IPSec из локалки

[romka.az]

Приветствую, уважаемые.

Натолкнулся на проблему прохода IPSec трафика из локальной сети наружу через шлюз FreeBSD 6.3 (natd+ipfw). Впрочем, и на 7.1 такая же проблема.
Файрволл открыт - allow all from any to any - но хитросделанный трафик не ходит и все тут...

Играться и смотреть на внутреннем и внешнем интерфейсе пакеты не могу - компутера, с как говорят Nortel-овской USB-железкой ike-ключем и спецсофтиной нету в распоряжении.

Проблема назрела - уже второй случай. Гугл ничего толкового не дал... Или не там ищу. Мож кто подскажет - как уговорить фрю выпустить виндового клиента наружу ?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[paradox]

Играться и смотреть на внутреннем и внешнем интерфейсе пакеты не могу - компутера, с как говорят Nortel-овской USB-железкой ike-ключем и спецсофтиной нету в распоряжении

нефига не понял
а по русски?

[Гость]

Есть локальная сеть с открытым файрволлом.
Пришел клиент с ноутом. В ноут воткнута через USB какая-то девайсина для IKE-авторизации. К девайсине, естественно есть приблуда, которая инициирует соединение на удаленный сервер и производит там авторизацию. Приблуда с большой долей вероятности инициирует IPSec. Вот именно это соединение и не устанавливается.

Поскольку человек ушел ("но обещал вернуться"), а меня небыло на связи, то провести експеримент с отслеживанием пакетов на разных интерфесах в момент соединения не могу... Вот.
Общался с IT-дирехтуром из Москвы - он вообще ничего сказать по поводу типа соединения не может. Весь остальной трафик, как то http, vpn(pptp) и прочее из локалки бегает исправно.

Единственно что выудил в телефон, что используют 500 и 4500 порты.

[paradox]

не занимайся ерундой
что то
как то
где то


прийдет человек и будешь разбираться

[Гость]

Будет поздно.
То что выяснил уже сейчас - IPSec - не работает из-за НАТа - однозначно.

Есть некий NAT Traversal - с помощью этой технологии, говорят НАТ проходится нормально. Вот сейчас в процессе изучения....

[paradox]

айпишник ему реальный дайте
и по впн раздайте

[romka.az]

А вот тут я не понял. Если не сложно - объясните свою мысль

[paradox]

айпи попросите для него у провайдера рельаный
и дайте ему доступ к инету в обход нату
и все
и не морочте голову себе

[romka.az]

Рад бы. Но вот таких у меня - придет не 1, а 7-10 человек минимум. Конференция у них... Адресов не напасешься - на один день. А дальше что с ними делать...

В общем одни вопросы...

[paradox]

тогда не морочь себе голову
пусть либо совтину дают
либо описание
либо сами пускай рассказывают как она работает - какие порты итд

а если ей нужно еще обратное прокидывание портов?
на всех ты не прокинешь
так что забудь

[Гость]

Успокоил
Прокидывать ничего не нужно. Они юзают это через Пипл-неты и прочее подобное...