+ Responder ao Tópico



  1. #1
    4ndr3
    Visitante

    Padrão IPSEC -

    Socorro !!!! preciso de ajuda !!!

    Efetuei uma instalação com freeswan e não consigo entender porque não funciona.

    O serviço ipsec sobe sem erros ;

    Abri a porta 500 UDP para eth1( ip-valido )

    e abri 0:65535 tcp
    0:65535 udp
    0:65535 icmp para qquer interface ( 192.168.0.0/24 -> 192.168.1.0/24 e vice versa )

    no messages eu recebo a porta 500 UDP mas nada de pingar uma com a outra...

    Não sei mais onde mexer, alguem tem uma LUZ.


    <IMG SRC="images/forum/icons/icon_cool.gif">

  2. #2
    Maiko
    Visitante

    Padrão IPSEC -

    Fala ae brother...
    vamos colocar esse negocio pra rodar... <IMG SRC="images/forum/icons/icon_razz.gif"> <IMG SRC="images/forum/icons/icon_razz.gif">

    -Qual distribuicao vc está usando?

    -Só para testar desabite seu firewall, para sabermos se o problema esta com ele ou não.

    -O que diz os arquivos de log?




  3. #3
    4ndr3
    Visitante

    Padrão IPSEC -

    dist. RedHat 7.3 / freeS/Wan 1.99

    nao posso desabilitar o firewall pois estou remoto aos hosts !

    mas como eu falei, já abri as portas ...

    o log na carga do servico ipsec :

    Fev 7 14:58:21 filial ipsec_setup: Starting FreeS/WAN IPsec 1.99...
    Fev 7 14:58:21 filial ipsec_setup: Using /lib/modules/2.4.18-3/kernel/net/ipsec/ipsec.o
    Feb 7 14:58:21 filial kernel: klips_info:ipsec_init: KLIPS startup, FreeS/WAN IPSec version: 1.99
    Feb 7 14:58:21 filial /etc/hotplug/net.agent: invoke ifup ipsec0
    Feb 7 14:58:21 filial /etc/hotplug/net.agent: invoke ifup ipsec1
    Feb 7 14:58:21 filial /etc/hotplug/net.agent: invoke ifup ipsec2
    Feb 7 14:58:21 filial ipsec_setup: KLIPS debug `none&acute;
    Feb 7 14:58:21 filial /etc/hotplug/net.agent: invoke ifup ipsec3
    Feb 7 14:58:21 filial ipsec_setup: KLIPS ipsec0 on eth1 200.153.182.7/255.255.255.192 broadcast 200.153.182.63
    Feb 7 14:58:21 filial ipsec_setup: ...FreeS/WAN IPsec started
    Feb 7 14:58:22 filial kernel: Packet log: input ACCEPT eth1 PROTO=17 200.210.42.71:500 200.153.182.7:500 L=108 S=0x00 I
    =0 F=0x4000 T=53 (#6)
    Feb 7 14:58:23 filial kernel: Packet log: input ACCEPT eth1 PROTO=17 200.210.42.71:500 200.153.182.7:500 L=272 S=0x00 I
    =0 F=0x4000 T=53 (#6)

    no lado matriz é a mesma coisa ...


    Já chequei varias vezes os arquivos ipsec.*; left e right OK
    <IMG SRC="images/forum/icons/icon27.gif">

  4. #4
    Maiko
    Visitante

    Padrão IPSEC -

    Perae, perae...Vamos por partes.

    Me diga os passos que vc seguiu?



  5. #5
    4ndr3
    Visitante

    Padrão IPSEC -

    - Instalação dos free*.rpm OK.
    - ipsec rsasigkey 512 > /etc/ipsec.secrets
    - editei o ipsec.secrets e inclui :
    : RSA {

    e } no final.

    - editei o ipsec.conf e alterei :

    left=(iplocal)
    leftnexthop=(routelocal)
    leftsubnet=192.168.0.0/24
    leftrsasigkey=(pubkey gerado pelo ipsec)
    right=(ipremoto)
    rightnexthop=(routeremoto)
    rightsubnet=192.168.1.0/24
    rightrsasigkey=(pubkey gerado pelo ipsec remoto)
    auto=start

    Abri as portas no firewall:
    /sbin/ipchains -A input -s IPREMOTO/32 -d IPLOCAL/32 500 -p udp -l -j ACCEPT
    /sbin/ipchains -A input -s 192.168.1.0/24 -d 192.168.0.0/24 -p tcp -l -j ACCEPT
    /sbin/ipchains -A input -s 192.168.0.0/24 -d 192.168.1.0/24 -p tcp -l -j ACCEPT
    /sbin/ipchains -A input -s 192.168.1.0/24 -d 192.168.0.0/24 -p udp -l -j ACCEPT
    /sbin/ipchains -A input -s 192.168.0.0/24 -d 192.168.1.0/24 -p udp -l -j ACCEPT
    /sbin/ipchains -A input -s 192.168.1.0/24 -d 192.168.0.0/24 -p icmp -l -j ACCEPT
    /sbin/ipchains -A input -s 192.168.0.0/24 -d 192.168.1.0/24 -p icmp -l -j ACCEPT
    /sbin/ipchains -A forward -s 192.168.1.0/24 -d 192.168.0.0/24 -p tcp -l -j ACCEPT
    /sbin/ipchains -A forward -s 192.168.0.0/24 -d 192.168.1.0/24 -p tcp -l -j ACCEPT
    /sbin/ipchains -A forward -s 192.168.1.0/24 -d 192.168.0.0/24 -p udp -l -j ACCEPT
    /sbin/ipchains -A forward -s 192.168.0.0/24 -d 192.168.1.0/24 -p udp -l -j ACCEPT
    /sbin/ipchains -A forward -s 192.168.1.0/24 -d 192.168.0.0/24 -p icmp -l -j ACCEPT
    /sbin/ipchains -A forward -s 192.168.0.0/24 -d 192.168.1.0/24 -p icmp -l -j ACCEPT

    - service ipsec start ( OK )

    e não pinga.!!!

    tô no desespero ...

  6. #6
    Maiko
    Visitante

    Padrão IPSEC -

    até ai tudo bem.
    Depois de startar o ipsec

    Vc tem que abilitar a repassagem dos pacotes
    echo 1 > /proc/sys/net/ipv4/ip_forward

    e tambem do rp_filter
    echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter

    Até aqui, voce so levantou o ipsec.
    Agora vc tem que startar as conexoes.

    ipsec auto --up (nome da conexao)

    agora sim vc pode tentar pingar de um lado para outro.

    Detalhe

    Servidor1 pinga o outro servidor2
    Servidor1 nao ping rede2 (vice-versa)
    rede1 pinga rede2


    <IMG SRC="images/forum/icons/icon_wink.gif"> testa ai e nos diga o resultado



  7. #7
    4ndr3
    Visitante

    Padrão IPSEC -

    Olhando bem descobri uma coisa :

    Na instalação da filial eu criei o nome do host como filial.xxxx.com.br e depois mudei para filial.yyyy.com.br nos arquivos
    /etc/sysconfig/network
    /etc/sysconfig/network-scripts/ifcfg-eth0

    mas quando executo hostname ele ainda me apresenta filial.xxxx.com.br.
    Onde eu mudo o nome do host ? , porque o
    ipsec rsasigkey 512 > ipsec.secrets faz referencia ao nome do host .

    ============================================

    E outra esse comando ipsec auto --up (nome da conexao), já nao seria executado pelo parametro auto=start no ipsec.conf ???


  8. #8
    Maiko
    Visitante

    Padrão IPSEC -

    para mudar o nome host entra no linuxconf.

    Nao, o ipsec.start so levanta o ipsec.
    depois vc tem que levantar as conexoes.

    no arquivo ipsec.secrets deixe assim

    : RSA {

    }

    nao é necessario colocar o nome na frente tipo

    filial.yyy.com.br: RSA {

    entendeu?

    <IMG SRC="images/forum/icons/icon_biggrin.gif"> <IMG SRC="images/forum/icons/icon_biggrin.gif"> <IMG SRC="images/forum/icons/icon_biggrin.gif">



  9. #9
    4ndr3
    Visitante

    Padrão IPSEC -

    o RedHat 7.3 não tem o linuxconf !?!?!

    e a referencia no ipsec.secrets é :

    # RSA 512 bits filial.xxxx.com.br Fri Feb 7 16:38:44 2003
    # for signatures only, UNSAFE FOR ENCRYPTION

    Acredito que no ato da criação das chaves, ele deve se basear no hostname,
    se mudarmos isso na munheca, a chave se torna invalida.

    --- Onde fica o nome do host ????



  10. #10
    Maiko
    Visitante

    Padrão IPSEC -

    para mudar o host
    # vi /etc/sysconfig/network




  11. #11
    4ndr3
    Visitante

    Padrão IPSEC -

    Já alterei e restartEI o network.

    mesmo assim quando executo hosname ele me devolve nome antigo ...

    o que eu faço ???

  12. #12
    4ndr3
    Visitante

    Padrão IPSEC -

    EUREKA ...

    caraca, que sufoco !

    O problema era esse :

    o hostname .

    não bastou restartAR o network, tive que rebootAR o servidor.

    Ai foi beleza.

    e o comando ipsec auto --up ( conexao ) já é executado automaticamente na carga do servico IPSEC.

    VALEU ! valeu mesmo ....

    Abraços .
    <IMG SRC="images/forum/icons/icon_wink.gif">

    <IMG SRC="images/forum/icons/icon21.gif">



  13. #13
    Visitante

    Padrão IPSEC -

    ola gostarias que alguem me ajudasse ...estou com um poblema quero saber como fasso para abilitar minha porta 80 do linux ...outra coisa como fasso para configurar um servidor de e-mail mas algum do tipo que eu nao presizasse de um dominium propio ..que eu assino speedye assino um provedor mas eu queria tirar proveito disso fazemdo meu propio servidor de e-mail ...
    espero uma resposta muito em breve obrigado por inquanto <IMG SRC="images/forum/icons/icon_smile.gif">

  14. #14

    Padrão IPSEC -

    libere o protocolo 50 e 51 , a porta eu nao lembro no momento.