L2TP + Openswan - pretunelovanie z lokalnej siete

Sekcia: Konfigurácia 22.05.2010 | 21:44
Avatar Samuel BWPOW Kupka Almalinux, OpenWRT  Používateľ
Uz niekolko dni riesim nasledujuci problem a zial neviem najst fungujuce riesenie. Mam linuxovy router, ktory ma vonkajsie rozhranie $WAN a vnutorne rozhranie $LAN. Na $LAN je pripojena nezasifrovana wifi siet (je na to dovod). Potreboval by som po tejto sieti prenasat bezpecne informacie, resp. prepchat roznych klientov bezpecne az na router a odtial na internet. Klienti su iphony, ipady, wince a pod., takze openvpn nie je mozne pouzit. Rozhodol som sa teda pre kombinaciu L2TP+IPsec, ktora je nativne vsade podporovana.

Problem je, ze na internete su vsade navody pre roadwarrior klientov a take riesenie som rozbehal bez problemov. Ale to, aby openswan pocuvalo na $LAN rozhrani neviem dosiahnut (ciastocne aj preto, ze nie celkom rozumiem left/rightsubnet nastaveniam). Cize uvediem priklad ($LAN ma IP 192.168.1.1 a masku 24):
config setup
        interfaces="ipsec0=$LAN"
        nat_traversal=no
        nhelpers=0

conn l2tp-psk-local
        type=tunnel
        authby=secret
        pfs=no
        auto=add
        rekey=no
        left=192.168.1.1
        leftprotoport=17/1701
        # right je v lokalnej sieti 192.168.1.0/24
        right=%any
        rightprotoport=17/%any
No to zjavne nie je v poriadku. Neviem sa ale pohnut, lebo neviem najst diskusiu, kde presne tento pripad riesili. Firewall mam nastaveny urcite dobre (vsetky policy ACCEPT pre testovanie). Dokumentacia tiez riesi len pripady roadwarriorov alebo host-host na roznych sietach.

Ak ste nieco podobne riesili alebo len vam nieco napadne, tak napiste. Za akekolvek nakopnutie spravnym smerom budem vdacny.
Strach dát najevo své pocity a zjednat si u druhých respekt je jedním z problémů civilizovaného člověka, který se naučil zpochybňovat svou vlastní pravdu pro zdání objektivity