Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1
    fmercurio
    Olá pessoal,

    Estou com problemas para configurar o IPSEC (FREESWAN), tomara que alguém consiga me ajudar.

    Estou tentando configurar um tunel utilizando um nó com ip fixo, e o outro com ip dinâmico. Segui as instruções desta documentação [br-linux.org].

    A autenticação se dá normalmente, pois o IPSEC retorna uma mensagem confirmando a autenticação, mas após iniciar o serviço não consegui pingar nenhum host da rede remota, outra coisa que percebi é que o roteamento ip pára, ou seja, as máquinas da rede não conseguem acesso à internet diretamente, só acessa a web pois passa pelo proxy.

    Eu configurei tudo bunitinho nas duas pontas, liberei no firewall as conexões no protocolo 50 e na porta 500 UDP... já fiz tudo que encontrei na internet, mas não consigo liberar.

    Estou disponibilizando o meu ipsec.conf e as regras de firewall que utilizei... se alguém já conseguiu fazer funcionar o IPSEC ou tem alguma dica por favor, não exitem em postar.

    Sistema operacional: Slackware 10.1
    Kernel: 2.4.29

    ## ipsec.conf ##
    version 2
    config setup
    interfaces=%defaultroute
    klipsdebug=none
    plutodebug=none
    uniqueids=yes
    # plutoload=%search
    # plutostart=%search

    conn %default
    keyingtries=0
    disablearrivalcheck=no
    authby=rsasig

    conn kenzza-casa
    authby=rsasig
    left=200.161.130.49
    leftnexthop=200.161.130.1
    leftid=@kenzza-proxy..
    leftsubnet=192.168.0.0/24
    # RSA 1024 bits kenzza-proxy Fri Nov 11 16:56:03 2005
    leftrsasigkey=0sAQOnqSB28+IR54Qd9/Eut4fmMfgXy1MmaJK+we1F+eD5QKJ62ZeVZe60Xd5XZQoJ4+I+0Jze8RqUtgKTDePSV3nnz2JwdmOo9FrHsZrkjrbIL+VEsa/or3csW1cQS9b4M04INFrU8O3Z5f4Qa2DsbWqxmcd9XpSMHLLRcANhgvBoPw==
    rightnexthop=%defaultroute
    right=%any
    rightid=@kenzza-casa..
    rightsubnet=10.0.0.0/24
    # RSA 1024 bits kenzza-casa Fri Nov 11 16:55:49 2005
    rightrsasigkey=0sAQPuMbIWWBK2W3PQQ00tgMWn23Ia6ZoEctv4ksBcXDhHjZpokEOdMEjtMTUvb4QYgUU2m7rbEjx6h23fFctxsZdNTmz8783H+SyNWSuBQTx42Q8Fz7+cqip6zkLIDCtWdGL3+nxJfVLCtqLwjpGPcDwIg6YOlCzr6Cn9pkIP+EEgQw==
    type=tunnel
    auto=add


    ## Regras de IPTABLES ##
    ## Liberando conexoes para VPN
    iptables -A INPUT -p udp --dport 500 -j ACCEPT
    iptables -A INPUT -p udp --sport 500 -j ACCEPT
    iptables -A INPUT -p 50 -j ACCEPT
    iptables -A FORWARD -p udp --dport 500 -j ACCEPT
    iptables -A FORWARD -p udp --sport 500 -j ACCEPT
    iptables -A FORWARD -p 50 -j ACCEPT

    iptables -A INPUT -p tcp --sport 2020 --dport 2020 -j ACCEPT
    iptables -A OUTPUT -p tcp --sport 2020 --dport 2020 -j ACCEPT

    iptables -A FORWARD -s 192.168.0.0/255.255.255.0 -d 10.0.0.0/255.255.255.0 -j ACCEPT
    iptables -A FORWARD -d 192.168.0.0/255.255.255.0 -s 10.0.0.0/255.255.255.0 -j ACCEPT

    Ao que me parece eu recebo o IP do meu gateway de internet.
    Vou postar a saída do comando route -n, talvez ajude a ter uma análise melhor:

    Kernel IP routing table
    Destination Gateway Genmask Flags Metric Ref Use Iface
    200.161.130.0 0.0.0.0 255.255.255.192 U 0 0 0 eth0
    200.161.130.0 0.0.0.0 255.255.255.192 U 0 0 0 ipsec0
    10.0.0.0 200.161.130.1 255.255.255.0 UG 0 0 0 ipsec0
    192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
    127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
    0.0.0.0 200.161.130.1 128.0.0.0 UG 0 0 0 ipsec0
    128.0.0.0 200.161.130.1 128.0.0.0 UG 0 0 0 ipsec0
    0.0.0.0 200.161.130.1 0.0.0.0 UG 0 0 0 eth0

    Vou colocar a saída do "ipsec look" também:

    0.0.0.0/0 -> 0.0.0.0/0 => %trap (0)
    192.168.0.0/24 -> 10.0.0.0/24 => tun0x1002@201.26.98.21 esp0x16909edf@201.26.98.21 (0)
    200.161.130.49/32 -> 0.0.0.0/0 => %trap (7)
    200.161.130.49/32 -> 64.21.49.63/32 => %pass (10)
    200.161.130.49/32 -> 64.124.33.151/32 => %pass (7)
    200.161.130.49/32 -> 200.42.92.17/32 => %pass (1)
    200.161.130.49/32 -> 200.179.42.65/32 => %pass (25)
    200.161.130.49/32 -> 200.204.0.10/32 => %pass (57)
    200.161.130.49/32 -> 200.204.0.138/32 => %pass (96)
    200.161.130.49/32 -> 200.205.144.79/32 => %pass (1)
    200.161.130.49/32 -> 201.26.98.21/32 => %pass (4)
    200.161.130.49/32 -> 207.46.2.89/32 => %pass (4)
    200.161.130.49/32 -> 208.185.132.166/32 => %pass (2)
    200.161.130.49/32 -> 217.31.49.244/32 => %pass (1)
    ipsec0->eth0 mtu=16260(1500)->1500
    esp0x16909edf@201.26.98.21 ESP_3DES_HMAC_MD5: dir=out src=200.161.130.49 iv_bits=64bits iv=0x2798eb3df0bc02c6 ooowin=64 alen=128 aklen=128 eklen=192 life(c,s,h)=addtime(39,0,0) refcount=4 ref=16
    esp0x5459a3af@200.161.130.49 ESP_3DES_HMAC_MD5: dir=in src=201.26.98.21 iv_bits=64bits iv=0x5306c39c5569ebf7 ooowin=64 alen=128 aklen=128 eklen=192 life(c,s,h)=addtime(39,0,0) refcount=4 ref=11
    tun0x1001@200.161.130.49 IPIP: dir=in src=201.26.98.21 policy=10.0.0.0/24->192.168.0.0/24 flags=0x8<> life(c,s,h)=addtime(39,0,0) refcount=4 ref=10
    tun0x1002@201.26.98.21 IPIP: dir=out src=200.161.130.49 life(c,s,h)=addtime(39,0,0) refcount=4 ref=15
    Destination Gateway Genmask Flags MSS Window irtt Iface
    0.0.0.0 200.161.130.1 0.0.0.0 UG 0 0 0 eth0
    0.0.0.0 200.161.130.1 128.0.0.0 UG 0 0 0 ipsec0
    10.0.0.0 200.161.130.1 255.255.255.0 UG 0 0 0 ipsec0
    128.0.0.0 200.161.130.1 128.0.0.0 UG 0 0 0 ipsec0
    200.161.130.0 0.0.0.0 255.255.255.192 U 0 0 0 eth0
    200.161.130.0 0.0.0.0 255.255.255.192 U 0 0 0 ipsec0

  2. Teu problema todo está naquela rota que diz que
    0.0.0.0/1 e 128.0.0.0/1 devem rotear para o device ipsec0...

    O problema deve ser esse conn:
    -------------------------
    conn %default
    keyingtries=0
    disablearrivalcheck=no
    authby=rsasig
    -------------------------

    Comenta esse trexo todo do teu arquivo ipsec.conf

    E testa pois com isso nao irá navegar nem fechar o tunel direito!

    Depois fala se deu certo!



  3. Ah sim! Depois que funcionar, mude suas chaves né velho? :P

    Já que tu postou pra todo mundo ver... eheheh

  4. #4
    fmercurio
    Olá,
    Desde já obrigado pela resposta.
    Cara não funcionou muita coisa comentar aquele trecho do ipsec.conf. O roteamento continua não funcionando.
    Estava analisando sua resposta e verifiquei que na tabela de roteamento as rotas mencionadas que apontam para a interface ipsec0 são rotas de Gateway, ou seja, acho que minha rede perde a referencia de gateway quando o ipsec é ligado, pois ele muda a rota padrão do gateway para a interface ipsec0.

    Segue abaixo como ficou a minha tabela de roteamento:

    Kernel IP routing table
    Destination Gateway Genmask Flags Metric Ref Use Iface
    200.161.130.0 0.0.0.0 255.255.255.192 U 0 0 0 eth0
    200.161.130.0 0.0.0.0 255.255.255.192 U 0 0 0 ipsec0
    192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
    127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
    0.0.0.0 200.161.130.1 128.0.0.0 UG 0 0 0 ipsec0
    128.0.0.0 200.161.130.1 128.0.0.0 UG 0 0 0 ipsec0
    0.0.0.0 200.161.130.1 0.0.0.0 UG 1 0 0 eth0

    Valew.



  5. Citação Postado originalmente por fmercurio
    Olá,
    Desde já obrigado pela resposta.
    Cara não funcionou muita coisa comentar aquele trecho do ipsec.conf. O roteamento continua não funcionando.
    Estava analisando sua resposta e verifiquei que na tabela de roteamento as rotas mencionadas que apontam para a interface ipsec0 são rotas de Gateway, ou seja, acho que minha rede perde a referencia de gateway quando o ipsec é ligado, pois ele muda a rota padrão do gateway para a interface ipsec0.

    Segue abaixo como ficou a minha tabela de roteamento:

    Kernel IP routing table
    Destination Gateway Genmask Flags Metric Ref Use Iface
    200.161.130.0 0.0.0.0 255.255.255.192 U 0 0 0 eth0
    200.161.130.0 0.0.0.0 255.255.255.192 U 0 0 0 ipsec0
    192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
    127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
    0.0.0.0 200.161.130.1 128.0.0.0 UG 0 0 0 ipsec0
    128.0.0.0 200.161.130.1 128.0.0.0 UG 0 0 0 ipsec0
    0.0.0.0 200.161.130.1 0.0.0.0 UG 1 0 0 eth0

    Valew.
    Foi exatamente o que eu disse, tuas rotas default tao indo pra ipsec0 por isso tu fica sem navegacao :P

    Comenta também:
    interfaces=%defaultroute



    como vc reinicia o ipsec ?






Tópicos Similares

  1. [VPN IPsec] Problemas com Link NET
    Por edutomasi no fórum Mikrotik
    Respostas: 10
    Último Post: 22-11-2016, 08:00
  2. Problemas com Ipsec Openswan
    Por renato_ferreira no fórum Servidores de Rede
    Respostas: 0
    Último Post: 06-04-2013, 21:57
  3. Problemas com ipsec no Centos!
    Por marioaugusto no fórum Servidores de Rede
    Respostas: 2
    Último Post: 11-04-2011, 15:05
  4. Problema com VPN IPSEC - FREESWAN
    Por no fórum Servidores de Rede
    Respostas: 3
    Último Post: 04-09-2004, 14:16
  5. problemas com o IMP
    Por marlonfuchs no fórum Servidores de Rede
    Respostas: 0
    Último Post: 27-06-2002, 08:13

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L