[ Home | Liste | F.A.Q. | Risorse | Cerca... ]


[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]


Archivio: openbsd@sikurezza.org
Soggetto: Re: [openbsd] Nattare la rete interna in un tunnell IPSEC
Mittente: Copetts
Data: Fri, 17 Apr 2009 11:54:47 +0200 (CEST)
Qualcosa del genere io l'ho fatta:
in ipsec.conf ho messo
ike esp from <Indirizzo mia LAN> to <Indirizzo LAN remota> local <mio Ip
Pubblico> peer <Ip Pubblico remoto>\
main auth hmac-md5 enc 3des quick auth hmac-md5 enc 3des group none psk
XXXXXXXXXXX

Nel pf.conf
nat on enc0 from <Indirizzo mia LAN>  to <Indirizzo LAN remota>-> <Indirizzo
Nat per rete remota> source-hash

no nat on $ext from <Indirizzo Nat per rete remota> to <Indirizzo LAN
remota>


# Permetto lo scambio delle chiavi tra il firewall e il router remoto
#
pass in quick on $ext inet proto udp from <Ip Pubblico remoto> to <mio Ip
Pubblico> port 500
pass out quick on $ext inet proto udp from <mio Ip Pubblico>to <Ip Pubblico
remoto> port 500
pass in quick on $ext inet proto udp from <Ip Pubblico remoto> to <mio Ip
Pubblico> port 4500
pass out quick on $ext inet proto udp from <mio Ip Pubblico>to <Ip Pubblico
remoto> port 4500
#
#
#Permetto il traffico ESP tra il firewall ed il router remoto#
pass in quick on $ext inet proto esp from <Ip Pubblico remoto> elrm to <mio
Ip Pubblico>
pass out quick on $ext inet proto esp from <mio Ip Pubblico> to <Ip Pubblico
remoto> 
#
#                         Interfaccia ENC0 VPN
#
#Blocco tutto il traffico sulla VPN
#
block in on enc0 all
block out on enc0 all
block return-rst in on enc0 proto tcp all
block return-rst out on enc0 proto tcp all
#
# Permetto il passaggio dei pacchetti encapsulati in entrata ed uscita tra
le sedi
#
#
pass in quick on enc0 proto ipencap from <Ip Pubblico remoto> to <mio Ip
Pubblico>
pass out quick on enc0 proto ipencap from <mio Ip Pubblico>to <Ip Pubblico
remoto> 
#
#
# permetto il traffico sulla enc0
pass out quick on enc0 inet proto { udp, tcp, icmp } from <Indirizzo Nat per
rete remota> to <Indirizzo LAN remota>

pass in quick on enc0 inet proto { udp, tcp, icmp } from <Indirizzo LAN
remota>
to <Indirizzo Nat per rete remota>
#

A questa soluzione sono arrivato dopo una marea di tentativi e di capocciate
al muro, a me funziona.



daniele-34 wrote:
> 
> Salve a tutti,
> 
> devo collegare la mia LAN a una rete remota con IPSEC.
> Per entrare devo usare un certo IP datomi dall'altro
> amministratore.
> 
> Io vorrei nattare i pacchetti diretti dalla LAN alla rete
> remota usando l'IP assegnato, prima del routing, in modo
> che poi vengano rediretti nel tunnell.
> Con pf pero' non trovo il modo.
> 
> Consigli?
> 
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List
> 

-- 
View this message in context: http://www.nabble.com/Nattare-la-rete-interna-in-un-tunnell-IPSEC-tp22024357p23094661.html
Sent from the openbsd - Italian mailing list archive at Nabble.com.





[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005