[ml] IPSEC under NAT with Zywall 35

> Salve,
> sto cercando di capire se è possibile realizzare una VPN con IPSEC di
> tipo lan to lan in una situazione dei questo tipo:
>
> LAN1 192.168.x.y/24
> DEBIAN Stable 3.1 direttamente su Internet (Primo nodo della VPN)
> Router Telecom (su cui non poso fare nulla) su Internet
> ZYWALL 35 (Secondo nodo della VPN)
> LAN2 10.10.9.x/24
>
>
> Fra il router Telecom e lo Zywall c'è la rete 192.168.200.0/24. In
> pratica il router Telecom natta verso lo Zywall.
>
> Dal lato Debian non ci sono problemi usando NAT-Traversal dovrei
> riuscire a dirgli che lo Zywall è nattato.

Infatti l'essenziale è che almeno un endpoint sia OVVIAMENTE su IP pubblico.

> Il problema è sulla Zywall. La configurazione standard, non mi sembra
> includa il NAT-Traversal, mentre in alcuni doc ho trovato che si può
> usare UPnP, ma la cosa non mi è per nulla chiara.

Io personalmente l'ho fatto per una client to site (con i client
nattati), ma se sul
sito "ricevente" era possibile specificare che supportava NAT-T penso
sia possibile
farlo anche su quello "mittente"

> Ho provato anche a bypassare la cosa con OpenVPN piazzato fra la
> Debian e una Debian dentro al LAN2, ma non riesco a gestire
> correttamente il Default gateway o meglio a far in modo che ciò che
> arriva dal device tun torni attraverso questo.

probabilmente devi ruotare gli indirizzi della LAN che sta dietro lo zywall,
con la default route gestisci il ritorno del  traffico "in chiaro" e quindi
la VPN già incapsulata

> Modificando le tabelle di routing non ci riesco in quanto se le tocco
> mando a pallino il funzionamento di OpenVpn.
>
> Qualcuno ha esperienza in un caso del genere o sa indicarmi qualche
> doc che spiega che cosa si può fare.

http://us.zyxel.com/web/download2/ZyWALL_70/user_guide/ZyWALL%2070_4.01XD_WZ_WM.pdf

O altro documento a seconda delle versioni che puoi trovare qui:

http://us.zyxel.com/web/support_download_list.php?indexflag=20040906173729&ModelIndexflags=0,420041223114508