Tô configurando uma VPN aqui e acho que meu ipsec.conf
tem alguma coisa errada ...
alguem pode me indicar onde encontro um exemplo do ipsec.conf
para o metodo Userland ??????
Grato
Tô configurando uma VPN aqui e acho que meu ipsec.conf
tem alguma coisa errada ...
alguem pode me indicar onde encontro um exemplo do ipsec.conf
para o metodo Userland ??????
Grato
Valeu brother ...
Mas eu segui foi esse mesmo .... e não está dando certo ... queria dar uma olhadinha em outro ....
Então se alguem souber ...
Posta ai seu ipsec.conf pra gente dar uma olhada, ai a gente resolve junto.....
Esse e o ipsec.conf da ultima que eu fiz em cima de openswan
version 2.0
config setup
# interfaces="ipsec0=eth0"
# plutodebug / klipsdebug = "all", "none" or a combation from below:
# "raw crypt parsing emitting control klips pfkey natt x509 private"
# eg:
# plutodebug="control parsing"
#
# Only enable klipsdebug=all if you are a developer
#
# NAT-TRAVERSAL support, see README.NAT-Traversal
# nat_traversal=yes
# virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%4:172.16.0.0/12
conn sede-distrital1
left=201.x.x.2
leftsubnet=192.168.4.0/24
leftnexthop=201.x.x.1
leftrsasigkey=0sAQOEOOvr3Gph1ruNkdzRgkCj27JMhrXB7sfRFqs08Wi04kTIai91jtk8SU3aKun/z+jNlMc+vrabpo1xoxKMOeTX
right=200.x.x.2
rightsubnet=192.168.0.0/24
rightnexthop=200.x.x.1
rightrsasigkey=0sAQPXA64o781haXXwN2JjY1Se+9pR2L5OtxcolDzh5eta7nZ7CgOvscx2KcnQBbd0nwW+WzDjjzZanA6xr5BVbQmj
auto=start
include /etc/ipsec.d/examples/no_oe.conf
ihhhh parceiro ...
o meu ipsec, tá igualzinho ....
será pq ele não funfa ??????
O que acontece é o seguinte:
# ipsec auto --up sede-filial
104 "sede-filial" #1: STATE_MAIN_I1: initiate
010 "sede-filial" #1: STATE_MAIN_I1: retransmission; will wait 20s for response
010 "sede-filial" #1: STATE_MAIN_I1: retransmission; will wait 40s for response
E fica sempre assim ... ele não conecta ????
Será o que pode ser ?
HUmm....Bom desculpa perguntar, com certeza se já deve ter jeito isso, mas vc liberou a porta udp 500, e os protocolos 50 e 51 para se comunicarem entre os gateways, se já o problema é complicado mesmo.....
Oke tem dentro desse include? :P Comentai isso ai
Ai vai meu ipsec.conf ... que na verdade não está tão igual assim e vai tbem algumas informações adicionais :
_________________________________________________________
# vi ipsec.conf
version 2.0
config setup
interfaces=%defaultroute
klipsdebug=all
plutodebug=all
conn %default
authby=rsasig
conn sede-filial
left=172.21.0.100 (ip interno do modem )
leftsubnet=192.168.0.0/24
[email protected]
leftnexthop=200.XX.XX.25 ( é o ip fixo da conexão adsl (modem))
leftrsasigkey=0sAQ...
right=172.21.2.100 ( ip interno do outro modem )
rightsubnet=192.168.2.0/24
[email protected]
rightnexthop=200.XX.XX.38
rightrsasigkey=0sAQPb
auto=add
#Disable Opportunistic Encryption
include /etc/ipsec.d/examples/no_oe.conf
_______________________________________________________
# ipsec verify
Checking your system to see if IPsec got installed and started correctly:
Version check and ipsec on-path [OK]
Linux Openswan U2.4.4/K2.6.14 (netkey)
Checking for IPsec support in kernel [OK]
Checking for RSA private key (/etc/ipsec.secrets) [OK]
Checking that pluto is running [OK]
Two or more interfaces found, checking IP forwarding [OK]
Checking NAT and MASQUERADEing
Checking for 'ip' command [OK]
Checking for 'iptables' command [OK]
Checking for 'setkey' command for NETKEY IPsec stack support [OK]
Opportunistic Encryption Support [DISABLED]
_________________________________________________________
# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
172.21.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 172.21.0.1 0.0.0.0 UG 1 0 0 eth1
É parceiro ... já liberei as portas que vc citou ... com as seguintes regras :
echo "T) Liberando Openswan - Porta UDP 500 aberta e os protocolos 50 e 51 tbem"
iptables -A INPUT -p udp --dport 500 -j ACCEPT
iptables -A INPUT -p udp --sport 500 -j ACCEPT
iptables -A INPUT -p 50 -j ACCEPT
iptables -A INPUT -p 51 -j ACCEPT
iptables -A FORWARD -p udp --dport 500 -j ACCEPT
iptables -A FORWARD -p udp --sport 500 -j ACCEPT
iptables -A FORWARD -p 50 -j ACCEPT
iptables -A FORWARD -p 51 -j ACCEPT
# liberando a transicao de pacotes da rede interna daqui com a rede interna de lá
iptables -A FORWARD -s $REDEINTERNA -d $REDEVPN1 -j ACCEPT
iptables -A FORWARD -d $REDEINTERNA -s $REDEVPN1 -j ACCEPT
Adicionei tbem essa regra, pois nao pode fazer mascaramento dos pacotes que passam pelo tunel :
iptables -t nat -A POSTROUTING -o eth1 -s $REDEINTERNA -d \! $REDEVPN1 -j MASQUERADE
E ai Amiguinho estou montando tambem uma VPN Site-to-Site
A VPN irá ser Openswan com Concentrador Cisco. ( Não sei se irá funcionar. )
Estou usando o Parametro
type=tunnel no meu ipsec.conf
Não tem como vc configurar os ips validos no proprio gateway, ao inves de ficar no modem, tive muitos problemas em um cliente que tinha um gateway que era NATeado pelo provedor, a minha solução foi esse cliente usar pptp.