Configuração vpn cisco atras de iptables

[Frances H]

ola pessoal, estou um problema aqui na minha empresa .. implementei um servidor com ubuntu 12.04 server .. configurei samba , pppoe, dhcp e iptables para fazer nat sem nenhum filtro .. estava tudo ok .. porem agora preciso conectar a uma vpn do banrisul e nao tem jeito de conectar atraz do firewall .. esta tudo liberado ..

a vpn usa o cisco client vpn ... ipsec/udp

segue o firewall ..

ifconfig eth0 up
pon dsl-provider
modprobe iptable_nat
iptables -F
iptables -A INPUT -j ACCEPT
iptables -A OUTPUT -j ACCEPT
iptables -A FORWARD -j ACCEPT
iptables -A FORWARD -o ppp0 -i eth1 -s 192.168.1.0/24 -m conntrack --ctstate NEW -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -F POSTROUTING
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE


se alguem tiver alguma dica agradeco...

obrigado ..

[zekkerj]

Olá Frances H,

IPSEC não pode ser usada atrás de NAT. Se vc vai conectar numa VPN IPSEC, terá que conectar a partir do servidor, não das máquinas da rede interna.

[Frances H]

uhm,, ok.. porem minha internet esta atras de um nat .. nao recebo endereco valido da internet .. e consigo conectar tranquilamente na vpn antes do firewall ,,

o problema esta apos o nat do meu firewall ..

[zekkerj]

Provavelmente o roteador tem repasse de vpn cisco. Mas um segundo NAT??? Acho difícil de funcionar.

[Arthur Bernardes]

Mas Zekkerj, 2 Nat's atrapalham..?

[zekkerj]

A VPN IPSEC normal não pode passar por NAT, pq há uma checagem do endereço das pontas. Havendo NAT, a checagem não bate.

Pra passar por NAT, é preciso uma configuração especial, e, obviamente, apenas um dos lados pode estar atrás de NAT. Um segundo NAT? Sinceramente não sei se é possível, e acho inclusive que não é.