VPN com ipsec..

[Danilo_Montagna]

pq quadno vou dar esse comando:

ipsec auto --up vpn

ele diz que esse nome "vpn"nao existe an configuracao..

mais esse cara esta cadastrado certinho la na conn do ipsec.conf

[devlinmaxx]

Você tem certeza de que colocou certinho lá, no conn (ao invés de SAMPLE, VPN????). Às vezes eu tentava levantar a conexão, mas como o meu estava auto=start ele falava que essa conexão não existia.. Aí, quando eu colocava auto=add ele levantava.... Tente.. <IMG SRC="images/forum/icons/icon_razz.gif">
[&acute;s] PS: Dúvida: Você tá com problema com as chaves RSA? Como você as fez?????

respondendo a 1º pergunta.. a config da conn no ipsec.conf esta certinha..

respondendo a 1º pergunta..

gerei pelo comando: ipsec rsasigkey 512 >> /etc/ipsec.secrets

[Maiko]

posta ai o seu ipsec.conf

[Danilo_Montagna]

config setup
interfaces=%defaultroute
klipsdebug=none
plutodebug=none

conn %default
esp=3des-md5-96
authby=rsasig

conn floripa_curitiba
left=200.200.10.xxx
leftsubnet=192.168.1.0/24
leftrsasigkey=0x01039efb4e4a84f0...
right=200.200.20.xxx
rightsubnet=192.168.2.0/24
rightrsasigkey=0x01034bd3e30995...
auto=add

[Danilo_Montagna]

na verdade eu acho que nao esta funcionando pelo fato do freeswan num linux que esta atras de um router ADSL por NAT nao funciona... porem até agora nao consegui confirma com alguem que conhece bem VPN se isso realmente é assim...

sendo que o IP fixo fica na interface do roteador, esse mesmo roteador tem uma interface iterna... que conversa com a placa eth1 do linux... onde esta instalada a VPN..

ATM-router = 200.xxx.xxx.xxx
Eth0-Router = 192.168.200.254
eth1-linux = 192.168.200.1
eth0-linux = 10.0.0.1

rede 1 = 10.0.0.0/24

mesmas configs da rede2 que estou tentando fazer a VPN.. so mudando as classes de rede..

[Maiko]

ae brother seguinte, se o seu conn é floripa_curitiba voce tem que inicializar assim:

ipsec auto --up floripa_curitiba

e nao assim

ipsec auto --up vpn

understand?

[devlinmaxx]

Alguém já viu algum configurador gráfico pro Freeswan?
[&acute;s]

[Danilo_Montagna]

Maiko..

esse exemplo ae é de outras filiais que estou fazendo tb..

a que esta dando erro .. é VPN mesmo.. e usa as mesmas caracteristicas desse exemplo ae..

[devlinmaxx]

Vocês podem me ajudar? Vejam se tem algo errado com esse ipsec.conf
--------------- Comecinho do ipsec.conf----------------------

# /etc/ipsec.conf - FreeS/WAN IPsec configuration file

# More elaborate and more varied sample configurations can be found
# in FreeS/WAN&acute;s doc/examples file, and in the HTML documentation.



# basic configuration
config setup
# THIS SETTING MUST BE CORRECT or almost nothing will work;
# %defaultroute is okay for most simple cases.
interfaces="ipsec0=eth1"
# Debug-logging controls: "none" for (almost) none, "all" for lots.
klipsdebug=none
plutodebug=none
# Use auto= parameters in conn descriptions to control startup actions.
plutoload=%search
plutostart=%search
# Close down old connection when new one using same ID shows up.
uniqueids=yes



# defaults for subsequent connection descriptions
# (mostly to fix internal defaults which, in retrospect, were badly chosen)
conn %default
keyingtries=0
disablearrivalcheck=no
authby=rsasig
leftrsasigkey=%dns
rightrsasigkey=%dns



# connection description for (experimental!) opportunistic encryption
# (requires KEY record in your DNS reverse map; see doc/opportunism.howto)

conn me-to-anyone
left=%defaultroute
right=%opportunistic
keylife=1h
rekey=no
# uncomment this next line to enable it
auto=route



# sample VPN connection
conn vpn
# Left security gateway, subnet behind it, next hop toward right.
type=tunnel
left=172.0.0.x
leftsubnet=192.168.0.0/24
leftrsasigkey=0sAQOcj...
leftnexthop=172.0.0.x
# Right security gateway, subnet behind it, next hop toward left.
right=172.0.0.x
rightsubnet=10.10.0.0/24
rightrsasigkey=0sAQOcj...
rightnexthop=172.0.0.x
# To authorize this connection, but not actually start it, at startup,
# uncomment this.
auto=add
------------------------------Fim do ipsec.conf------------------------------------

[Maiko]

Danilo_Montagna

nunca configurei um vpn com NAT, mas tenho certeza que dá certo, porém dizem que é meio complicado.

qual o erro que está dando?

O que dizem os logs?

devlinmaxx
Qual o erro que está dando?

[Danilo_Montagna]

a unica coisa que diz no log da minha maquina é que quando eu tendo subir a interface eel diz que o nome nao existe..

se dou um ipsec verify ele mostra tuido como OK...

na outra ponta, tb mostra tudo como OK como ipsec verify mais cada uns 5 minutos ele diz que a interface ipsec0 sofreu um shutdown...

os dois lados estao com as mesmas configs... mesmo roteador adsl.. e talz..

porem o unico problema e qeu as duas estao atras de NAT do iptables..

[Maiko]

só para ter certeza que o problema é mesmo o nat, tem como vc desativo e deixar direto?

como é a estrutura que está ai?

[Danilo_Montagna]

nao tem como eu fazer isso,., pois o IP valido fica no roteador em uma interface ATM.. para o linux rotear a internet ele mesmo passa por um NAT do roteador..

entendeu?

[devlinmaxx]

104 "sample" #1: STATE_MAIN_I1: initiate
106 "sample" #1: STATE_MAIN_I2: sent MI2, expecting MR2
003 "sample" #1: unable to locate my private key for RSA Signature
224 "sample" #1: STATE_MAIN_I2: AUTHENTICATION_FAILED
003 "sample" #1: unable to locate my private key for RSA Signature
224 "sample" #1: STATE_MAIN_I2: AUTHENTICATION_FAILED

Esse é o erro ao tentar iniciar a conexão SAMPLE que eu criei... Através de #authby=secret eu consegui, funcionou como um reloginho com 3 VPN gateways... Mas com #authby=rsasig eu não consigo, dá esse erro... Alguma sugestão?
[&acute;s]

[Maiko]

Como vc pode ver no log. é erro de autenticação.
Então dá uma conferida nas suas chaves de criptografia...

[devlinmaxx]

Acho que não fui muito específico na minha questão: Eu até sei que esse erro é das chaves RSA, que elas não estão colocadas direito eu acho... Mas então, como projetar as chaves RSA e como deveria ficar um /etc/ipsec.secrets com a chave pronta???
[&acute;s]

[Danilo_Montagna]

gere uam chave RSA para todos os gateways.. pode ser igual em todos.. no ipsec.secrets.. nao faz mal.. o importante é que todos tenham o leftrsasigkey e rightrsasigkey iguais tb..

assim vc evita de ficar conferindo as chaves em cada gateway para fazer a autenticacao..

[devlinmaxx]

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
On 2003-03-21 16:25, Danilo_Montagna wrote:
gere uam chave RSA para todos os gateways.. pode ser igual em todos.. no ipsec.secrets.. nao faz mal.. o importante é que todos tenham o leftrsasigkey e rightrsasigkey iguais tb..

assim vc evita de ficar conferindo as chaves em cada gateway para fazer a autenticacao..
</BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE>

Bom, vamos ver se isso resolve meu problema.. Vou fazer os testes aqui com chaves iguais, e depois dou um retorno..
[&acute;s]

Aê Danilo, seguinte:

-Você está fazendo NAT no modem certo?
-Você está fazendo NAT em tudo que chega envia para o servidos ou apenas algumas portas?
-Há sua conexão com a net é através de ADSL com ip fixo ou dinamico?
-Qual regiao do pais vc mora?

Desculpe pelo tanto de perguntas mas são algumas dúvidas que podem influenciar...
<IMG SRC="images/forum/icons/icon_wink.gif"> <IMG SRC="images/forum/icons/icon_wink.gif">