Сохраните тот же номер порта для переданных пакетов
У меня есть следующая установка IPSEC:
ОСТАВЛЕННЫЙ (IPsec) <===> MID (PPP) <=ppp => ПРАВО (IPsec+PPP)
- Вся под управлением Ubuntu 14.04 LTS.
- MID общается с прямо в PPPoE (отметил ppp).
Теперь...
- Серверы IPsec пытаются обмениваться Фазой 1 isakmp ключи без успеха.
- Пакеты справа налево уезжают прямо от isakmp порта - UDP 500 (4500 при использовании NAT-T) и достигают ОСТАВЛЕННЫЙ в том же порте.
- Пакеты слева направо, оставляют ОСТАВЛЕННЫМИ от isakmp порта, но MID получает пакеты с isakmp портом и заменяет их для портирования 1. Пакеты передаются, чтобы ИСПРАВИТЬСЯ с исходным портом 1 и прибыть как таковые.
- Все повсюду - исходные адреса и адреса назначения сохранены прекрасными, и кроме номеров портов, NAT хорошо работает.
Я пытался вынудить MID сохранить использование исходных портов:
iptables -t nat -A POSTROUTING -j SNAT -o ethX --to a.d.r.s -p udp --sport 500iptables -t nat -A POSTROUTING -j SNAT -o ethX --to a.d.r.s:500 -p udp- Испытанная подмена с
iptablesиip rule
Независимо от того, что я делаю - пакеты продолжают прибывать с исходным портом 1. Согласно IANA (Список зарезервированных портов) это - Сервисный Порт Мультиплексора (?).
Идеи кто-либо?
1
задан somethingorange
23 August 2016 в 17:11
поделиться