+ Responder ao Tópico



  1. #1
    buribai
    Visitante

    Padrão OpenSwan Ipsec - Metodo Userland

    Tô configurando uma VPN aqui e acho que meu ipsec.conf


    tem alguma coisa errada ...


    alguem pode me indicar onde encontro um exemplo do ipsec.conf
    para o metodo Userland ??????


    Grato

  2. #2



  3. #3
    buribai
    Visitante

    Padrão OpenSwan Ipsec - Metodo Userland

    Valeu brother ...

    Mas eu segui foi esse mesmo .... e não está dando certo ... queria dar uma olhadinha em outro ....

    Então se alguem souber ...

  4. #4

    Padrão IPSEC

    Posta ai seu ipsec.conf pra gente dar uma olhada, ai a gente resolve junto.....
    Esse e o ipsec.conf da ultima que eu fiz em cima de openswan
    version 2.0
    config setup
    # interfaces="ipsec0=eth0"
    # plutodebug / klipsdebug = "all", "none" or a combation from below:
    # "raw crypt parsing emitting control klips pfkey natt x509 private"
    # eg:
    # plutodebug="control parsing"
    #
    # Only enable klipsdebug=all if you are a developer
    #
    # NAT-TRAVERSAL support, see README.NAT-Traversal
    # nat_traversal=yes
    # virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%4:172.16.0.0/12

    conn sede-distrital1
    left=201.x.x.2
    leftsubnet=192.168.4.0/24
    leftnexthop=201.x.x.1
    leftrsasigkey=0sAQOEOOvr3Gph1ruNkdzRgkCj27JMhrXB7sfRFqs08Wi04kTIai91jtk8SU3aKun/z+jNlMc+vrabpo1xoxKMOeTX
    right=200.x.x.2
    rightsubnet=192.168.0.0/24
    rightnexthop=200.x.x.1
    rightrsasigkey=0sAQPXA64o781haXXwN2JjY1Se+9pR2L5OtxcolDzh5eta7nZ7CgOvscx2KcnQBbd0nwW+WzDjjzZanA6xr5BVbQmj
    auto=start


    include /etc/ipsec.d/examples/no_oe.conf



  5. #5
    buribai
    Visitante

    Padrão OpenSwan Ipsec - Metodo Userland

    ihhhh parceiro ...

    o meu ipsec, tá igualzinho ....

    será pq ele não funfa ??????

    O que acontece é o seguinte:

    # ipsec auto --up sede-filial

    104 "sede-filial" #1: STATE_MAIN_I1: initiate
    010 "sede-filial" #1: STATE_MAIN_I1: retransmission; will wait 20s for response
    010 "sede-filial" #1: STATE_MAIN_I1: retransmission; will wait 40s for response


    E fica sempre assim ... ele não conecta ????

    Será o que pode ser ?

  6. #6

    Padrão ipsec

    HUmm....Bom desculpa perguntar, com certeza se já deve ter jeito isso, mas vc liberou a porta udp 500, e os protocolos 50 e 51 para se comunicarem entre os gateways, se já o problema é complicado mesmo.....



  7. #7

    Padrão OpenSwan Ipsec - Metodo Userland

    Oke tem dentro desse include? :P Comentai isso ai

  8. #8
    buribai
    Visitante

    Padrão OpenSwan Ipsec - Metodo Userland

    Ai vai meu ipsec.conf ... que na verdade não está tão igual assim e vai tbem algumas informações adicionais :
    _________________________________________________________
    # vi ipsec.conf

    version 2.0
    config setup
    interfaces=%defaultroute
    klipsdebug=all
    plutodebug=all
    conn %default
    authby=rsasig
    conn sede-filial
    left=172.21.0.100 (ip interno do modem )
    leftsubnet=192.168.0.0/24
    [email protected]
    leftnexthop=200.XX.XX.25 ( é o ip fixo da conexão adsl (modem))
    leftrsasigkey=0sAQ...

    right=172.21.2.100 ( ip interno do outro modem )
    rightsubnet=192.168.2.0/24
    [email protected]
    rightnexthop=200.XX.XX.38
    rightrsasigkey=0sAQPb
    auto=add
    #Disable Opportunistic Encryption
    include /etc/ipsec.d/examples/no_oe.conf

    _______________________________________________________

    # ipsec verify

    Checking your system to see if IPsec got installed and started correctly:
    Version check and ipsec on-path [OK]
    Linux Openswan U2.4.4/K2.6.14 (netkey)
    Checking for IPsec support in kernel [OK]
    Checking for RSA private key (/etc/ipsec.secrets) [OK]
    Checking that pluto is running [OK]
    Two or more interfaces found, checking IP forwarding [OK]
    Checking NAT and MASQUERADEing
    Checking for 'ip' command [OK]
    Checking for 'iptables' command [OK]
    Checking for 'setkey' command for NETKEY IPsec stack support [OK]
    Opportunistic Encryption Support [DISABLED]

    _________________________________________________________


    # route -n
    Kernel IP routing table
    Destination Gateway Genmask Flags Metric Ref Use Iface
    192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
    172.21.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
    127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
    0.0.0.0 172.21.0.1 0.0.0.0 UG 1 0 0 eth1



  9. #9
    buribai
    Visitante

    Padrão OpenSwan Ipsec - Metodo Userland

    É parceiro ... já liberei as portas que vc citou ... com as seguintes regras :

    echo "T) Liberando Openswan - Porta UDP 500 aberta e os protocolos 50 e 51 tbem"
    iptables -A INPUT -p udp --dport 500 -j ACCEPT
    iptables -A INPUT -p udp --sport 500 -j ACCEPT
    iptables -A INPUT -p 50 -j ACCEPT
    iptables -A INPUT -p 51 -j ACCEPT
    iptables -A FORWARD -p udp --dport 500 -j ACCEPT
    iptables -A FORWARD -p udp --sport 500 -j ACCEPT
    iptables -A FORWARD -p 50 -j ACCEPT
    iptables -A FORWARD -p 51 -j ACCEPT
    # liberando a transicao de pacotes da rede interna daqui com a rede interna de lá
    iptables -A FORWARD -s $REDEINTERNA -d $REDEVPN1 -j ACCEPT
    iptables -A FORWARD -d $REDEINTERNA -s $REDEVPN1 -j ACCEPT

  10. #10
    buribai
    Visitante

    Padrão OpenSwan Ipsec - Metodo Userland

    Adicionei tbem essa regra, pois nao pode fazer mascaramento dos pacotes que passam pelo tunel :

    iptables -t nat -A POSTROUTING -o eth1 -s $REDEINTERNA -d \! $REDEVPN1 -j MASQUERADE



  11. #11
    nett
    Visitante

    Padrão OpenSwan Ipsec - Metodo Userland

    E ai Amiguinho estou montando tambem uma VPN Site-to-Site
    A VPN irá ser Openswan com Concentrador Cisco. ( Não sei se irá funcionar. )

    Estou usando o Parametro
    type=tunnel no meu ipsec.conf

  12. #12

    Padrão ipsec

    Não tem como vc configurar os ips validos no proprio gateway, ao inves de ficar no modem, tive muitos problemas em um cliente que tinha um gateway que era NATeado pelo provedor, a minha solução foi esse cliente usar pptp.