Olá pessoal, tudo certo?
Antigamente, quando utilizava o FreeSwan + klips (kernel não suportava encapsulamento IPSec por default), haviam interfaces "virtuais" chamadas de IpsecX (X - nro da interface dinâmica). No caso do NetKEY, embora no arquivo de configuração tenhamos Ipsec0=iface_conectada_wan, na prática isso não acontece. Pergunto, se a minha iface wan for a ETH0, o processo de fato cria 1 ETH0 a mais, porém, o roteamento deverá funcionar corretamente?
Percebam o chuncho...na verdade a subrede que está encaminhando requests para a rightsubnet do canal (canal este que se mostra up (service ipsec status => 1 channel's up!)) eh uma rede classe C (192.168.0.0/24), através de uma string no Iptables (iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -o eth0 -j SNAT --to-source 172.29.0.254) estou alterando o endereço no cabeçalho do pacote, para bater com a configuração do outro lado (um firewall checkpoint), e depois, fazendo o masquerade da interface WAN (iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE) no meu script de firewall. No momento que coloco o serviço no ar, a iface ETH0 extra é adicionada, com a subnet de destino criada. Porém, adivinhem? Nada de alcance! Nem ping, telnet, bla bla bla....nada! Reforço que, estou usando suporte IPSec builtin (NetKEY), e usando pre-shared secret para autenticação. No caso da primeira regra que postei, em um firewall antigo que funciona (estou atrás de uma ADSL aqui) que possui kernel 2.4.x + klips (todos instalados através de RPM) tudo funciona bem, inclusive as mensagem dos logs são as mesmas em ambos, porém, no antigo é uma instalação FreeSwan. Reforço que, estou com os arquivos de configuração quase iguais, salvo apontamentos de IP que já foram corrigidos aqui, no outro lado nao precisa porque apenas analisa o end. IP válido da ADSL...
Depois de tantos detalhes, alguém tem um dica a respeito de uma implementação desse tipo? :? Uma dica, um how-to-guide, boa vontade, qualquer coisa! Já googlei tanto, que to achando o Google ruim em metabusca já
Eu agradeço qualquer tipo de ajuda!
Obrigado! :-D
-
22-05-2006, 16:47 #1JuniehVisitante
Openswan + kernel 2.6.15 + klips
-
23-05-2006, 10:06 #2JuniehVisitante Re: Openswan + kernel 2.6.15 + klips
Não acredito...eu tinha criado uma string errada para o masquerading dos bytes em trânsito...que naba né?
Bom, NetKEY funciona bem com firewall de terceiros pessoal (checkpoint), atrás de ADSL mesmo com OpenSWAN 2.x em Fedora Core 5! O melhor? Implementação praticamente default com pre-shared-key, bem tranquilo...
Mas reforço, cuidado com as strings para MASQUERADE no firewall, essa era a minha dor de cabeça...fui me tocar hj de manhã...que naba :-D
Agradeço a quem possa ter pensado à respeito..., tudo funcando! rsrsrsrsr
Abraços!
Citação