IPFW NAT для туннеля.

[gmn]

Всем привет.

Допустим, имеем внутр. сетку 192.168.1.0/24 с адресом 192.168.1.1 на внутр. интерфейсе и 10.0.1.1 на внешнем.
Имеем туннель (пока без шифрования) в другую сеть (допустим, 192.168.2.0/24).
Как сделать в ipfw, чтобы запросы в сеть за туннелем уходили не с адресов 192.168.1.*, а, например, с адресов 192.168.3.* ?
Можно сделать:

Код: Выделить всё

ipfw nat 1 config redirect_addr 192.168.1.2 192.168.3.2
...
ipfw nat 2 config redirect_addr 192.168.1.3 192.168.3.3
и т.д.

Но как-то оно не красиво получается.
Прописать, как на cisco, на интерфейсе диапазон 192.168.3.1-192.168.3.254 не получается, чтобы редиректить адрес в адрес.
Как сделать красиво и правильно?
Желательно через ipfw.
Или другие красивые и рабочие варианты?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[sch]

То есть в общем конструкция рабочая, и у тебя только вопрос, как сделать 1:1 NAT для подсети?

по ходу альтернатива -- только natd, у которого в natd.conf записано

Код: Выделить всё

-redirect_address 192.168.0.2 192.168.3.2
-redirect_address 192.168.0.3 192.168.3.3

те же яйца, вид в профиль

[gmn]

То есть в общем конструкция рабочая, и у тебя только вопрос, как сделать 1:1 NAT для подсети?

Да.

[gmn]

То есть в общем конструкция рабочая, и у тебя только вопрос, как сделать 1:1 NAT для подсети?

по ходу альтернатива -- только natd, у которого в natd.conf записано

Код: Выделить всё

-redirect_address 192.168.0.2 192.168.3.2
-redirect_address 192.168.0.3 192.168.3.3

те же яйца, вид в профиль

Именно так
Я писал для FreeBSD 7 для kernel nat. Но суть не меняется от этого ...
Вопрос: как сделать 1:1 NAT для подсети?

[gmn]

Ни у кого нет идей?
У меня пока нет

[paradox]

Допустим, имеем внутр. сетку 192.168.1.0/24 с адресом 192.168.1.1 на внутр. интерфейсе и 10.0.1.1 на внешнем.
Имеем туннель (пока без шифрования) в другую сеть (допустим, 192.168.2.0/24).
Как сделать в ipfw, чтобы запросы в сеть за туннелем уходили не с адресов 192.168.1.*, а, например, с адресов 192.168.3.* ?

фигня какая то получаеться
у вас нигде не фигурирует .3 сетка
а вы хотите с нее что то отправлять
так нельзя
посадите ее на алияс
тогда да

[gmn]

Допустим, имеем внутр. сетку 192.168.1.0/24 с адресом 192.168.1.1 на внутр. интерфейсе и 10.0.1.1 на внешнем.
Имеем туннель (пока без шифрования) в другую сеть (допустим, 192.168.2.0/24).
Как сделать в ipfw, чтобы запросы в сеть за туннелем уходили не с адресов 192.168.1.*, а, например, с адресов 192.168.3.* ?

фигня какая то получаеться
у вас нигде не фигурирует .3 сетка
а вы хотите с нее что то отправлять
так нельзя
посадите ее на алияс
тогда да

Хорошо, как "посадить" сеть алиасом на интерфейсе?
Как на ASA не получается - 192.168.3.1-192.168.3.254
Все это затевается для того, что ...
Есть локалка, в которой адреса менять не хотелось бы. И надо сделать ipsec в другую организацию, где такая же адресация в локалке.
Вот я и хочу, чтобы все оставлять как есть (правила ipfw, nat-ы и т.п.), а вот чтобы в туннель сетка уходила не как 192.168.1.*, а как, например, 192.168.3.*.

Можно прописать, конечно, ifconfig rl0 alias 192.168.3.1 и т.д. - но это же ужОс

[paradox]

что то вы такое накрутили
.... шо вообще
нафига что то перекручивать?
нат сам все сделает

ну или схему нарисуйте для лучшего понимание не токо мне но и другим

[gmn]

Какая схема ?..

Все просто.
локалка(192.168.1.0/24)
шлюз FreeBSD с адресом в локалке 192.168.1.1 и внешним 10.0.1.1 (для примера, не важно).
На шлюзе ipfw+nat для выхода в Инет - все работает нормально.

Появилась вторая локалка тоже с адресацией 192.168.1.0/24.
Надо объединить две локалки через туннель ipsec без изменения адресации в сетях.
Как?

[paradox]

теоретически никак
потому что dst ты в пакете tcpip никак не перепишишь

а делать что то на подобие бината можно токо для одного айпишника (если правильно помню)
хотя можешь поискать информацию и перечитать
может я не правильно помню

тогда

можно попробоват сделать бинат на двух внешних интерфейсах шлюзов для каждй сети

для одной сети сделать .3
для другой сети .4
может получиться
хз

[paradox]

хотя в принципе и dst переписать можно
этим и занимаеться natd

но слишком много думать надо

[Bormental]

для нормальной работы между сетями придеться на каждый адрес одной из сетей свой нат ставить, или если один ставить то одна сетка будет другую видеть нормально а другая сетка первую будет видеть в виде одной машины (одного адреса)

ipfw нат походу не работает с диапазонами адресов...

[gmn]

На ASA можно сделать:

Код: Выделить всё

global (outside) 22 192.168.250.1-192.168.250.254 netmask 255.255.255.0

И будет проброс сеть в сеть.
На фришке, подозреваю, тоже можно ...
Но надо делать редирект адреса для каждого адреса, как писал в начале.