Reglas a poner en iptables para dar acceso a una VPN

[Fernando García Cabrera]

Saludos listeros, estoy en la tesitura de dar acceso a través de mi cortafuegos a un cliente de una VPN. En la documentación que enviaron los de la VPN me dice que tengo que abrir los siguientes puertos:     1) Puerto 500 UDP (IKE): Negociación del túnel IPSec     2) Puerto 4500 UDP: encapsulación del protocolo de seguridad ESP sobre UDP para NAT-T     3) Puerto 10000 TCP: encapsulación del protocolo de seguridad ESP sobre TCP     4) Protocolo 50 (ESP). Para cada una de estas acciones he escrito una regla de iptables en la cadena FORWARD, que son:     1) iptables -A FORWARD -s 192.168.0.0/16 -p udp --dport 500 -j ACCEPT     2) iptables -A FORWARD -s 192.168.0.0/16 -p udp --dport 4500 -j ACCEPT     3) iptables -A FORWARD -s 192.168.0.0/16 -p tcp --dport 10000 -j ACCEPT     4) iptables -A FORWARD -s 192.168.0.0/16 -p esp  -j ACCEPT Sin embargo, la conexión entre el cliente de la VPN (en mi red local) y el servidor (en la red remota) no se establece. Leyendo por ahí he visto que si el cortafuegos hace NAT es un problema para la VPN, este es mi caso puesto que las direcciones salientes se enmascaran, y ahora llega el meollo de la cuestión, a saber:     1) ¿Qué paquetes tengo que instalar para NAT-T?     2) ¿Cómo configuro el cortafuegos para NAT-T?, sólo cuando se utilice la VPN desde el cliente, ya que los demás equipos de la red no usan la VPN.   La verdad es que es la primera vez que ando con VPN's y agradecería mucho cualquier indicación que pudieran hacerme. Gracias a todos por su atención.