Настройка NAT в windows server 2008 r2 для использования туннеля IPSec

У меня проблемы с настройкой всего туннеля IPSec.

что у меня есть:


1. Маршрутизатор, который имеет только функциональность passthrough VPN/IPsec (IP 192.168.0.1)


2. Windows Server 2008 R2 с групповыми политиками, настроенными для туннеля IPSec. (IP серверов 192.168.0.2; gw 192.168.0.1)


3. Linux машина имеет приложение (IP 192.168.0.3; gw 192.168.0.2)

другой конец туннеля IPSec находится в другом месте через интернет.

компания на другом конце туннеля сказала мне, что у меня должен быть IP 10.100.101.102 в качестве исходного ip для всех моих пакетов, поступающих в туннель IPSec с машины Linux.

Итак, идея такова:


1. Linux формирует пакет и отправляет его на конечный компьютер (111.222.333.444) через определенный порт. Итак src=192.168.0.3; dst=111.222.333.444


2. Пакет перемещается в Windows server.


3. Сервер принимает пакет и изменяет src в файле src=10.100.101.102 оставляя перехода на летнее время то же самое.


4. Сервер шифрует пакет с помощью параметров IPSec и отправляет его на удаленную конечную точку через маршрутизатор.


5. [действия на удаленной конечной точке]


6. Windows server получает ответ и расшифровывает его.


7. Изменения летнего времени (10.100.101.102) к локальной ДСТ=192.168.0.3.


8. Отправьте пакет в Linux и приложение.

Как мне всего этого достичь? Я не могу понять, как NAT работает на Windows server. Я настроил его в "маршрутизации и удаленном доступе", но я не видел никаких вариантов указания, какой IP-адрес источника и порт, имеющий пакеты, должны быть изменены, чтобы иметь 10.100.101.102 в качестве src.

28
задан user264149
26.01.2023 16:06 Количество просмотров материала 2951
Распечатать страницу

1 ответ

вам понадобятся определенные ответы на следующие вопросы, прежде чем вы сможете продолжить:

  1. можете ли вы пинговать роутер с линуксом?

  2. Если вы можете, вы можете traceroute от коробки linux к маршрутизатору? из вышеуказанных вопросов я хочу убедиться, что а. ваш трафик идет в окно, и потом маршрутизатора, а не напрямую к маршрутизатору. tracert скажет вам это наверняка. b. внутренняя инфраструктура маршрутизации работает правильно.

  3. какой IP-адрес у устройства IPsec другой компании? Туннели IPsec являются довольно статическими, и вы не можете настроить их с помощью имен DNS или так, таким образом, необходимо знать адрес удаленной конечной точки IPsec.

  4. поддерживает ли другая конечная точка IPSec Nat-Traverse (NAT-T) ? если они не могут сказать вам это наверняка, спросите у них марку и модель этого оконечного устройства и, если возможно, версию программного обеспечения / микропрограммы этого и поиска для такой информации.

от того, что ты говоришь выше, кажется, что сначала вы должны получить свой внутренний маршрутизации право, как маршрутизатор будет направлять трафик напрямую на Linux и получает ее от него, даже не позволяя Windows в игре;если вы вручную возиться с таблицы маршрутизации на всех 3 коробки, все 3(ну, может, не Windows Если вы установки rras на нем, но даже это нуждается в проверке), или использовать разные подсети на разных seagments; для пример 192.168.0.1 для маршрутизатора, 192.168.0.2 для windows, другой IP как 192.168.1.1 для windows и 192.168.1.3 для linux. Кстати, если вы идете с этим вторым подходом, удостоверьтесь, что маршрутизатор знает о второй подсети также путем помещения маршрута к 192.168.1.сеть x через 192.168.0.2 (IP-адрес windows в том же диапазоне, что и IP-адрес маршрутизатора).

после того как вы получили все с..p выше справа, теперь вы можете начать работать с реальной вещью! это бывает:

мы называем IP на Linux LinIP

мы называем IP окон на Linux Seagment WinIPL

мы называем IP окон на маршрутизаторе seagment WinIPR (в случае, если вы выбрали ручной подход манипуляции таблицы маршрутизации выше, два WinIPs будет то же самое)

мы называем IP маршрутизатора на внутренней стороне RoutIPint

мы называем IP вашего маршрутизатора на общественной стороне (IP, который ISP дает вам) RoutIPext.

мы называем IP-адрес удаленной конечной точки IPsec, RemTunIP.

мы называем ИС ресурсе вы пытаетесь достичь в другой компании за RemResIP тоннеля.

когда ваш linux генерирует пакет, он помещает LinIP в качестве источника и RemResIP в качестве dest; дает это Windows Box через IP WinIPL.

коробка Виндовс, если настроенное право, положит этот пакет, то (включая заголовок ИП упомянутый выше) в другой пакет, кладет WinIPR в качестве источника, RemTunIP как дест, подписывает WinIPR и RemTunIP и дает его к маршрутизатору

маршрутизатор NAT, что подпись пакета RoutIPext и RemTunIP. вот одно из многих мест, где эта цепочка может запутаться, поскольку подпись здесь нарушена, и пакет становится недействительным, если ваш Windows box и конечная точка IPsec другой компании не осведомлены о NAT; ака включили NAT-T на них. используйте эту статью базы знаний Майкрософт для включения Nat-T в windows box (может показаться, что это для VPN на первый взгляд, но это общие настройки IPsec, поэтому он выполняет эту работу): http://support.microsoft.com/kb/926179 если устройство IPSec вашей удаленной компании находится позади NAT также, помещают 2; если нет или если другая компания не поддерживает Nat-T (который подразумевает,что они не натягивают свой трафик IPsec действительно), помещают 1.

когда удаленное устройство edge Ipsec получил ваш пакет (наконец!), было бы в форме RoutIPext и RemTunIP . при использовании NAT-t оно будет извлечь пакет с WinIPR и RemTunIP, используя расшифровки протокола IPSec он извлекает пакет с LinIP и RemResIP, направляет его соответствующим образом и передает его ресурсе ваш Линукс пытался достичь.

Так что вам нужно иметь:

a. удаленный офис осведомлен о Вашей локальной подсети linux

b. установите политику IPsec на вашем windows, чтобы сформировать туннель с WinIPR и RemTunIP больше ничего.

c. имейте политика соответствия настроек RemTunIP и WinIPR на удаленном сайте.

d. включите passthrough на вашем маршрутизаторе.

e. прошли предварительные reqs, как я сказал перед IPsec часть выше (tracert и подсетей и прочее)

!!!ТАК ЧТО ЭТО СОВСЕМ НЕ ТРИВИАЛЬНО!!!

1
отвечен Sass 2023-01-27 23:54

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя

Похожие вопросы про тегам:

ipsec
networking
tunnel
vpn
windows-server-2008-r2
Мы используем cookie. Это позволяет нам анализировать взаимодействие посетителей с сайтом и делать его лучше. Продолжая пользоваться сайтом, вы соглашаетесь с использованием файлов cookie. Политика конфиденциальности
Согласен
Вверх