3.40

В ipsec.conf:

conn ...
  ...
  leftsubnet=1.2.3.40/32

При этом никаких дополнительных извращений с роутингом не нужно.

-- 
Regards, Alexey I. Froloff
AIF5-RIPN, AIF5-RIPE
-------------------------------------------
  Inform-Mobil, Ltd. System Administrator
       http://www.inform-mobil.ru/
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: Digital signature
Url     : <http://lists.altlinux.org/pipermail/sysadmins/attachments/20060912/40034afe/attachment-0003.bin>