Nattare la rete interna in un tunnell IPSEC

Salve a tutti,

devo collegare la mia LAN a una rete remota con IPSEC.
Per entrare devo usare un certo IP datomi dall'altro
amministratore.

Io vorrei nattare i pacchetti diretti dalla LAN alla rete
remota usando l'IP assegnato, prima del routing, in modo
che poi vengano rediretti nel tunnell.
Con pf pero' non trovo il modo.

Consigli?

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Qualcosa del genere io l'ho fatta:
in ipsec.conf ho messo
ike esp from <Indirizzo mia LAN> to <Indirizzo LAN remota> local <mio Ip Pubblico> peer <Ip Pubblico remoto>\
main auth hmac-md5 enc 3des quick auth hmac-md5 enc 3des group none psk XXXXXXXXXXX

Nel pf.conf
nat on enc0 from <Indirizzo mia LAN>  to <Indirizzo LAN remota>-> <Indirizzo Nat per rete remota> source-hash

no nat on $ext from <Indirizzo Nat per rete remota> to <Indirizzo LAN remota>


# Permetto lo scambio delle chiavi tra il firewall e il router remoto
#
pass in quick on $ext inet proto udp from <Ip Pubblico remoto> to <mio Ip Pubblico> port 500
pass out quick on $ext inet proto udp from <mio Ip Pubblico>to <Ip Pubblico remoto> port 500
pass in quick on $ext inet proto udp from <Ip Pubblico remoto> to <mio Ip Pubblico> port 4500
pass out quick on $ext inet proto udp from <mio Ip Pubblico>to <Ip Pubblico remoto> port 4500
#
#
#Permetto il traffico ESP tra il firewall ed il router remoto#
pass in quick on $ext inet proto esp from <Ip Pubblico remoto> elrm to <mio Ip Pubblico>
pass out quick on $ext inet proto esp from <mio Ip Pubblico> to <Ip Pubblico remoto>
#
#                         Interfaccia ENC0 VPN
#
#Blocco tutto il traffico sulla VPN
#
block in on enc0 all
block out on enc0 all
block return-rst in on enc0 proto tcp all
block return-rst out on enc0 proto tcp all
#
# Permetto il passaggio dei pacchetti encapsulati in entrata ed uscita tra le sedi
#
#
pass in quick on enc0 proto ipencap from <Ip Pubblico remoto> to <mio Ip Pubblico>
pass out quick on enc0 proto ipencap from <mio Ip Pubblico>to <Ip Pubblico remoto>
#
#
# permetto il traffico sulla enc0
pass out quick on enc0 inet proto { udp, tcp, icmp } from <Indirizzo Nat per rete remota> to <Indirizzo LAN remota>

pass in quick on enc0 inet proto { udp, tcp, icmp } from <Indirizzo LAN remota>
to <Indirizzo Nat per rete remota>
#

A questa soluzione sono arrivato dopo una marea di tentativi e di capocciate al muro, a me funziona.

daniele-34 wrote:

Salve a tutti,

devo collegare la mia LAN a una rete remota con IPSEC.
Per entrare devo usare un certo IP datomi dall'altro
amministratore.

Io vorrei nattare i pacchetti diretti dalla LAN alla rete
remota usando l'IP assegnato, prima del routing, in modo
che poi vengano rediretti nel tunnell.
Con pf pero' non trovo il modo.

Consigli?

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List