iptables save
# Generated by iptables-save v1.4.4 on Thu Dec 16 12:18:41 2010
*nat
:PREROUTING ACCEPT [32045:2967546]
:POSTROUTING ACCEPT [10:617]
:OUTPUT ACCEPT [91:6068]
-A PREROUTING -d 83.242.253.2/32 -p udp -m udp --dport 500 -j DNAT --to-destination 192.168.10.15
-A PREROUTING -d 83.242.253.2/32 -p udp -m udp --dport 4500 -j DNAT --to-destination 192.168.10.15
-A PREROUTING -d 83.242.253.2/32 -p udp -m udp --dport 18234 -j DNAT --to-destination 192.168.10.15
-A POSTROUTING -p ah -j ACCEPT
-A POSTROUTING -p esp -j ACCEPT
-A POSTROUTING -o eth1 -j MASQUERADE
-A POSTROUTING -d 192.168.10.15/32 -p udp -m udp --dport 500 -j SNAT --to-source 83.242.253.2
-A POSTROUTING -d 192.168.10.15/32 -p udp -m udp --dport 4500 -j SNAT --to-source 83.242.253.2
-A POSTROUTING -d 192.168.10.15/32 -p udp -m udp --dport 18234 -j SNAT --to-source 83.242.253.2
COMMIT
# Completed on Thu Dec 16 12:18:41 2010
# Generated by iptables-save v1.4.4 on Thu Dec 16 12:18:41 2010
*filter
:INPUT ACCEPT [252:21922]
:FORWARD ACCEPT [6:2964]
:OUTPUT ACCEPT [103851:9197212]
-A INPUT -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.10.15/32 -i eth1 -p udp -m udp --dport 500 -j ACCEPT
-A FORWARD -s 192.168.10.15/32 -o eth1 -p udp -m udp --sport 500 -j ACCEPT
-A FORWARD -d 192.168.10.15/32 -i eth1 -p udp -m udp --dport 4500 -j ACCEPT
-A FORWARD -s 192.168.10.15/32 -o eth1 -p udp -m udp --sport 4500 -j ACCEPT
-A FORWARD -d 192.168.10.15/32 -i eth1 -p udp -m udp --dport 18234 -j ACCEPT
-A FORWARD -s 192.168.10.15/32 -o eth1 -p udp -m udp --sport 18234 -j ACCEPT
COMMIT
# Completed on Thu Dec 16 12:18:41 2010
-------------------
Результат - что бы работало.
Поясню, с обычным маскарадом происходит следующее - программка подключается к серверу, проходит аутентификацию, но не получает ip адрес и не проходит тест туннеля. Соответственно сам туннель не устанавливается со всеми вытекающими. Проверка туннеля идет по порту 18234.
tcpdump не показал, что от станции вообще идет такой запрос. Но на 3G модеме все заработало. Отсюда мой вывод - не в портах дело, а в методе натирования. Пробовал NAT-T (это строчки между #----- и рег файл для Windows XP), не помогло - программка вообще перестала соединятся.
По поводу правил, я хз что нарушил, но подозреваю, что это не прятание конфигов в спойлер.
Если подскажете как это сделать, то все спрячу.
Решил дополнить.
Сеть локалка - 192.168.10.0 маска 255.255.255.0
Интернет раздается через шлюз на Ubuntu.
В сети адреса раздаются по dhcp, но машинка с SecureClientom всегда получается один и тот же ip. (прописано на dhcp сервере)
Хотелось бы, что бы и остальная сеть интернет получала и эта машинка смогла соединяться с автовазом через данную программку ибо так требует автоваз.
Пользователь решил продолжить мысль 16 Декабря 2010, 14:31:03:
хождение по мукам продолжается.
нашел вот что:
http://lists.netfilter.org/pipermail/netfilter/2004-December/057343.htmlто есть человек нашел решение для iptables но не может понять, почему у него на одной операционке работает, а на другой нет.
нашел еще вот что:
http://www.linux.org/docs/ldp/howto/VPN-Masquerade-HOWTO-3.htmlЯ так понимаю, что все же надо будет пересобрать ядро, что бы iptables смог начать маскарадить vpn?
Пользователь решил продолжить мысль 16 Декабря 2010, 18:12:52:
может кто-нибудь поможет?
http://www.linux.org/docs/ldp/howto/VPN-Masquerade-HOWTO-3.htmlне нашел что-то я этих опций в конфигурировании ядра.
Они переименованы? Или я не правильно перевел и ядро все же надо было патчить?
Тема: CheckPoint SecureClient R60 HFA2 и iptables (Прочитано 1396 раз)
