IPSEC -

4ndr3 · 07-02-2003, 15:16

Socorro !!!! preciso de ajuda !!!

Efetuei uma instalação com freeswan e não consigo entender porque não funciona.

O serviço ipsec sobe sem erros ;

Abri a porta 500 UDP para eth1( ip-valido )

e abri 0:65535 tcp
0:65535 udp
0:65535 icmp para qquer interface ( 192.168.0.0/24 -> 192.168.1.0/24 e vice versa )

no messages eu recebo a porta 500 UDP mas nada de pingar uma com a outra...

Não sei mais onde mexer, alguem tem uma LUZ.

<IMG SRC="images/forum/icons/icon_cool.gif">

Maiko · 07-02-2003, 15:42

Fala ae brother...
vamos colocar esse negocio pra rodar... <IMG SRC="images/forum/icons/icon_razz.gif"> <IMG SRC="images/forum/icons/icon_razz.gif">

-Qual distribuicao vc está usando?

-Só para testar desabite seu firewall, para sabermos se o problema esta com ele ou não.

-O que diz os arquivos de log?

4ndr3 · 07-02-2003, 15:57

dist. RedHat 7.3 / freeS/Wan 1.99

nao posso desabilitar o firewall pois estou remoto aos hosts !

mas como eu falei, já abri as portas ...

o log na carga do servico ipsec :

Fev 7 14:58:21 filial ipsec_setup: Starting FreeS/WAN IPsec 1.99...
Fev 7 14:58:21 filial ipsec_setup: Using /lib/modules/2.4.18-3/kernel/net/ipsec/ipsec.o
Feb 7 14:58:21 filial kernel: klips_info:ipsec_init: KLIPS startup, FreeS/WAN IPSec version: 1.99
Feb 7 14:58:21 filial /etc/hotplug/net.agent: invoke ifup ipsec0
Feb 7 14:58:21 filial /etc/hotplug/net.agent: invoke ifup ipsec1
Feb 7 14:58:21 filial /etc/hotplug/net.agent: invoke ifup ipsec2
Feb 7 14:58:21 filial ipsec_setup: KLIPS debug `none´
Feb 7 14:58:21 filial /etc/hotplug/net.agent: invoke ifup ipsec3
Feb 7 14:58:21 filial ipsec_setup: KLIPS ipsec0 on eth1 200.153.182.7/255.255.255.192 broadcast 200.153.182.63
Feb 7 14:58:21 filial ipsec_setup: ...FreeS/WAN IPsec started
Feb 7 14:58:22 filial kernel: Packet log: input ACCEPT eth1 PROTO=17 200.210.42.71:500 200.153.182.7:500 L=108 S=0x00 I
=0 F=0x4000 T=53 (#6)
Feb 7 14:58:23 filial kernel: Packet log: input ACCEPT eth1 PROTO=17 200.210.42.71:500 200.153.182.7:500 L=272 S=0x00 I
=0 F=0x4000 T=53 (#6)

no lado matriz é a mesma coisa ...

Já chequei varias vezes os arquivos ipsec.*; left e right OK
<IMG SRC="images/forum/icons/icon27.gif">

Maiko · 07-02-2003, 16:06

Perae, perae...Vamos por partes.

Me diga os passos que vc seguiu?

4ndr3 · 07-02-2003, 16:40

- Instalação dos free*.rpm OK.
- ipsec rsasigkey 512 > /etc/ipsec.secrets
- editei o ipsec.secrets e inclui :
: RSA {

e } no final.

- editei o ipsec.conf e alterei :

left=(iplocal)
leftnexthop=(routelocal)
leftsubnet=192.168.0.0/24
leftrsasigkey=(pubkey gerado pelo ipsec)
right=(ipremoto)
rightnexthop=(routeremoto)
rightsubnet=192.168.1.0/24
rightrsasigkey=(pubkey gerado pelo ipsec remoto)
auto=start

Abri as portas no firewall:
/sbin/ipchains -A input -s IPREMOTO/32 -d IPLOCAL/32 500 -p udp -l -j ACCEPT
/sbin/ipchains -A input -s 192.168.1.0/24 -d 192.168.0.0/24 -p tcp -l -j ACCEPT
/sbin/ipchains -A input -s 192.168.0.0/24 -d 192.168.1.0/24 -p tcp -l -j ACCEPT
/sbin/ipchains -A input -s 192.168.1.0/24 -d 192.168.0.0/24 -p udp -l -j ACCEPT
/sbin/ipchains -A input -s 192.168.0.0/24 -d 192.168.1.0/24 -p udp -l -j ACCEPT
/sbin/ipchains -A input -s 192.168.1.0/24 -d 192.168.0.0/24 -p icmp -l -j ACCEPT
/sbin/ipchains -A input -s 192.168.0.0/24 -d 192.168.1.0/24 -p icmp -l -j ACCEPT
/sbin/ipchains -A forward -s 192.168.1.0/24 -d 192.168.0.0/24 -p tcp -l -j ACCEPT
/sbin/ipchains -A forward -s 192.168.0.0/24 -d 192.168.1.0/24 -p tcp -l -j ACCEPT
/sbin/ipchains -A forward -s 192.168.1.0/24 -d 192.168.0.0/24 -p udp -l -j ACCEPT
/sbin/ipchains -A forward -s 192.168.0.0/24 -d 192.168.1.0/24 -p udp -l -j ACCEPT
/sbin/ipchains -A forward -s 192.168.1.0/24 -d 192.168.0.0/24 -p icmp -l -j ACCEPT
/sbin/ipchains -A forward -s 192.168.0.0/24 -d 192.168.1.0/24 -p icmp -l -j ACCEPT

- service ipsec start ( OK )

e não pinga.!!!

tô no desespero ...

Maiko · 07-02-2003, 17:10

até ai tudo bem.
Depois de startar o ipsec

Vc tem que abilitar a repassagem dos pacotes
echo 1 > /proc/sys/net/ipv4/ip_forward

e tambem do rp_filter
echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter

Até aqui, voce so levantou o ipsec.
Agora vc tem que startar as conexoes.

ipsec auto --up (nome da conexao)

agora sim vc pode tentar pingar de um lado para outro.

Detalhe

Servidor1 pinga o outro servidor2
Servidor1 nao ping rede2 (vice-versa)
rede1 pinga rede2

<IMG SRC="images/forum/icons/icon_wink.gif"> testa ai e nos diga o resultado

4ndr3 · 07-02-2003, 17:48

Olhando bem descobri uma coisa :

Na instalação da filial eu criei o nome do host como filial.xxxx.com.br e depois mudei para filial.yyyy.com.br nos arquivos
/etc/sysconfig/network
/etc/sysconfig/network-scripts/ifcfg-eth0

mas quando executo hostname ele ainda me apresenta filial.xxxx.com.br.
Onde eu mudo o nome do host ? , porque o
ipsec rsasigkey 512 > ipsec.secrets faz referencia ao nome do host .

============================================

E outra esse comando ipsec auto --up (nome da conexao), já nao seria executado pelo parametro auto=start no ipsec.conf ???

Maiko · 07-02-2003, 17:56

para mudar o nome host entra no linuxconf.

Nao, o ipsec.start so levanta o ipsec.
depois vc tem que levantar as conexoes.

no arquivo ipsec.secrets deixe assim

: RSA {

}

nao é necessario colocar o nome na frente tipo

filial.yyy.com.br: RSA {

entendeu?

<IMG SRC="images/forum/icons/icon_biggrin.gif"> <IMG SRC="images/forum/icons/icon_biggrin.gif"> <IMG SRC="images/forum/icons/icon_biggrin.gif">

4ndr3 · 07-02-2003, 18:03

o RedHat 7.3 não tem o linuxconf !?!?!

e a referencia no ipsec.secrets é :

# RSA 512 bits filial.xxxx.com.br Fri Feb 7 16:38:44 2003
# for signatures only, UNSAFE FOR ENCRYPTION

Acredito que no ato da criação das chaves, ele deve se basear no hostname,
se mudarmos isso na munheca, a chave se torna invalida.

--- Onde fica o nome do host ????

Maiko · 07-02-2003, 18:16

para mudar o host
# vi /etc/sysconfig/network

4ndr3 · 07-02-2003, 19:49

Já alterei e restartEI o network.

mesmo assim quando executo hosname ele me devolve nome antigo ...

o que eu faço ???

4ndr3 · 07-02-2003, 20:24

EUREKA ...

caraca, que sufoco !

O problema era esse :

o hostname .

não bastou restartAR o network, tive que rebootAR o servidor.

Ai foi beleza.

e o comando ipsec auto --up ( conexao ) já é executado automaticamente na carga do servico IPSEC.

VALEU ! valeu mesmo ....

Abraços .
<IMG SRC="images/forum/icons/icon_wink.gif">

<IMG SRC="images/forum/icons/icon21.gif">

10-11-2003, 00:51

ola gostarias que alguem me ajudasse ...estou com um poblema quero saber como fasso para abilitar minha porta 80 do linux ...outra coisa como fasso para configurar um servidor de e-mail mas algum do tipo que eu nao presizasse de um dominium propio ..que eu assino speedye assino um provedor mas eu queria tirar proveito disso fazemdo meu propio servidor de e-mail ...
espero uma resposta muito em breve obrigado por inquanto <IMG SRC="images/forum/icons/icon_smile.gif">

**mistymst** · 10-11-2003, 04:34

libere o protocolo 50 e 51 , a porta eu nao lembro no momento.

IPSEC -

Ferramentas de Tópicos

IPSEC -

IPSEC -

IPSEC -

IPSEC -

IPSEC -

IPSEC -

IPSEC -

IPSEC -

IPSEC -

IPSEC -

IPSEC -

IPSEC -

IPSEC -

IPSEC -