S-terra vpn gate 100 настройка NAT

Давно ничего не писал, но наверное на это были веские причины, возможно нехватка времени, некая смена вида деятельности, а возможно и просто лень.

 

Перейдем от лирики собственно к вопросу. Один из клиентов попросил настроить ВПН-канал только на определнном виде обордования, а именно на S-terra, т.к. у них очень серъзное отношение к нашему законадательству, а данный продукт имеет все необходимые сертификаты для работы в России.

 

Про компетентность айтишнегов находящихся по другую сторону канала, предлагавших настроить дополнительный шлюз, т.к. s-terra этого не умеет, а также про предложение смены внутренней адресации на нашей стороне многозначительно промолчим.

 

Что представляет из себя этот аппарат - это недолинукс - недоциска исполненная в виде тонкого клиента. Документация на сайте производителя расписана хорошо, кроме того, как из ее сделать шлюзом, есть только отсылка на внешний источник по настройке ната.

 

Аппарат был полностью настроен, канал до другой стороны был поднят, с него самого все было видно, а вот пройти через него с других машин было невозможно.

 

На самом деле все оказалось довольно банально, для начала определяем версию Linux, залогинившись соотвественно под рутом.

 

# dmesg | grep "Linux version"
Linux version 2.6.18-274.el5 (mockbuild@builder10.centos.org) (gcc version 4.1.2 20080704 (Red Hat 4.1.2-50)) #1 SMP Fri Jul 22 04:49:12 EDT 2011

То бишь нам достался редхат (судя по документации бывают версии с соляркой), обращаемся к документации по красношапке и настраиваем ip-tables для работы с nat.

Настраиваем форвардинг на внутреннем интерфейсе, у нас он eth1 -

iptables -A FORWARD -i eth1 -j ACCEPT
iptables -A FORWARD -o eth1 -j ACCEPT

Проверяем включен ли в системе IP-форвардинг, т.к. по умолчанию в ReaHat в ядре отключена поддержка IP-форвардинга -

Открываем файл /etc/sysctl.conf, на данной железке единственный редактор это vi, поэтому открываем через него -

vi  /etc/sysctl.conf

Проверяем строку -

net.ipv4.ip_forward = 0

Если значение указано как и здесь - "0", то меняем на "1", сохраняем и выполняем команду для применения -

sysctl -p /etc/sysctl.conf 

Включить IP-форвардинг можно также командой -

sysctl -w net.ipv4.ip_forward=1

Теперь прописываем правило iptables для nat -

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Все, теперь наша s-terra умеет пропускать через себя нужный нам трафик.