Olá pessoal,
Estou com problemas para configurar o IPSEC (FREESWAN), tomara que alguém consiga me ajudar.
Estou tentando configurar um tunel utilizando um nó com ip fixo, e o outro com ip dinâmico. Segui as instruções desta documentação [br-linux.org].
A autenticação se dá normalmente, pois o IPSEC retorna uma mensagem confirmando a autenticação, mas após iniciar o serviço não consegui pingar nenhum host da rede remota, outra coisa que percebi é que o roteamento ip pára, ou seja, as máquinas da rede não conseguem acesso à internet diretamente, só acessa a web pois passa pelo proxy.
Eu configurei tudo bunitinho nas duas pontas, liberei no firewall as conexões no protocolo 50 e na porta 500 UDP... já fiz tudo que encontrei na internet, mas não consigo liberar.
Estou disponibilizando o meu ipsec.conf e as regras de firewall que utilizei... se alguém já conseguiu fazer funcionar o IPSEC ou tem alguma dica por favor, não exitem em postar.
Sistema operacional: Slackware 10.1
Kernel: 2.4.29
## ipsec.conf ##
version 2
config setup
interfaces=%defaultroute
klipsdebug=none
plutodebug=none
uniqueids=yes
# plutoload=%search
# plutostart=%search
conn %default
keyingtries=0
disablearrivalcheck=no
authby=rsasig
conn kenzza-casa
authby=rsasig
left=200.161.130.49
leftnexthop=200.161.130.1
leftid=@kenzza-proxy..
leftsubnet=192.168.0.0/24
# RSA 1024 bits kenzza-proxy Fri Nov 11 16:56:03 2005
leftrsasigkey=0sAQOnqSB28+IR54Qd9/Eut4fmMfgXy1MmaJK+we1F+eD5QKJ62ZeVZe60Xd5XZQoJ4+I+0Jze8RqUtgKTDePSV3nnz2JwdmOo9FrHsZrkjrbIL+VEsa/or3csW1cQS9b4M04INFrU8O3Z5f4Qa2DsbWqxmcd9XpSMHLLRcANhgvBoPw==
rightnexthop=%defaultroute
right=%any
rightid=@kenzza-casa..
rightsubnet=10.0.0.0/24
# RSA 1024 bits kenzza-casa Fri Nov 11 16:55:49 2005
rightrsasigkey=0sAQPuMbIWWBK2W3PQQ00tgMWn23Ia6ZoEctv4ksBcXDhHjZpokEOdMEjtMTUvb4QYgUU2m7rbEjx6h23fFctxsZdNTmz8783H+SyNWSuBQTx42Q8Fz7+cqip6zkLIDCtWdGL3+nxJfVLCtqLwjpGPcDwIg6YOlCzr6Cn9pkIP+EEgQw==
type=tunnel
auto=add
## Regras de IPTABLES ##
## Liberando conexoes para VPN
iptables -A INPUT -p udp --dport 500 -j ACCEPT
iptables -A INPUT -p udp --sport 500 -j ACCEPT
iptables -A INPUT -p 50 -j ACCEPT
iptables -A FORWARD -p udp --dport 500 -j ACCEPT
iptables -A FORWARD -p udp --sport 500 -j ACCEPT
iptables -A FORWARD -p 50 -j ACCEPT
iptables -A INPUT -p tcp --sport 2020 --dport 2020 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 2020 --dport 2020 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/255.255.255.0 -d 10.0.0.0/255.255.255.0 -j ACCEPT
iptables -A FORWARD -d 192.168.0.0/255.255.255.0 -s 10.0.0.0/255.255.255.0 -j ACCEPT
Ao que me parece eu recebo o IP do meu gateway de internet.
Vou postar a saída do comando route -n, talvez ajude a ter uma análise melhor:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
200.161.130.0 0.0.0.0 255.255.255.192 U 0 0 0 eth0
200.161.130.0 0.0.0.0 255.255.255.192 U 0 0 0 ipsec0
10.0.0.0 200.161.130.1 255.255.255.0 UG 0 0 0 ipsec0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 200.161.130.1 128.0.0.0 UG 0 0 0 ipsec0
128.0.0.0 200.161.130.1 128.0.0.0 UG 0 0 0 ipsec0
0.0.0.0 200.161.130.1 0.0.0.0 UG 0 0 0 eth0
Vou colocar a saída do "ipsec look" também:
0.0.0.0/0 -> 0.0.0.0/0 => %trap (0)
192.168.0.0/24 -> 10.0.0.0/24 => [email protected] [email protected] (0)
200.161.130.49/32 -> 0.0.0.0/0 => %trap (7)
200.161.130.49/32 -> 64.21.49.63/32 => %pass (10)
200.161.130.49/32 -> 64.124.33.151/32 => %pass (7)
200.161.130.49/32 -> 200.42.92.17/32 => %pass (1)
200.161.130.49/32 -> 200.179.42.65/32 => %pass (25)
200.161.130.49/32 -> 200.204.0.10/32 => %pass (57)
200.161.130.49/32 -> 200.204.0.138/32 => %pass (96)
200.161.130.49/32 -> 200.205.144.79/32 => %pass (1)
200.161.130.49/32 -> 201.26.98.21/32 => %pass (4)
200.161.130.49/32 -> 207.46.2.89/32 => %pass (4)
200.161.130.49/32 -> 208.185.132.166/32 => %pass (2)
200.161.130.49/32 -> 217.31.49.244/32 => %pass (1)
ipsec0->eth0 mtu=16260(1500)->1500
[email protected] ESP_3DES_HMAC_MD5: dir=out src=200.161.130.49 iv_bits=64bits iv=0x2798eb3df0bc02c6 ooowin=64 alen=128 aklen=128 eklen=192 life(c,s,h)=addtime(39,0,0) refcount=4 ref=16
[email protected] ESP_3DES_HMAC_MD5: dir=in src=201.26.98.21 iv_bits=64bits iv=0x5306c39c5569ebf7 ooowin=64 alen=128 aklen=128 eklen=192 life(c,s,h)=addtime(39,0,0) refcount=4 ref=11
[email protected] IPIP: dir=in src=201.26.98.21 policy=10.0.0.0/24->192.168.0.0/24 flags=0x8<> life(c,s,h)=addtime(39,0,0) refcount=4 ref=10
[email protected] IPIP: dir=out src=200.161.130.49 life(c,s,h)=addtime(39,0,0) refcount=4 ref=15
Destination Gateway Genmask Flags MSS Window irtt Iface
0.0.0.0 200.161.130.1 0.0.0.0 UG 0 0 0 eth0
0.0.0.0 200.161.130.1 128.0.0.0 UG 0 0 0 ipsec0
10.0.0.0 200.161.130.1 255.255.255.0 UG 0 0 0 ipsec0
128.0.0.0 200.161.130.1 128.0.0.0 UG 0 0 0 ipsec0
200.161.130.0 0.0.0.0 255.255.255.192 U 0 0 0 eth0
200.161.130.0 0.0.0.0 255.255.255.192 U 0 0 0 ipsec0