VPN FreeSWan IPSec

Apresento neste artigo a configuração de uma VPN (Virtual Private Network) utilizando-se da ferramenta FreeS/Wan (freeswan). Toda a configuração foi feita baseada em um Conectiva Linux 9.

[ Hits: 172.359 ]

Por: Fernando Silva Barreto em 04/11/2004


ipsec.secrets



Agora é necessário configurar as chaves que serão usadas para a criptografia e autenticação.

Como disse anteriormente, devemos dar preferência para o tipo RSA, que é mais seguro e tem outras vantagens em relação ao tipo de chaves PSK, como por exemplo:

Na transmissão de chaves. A chave do tipo RSA não tem nenhum problema de transmissão de chaves. No caso das chaves compartilhadas (PSK), você deve enviar a chave para o outro lado de algum modo. Com o mecanismo de chave pública/privada, você transmite para o outro lado apenas a chave pública. O sistema foi desenvolvido para que não importe caso alguém pegue sua chave pública, nada poderá ser feito com ela (para descriptografar o que foi criptografado com a chave pública é necessária a chave privada que não foi transmitida).

Na nossa configuração iremos gerar uma chave de 1024 bits.

O comando a ser utilizado para a geração de chaves tipo RSA é o:

# ipsec rsasigkey 1024

Com isso iremos gerar uma chave de 1024 bits. Será exibido na tela algo parecido com:

RSA 1024 bits Tru Sep 30 23:15:45 2004
for signature only, UNSAFE FOR ENCRYPTION
pubkey=0x01039efb4ea84f0026206cd876e41dfbce7...

NOTA: o número gerado aqui é será muito maior, mas colocarei somente uma parte por questões estéticas.

Serão geradas mais algumas linhas também, mas vamos para a parte prática.

Vamos gerar uma chave de 1024 bits e colocar no arquivo ipsec.secrets:

# ipsec rsasigkey 1024 > /etc/ipsec.secrets

Com isso todo o conteúdo gerado irá para o arquivo ipsec.secrets (arquivo onde a chave deve ficar).

O arquivo ficará mais ou menos assim:

# vi /etc/ipsec.secrets

# RSA 1024 bits Tru Sep 30 23:15:45 2004
# for signature only, UNSAFE FOR ENCRYPTION
#pubkey=0x01039efb4ea84f0026206cd876e41dfbce7...
#IN KEY 0x4200 4 1 AQNu jq5VUTHRxA...
Modulus: 0x9ef4ef002620fecafbce547...
PublicExponent: 0x03
#everything after this point is secret
PrivateExponent: 0x124fceefb4ea84f002620...
Prime1: 0xdef2333dec...
Prime2: 0x92d34ecdw...
Exponent1: 0x9401ecf00cc8d1...
Exponent2: 0x7a36c3e2acb8dad...
Coefficient: 0x7cc93334223f7f3c...

O arquivo ipsec.secrets ficará parecido com este acima. Peço que tomem cuidado com as posições da cada linha neste arquivo, nada de juntar tudo para um lado ou querer formatar e etc, deixem as linhas como estão.

Precisamos apenas inserir um informação que precisa estar na primeira linha e começar na primeira coluna e depois colocar outro parâmetro na última linha do arquivo. Segue abaixo os parâmetros:

:RSA {
          # RSA 1024 bits Tru Sep 30 23:15:45 2004
          # for signature only, UNSAFE FOR ENCRYPTION
          #pubkey=0x01039efb4ea84f0026206cd876e41dfbce7...
          #IN KEY 0x4200 4 1 AQNu jq5VUTHRxA...
          Modulus: 0x9ef4ef002620fecafbce547...
          PublicExponent: 0x03
          #everything after this point is secret
          PrivateExponent: 0x124fceefb4ea84f002620...
          Prime1: 0xdef2333dec...
          Prime2: 0x92d34ecdw...
          Exponent1: 0x9401ecf00cc8d1...
          Exponent2: 0x7a36c3e2acb8dad...
          Coefficient: 0x7cc93334223f7f3c...
          }

Pronto, está aí. O arquivo precisa estar assim, ou seja, inserir ": RSA {" na primeira linha do arquivo e inserir "}" na última linha do arquivo. Agora precisamos copiar apenas a linha "# pubkey=0x01039...", aconselho copiar a linha e colar em algum arquivo por exemplo:

# vi left.key

#pubkey=0x01039efb4ea84f0026206cd876e41dfbce7...

Pessoal, vamos considerar que toda está configuração está sendo feita no gateway da RedeA, ou seja, estou na parte que descrevi como left no arquivo ipsec.conf.

Agora o necessário a se fazer é abrir o arquivo left.key e copiar a pubkey e depois colar no arquivo ipsec.conf na parte "lefrsasigkey=". Vamos abrir o arquivo ipsec.conf ir até a linha onde deixamos em branco (leftrsasigkey=) e colar toda a chave publica após o sinal de "=". Precisamos deixar somente o conteúdo que está depois do sinal de "=" da chave pública (tirar #pubkey=). Então o arquivo ipsec.conf ficará assim:

...

conn vivaolinux
          left=200.241.112.1
          leftsubnet=192.168.6.0/24
          leftnexthop=%defaultroute
          leftrsasigkey=0x01039efb4ea84f0026206cd876e41dfbce7...
          right=200.250.46.1
          rightsubnet=192.168.7.0/24
          rightnexthop=%defaultroute
          rightrsasigkey=
          auto=add

Salve e feche o arquivo. Agora vamos fazer o mesmo do outro lado (RedeB).

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. Preparação/Instalação
   3. ipsec.conf
   4. Conexão no ipsec.conf
   5. ipsec.secrets
   6. Configuração da outra ponta
   7. Detalhes/Recomendações
Outros artigos deste autor

Configuração da rede no Conectiva 10

Leitura recomendada

DHCP - Configurando-o de forma simples e eficiente

Instalar certificado digital Safesign, fornecido pela Certisign e utilizado pela OAB-SP, em qualquer distribuição Linux usando distrobox

Instalando e usando o Gentoo GNU/Linux

Como transformar seu DVD/RW em um disco de backup como se fosse um HD convencional

Instalando o Blackbox

  
Comentários
[1] Comentário enviado por y2h4ck em 04/11/2004 - 12:09h

Fernando blz ?
Gostaria de dizer que não sei se vc sabe mas o projeto FreeSWAN está parado, e que a continuação dele é o OpenSWAN ... acho bom dizer isso ao pessoal, porque é melhor seguir usando um projeto que vai ter atualizações e continuação.

Blz ?

Falow

[2] Comentário enviado por engos em 04/11/2004 - 13:12h

Muito bom o artigo, o unico problema foi a distro usada, não consigou achar uma pior? :)

Brincadeiras a parte, sou exigente e gosto de tudo bem feito, ou que a pessoa não faça e deixe para outra. Seu artigo conseguiu me agradar totalmente (o que não é fácil).

Parabéns pelo artigo.

[3] Comentário enviado por __FERNANDO__ em 04/11/2004 - 13:22h

Valeu engos!

Fala serio ai... você utiliza Mandrake cara ..hehe...para né... nada a ver... sou mais o Conectiva mesmo..hehehe...

Brincadeira hein...eu pra ser sincero nunca nem vi como é o Mandrake (e nem quero...kkkkk....brincadeira novamente...rssss)

Mandei um e-mail para você comentando sobre o seu comentário...heheeh.

Valeu,

Fernando.

[4] Comentário enviado por __FERNANDO__ em 04/11/2004 - 14:34h

Tudo beleza y2h4ck !!!.

Cara sinceramente não sabia desta informação que passou... excelente cara.. valeu pela informação.

Obrigado,

Fernando.

[5] Comentário enviado por androle em 04/11/2004 - 15:48h

Que rufem os tambores!!!!

O engos gostou totalmente de um artigo!!!

:))) brincadeirinha

[6] Comentário enviado por __FERNANDO__ em 04/11/2004 - 17:01h

Kkkkkkkkk.... quer dizer que é dificil o engos gostar totalmente de um artigo ? rsss... Poxa, que honra.

Valeu H-lera.

Fernando.

[7] Comentário enviado por rbn_jesus em 04/11/2004 - 17:30h


Este artigo que vc fez pode ser aplicado em qualquer distro ou só no CL?

[8] Comentário enviado por __FERNANDO__ em 04/11/2004 - 17:36h

Boa tarde!

Então cara, eu fiz no CL... pode ser aplicado a outras distribuições sim.
Como eu disse, no CL9 ela (VPN) está como nativa, então é tranquilo a sua instalação... mas em algumas distribuições, você precisa de outro pacote, senão me engano é um pacote que é aplicado no Kernel. É algo como:
freeswan-kernelpatch (mais ou menos isto).

Abraços,

Fernando.

[9] Comentário enviado por cedrimendes em 05/11/2004 - 11:20h

valeu cara muito legal este artigo tem muitos detalhes nele que eu nao encontrei em outros porem como voce disse e uma pena que NAT nao funcione muito legal


se voce tiver um comentario a respeito do assunto por favor me passe

cedrimendes@netsite.com.br

[10] Comentário enviado por lacierdias em 06/11/2004 - 12:45h

maneiro o artigo mas este projeto já náo esta parado a um tempão???

[11] Comentário enviado por __FERNANDO__ em 07/11/2004 - 14:11h

Boa tarde!

Então, como o amigo y2h4ck disse acima, o projeto FreeSWan está parado, porém tem a sua continuação com o OpenSWan.

Porem, FreeSWan ainda é muito utilizado hoje... eu particularmente acho muito boa a VPN com o FreeSWan.

Abraços e até mais,

Fernando.

[12] Comentário enviado por carl em 10/11/2004 - 05:47h

Caro fernando, quando tento instalar o freeswan, ele me pede uma lib, que não consigo achar em lugar nenhum, vc tem ela ai pra me dar, a lib é a libpcap.so.0
Carlos Cesar
carlos@gruporoyal.com.br

[13] Comentário enviado por __FERNANDO__ em 10/11/2004 - 06:22h

Fala ai carl !

Estou te mandando por e-mail.

Valeu,


Fernando.

[14] Comentário enviado por judabenhur em 09/12/2004 - 11:27h

Olá Fernando,

Eu segui seu roteiro, mas passando para o openswan....

Ocorreu a seguinte mensagem no /var/log/messages:
---------
Dec 9 11:05:30 belohorizonte-mg ipsec__plutorun: 003 ERROR "/etc/ipsec.secrets" line 1: index ":RSA" illegal leading `:' in IPv6 numeric address
Dec 9 11:05:30 belohorizonte-mg ipsec__plutorun: 003 ERROR "/etc/ipsec.secrets" line 1: index "{" illegal (non-DNS-name) character in name
Dec 9 11:05:30 belorizonte-mg ipsec__plutorun: 003 ERROR "/etc/ipsec.secrets" line 5: index "Modulus" does not look numeric and name lookup failed
Dec 9 11:05:30 belorizonte-mg ipsec__plutorun: 003 "/etc/ipsec.secrets" line 5: unrecognized key format: 0x78a.........
-------

O que pode ser ?

[]s,
Anderson.

[15] Comentário enviado por judabenhur em 09/12/2004 - 11:56h

Olá Fernando....

Eu removi a primeira e a última linha que vc orientaa colcoar no /etc/ipsec.secrets , agora, a mensagem no log é diferente....
------
Dec 9 11:48:28 belohorizonte-mg ipsec_setup: ...Openswan IPsec started
Dec 9 11:48:28 belohorizonte-mg ipsec_setup: Starting Openswan IPsec U2.2.0/K2.6.5-1.358...
Dec 9 11:48:29 belohorizonte-mg ipsec__plutorun: 003 "/etc/ipsec.secrets" line 4: file starts with indentation (continuation notation)
-----

Mas o serviço inicializa normalmente....
A linha 4 dentro do /etc/ipsec.secrets começa com "Modulus: 0x...."

É isso mesmo ?

[]s,
Anderson.

[16] Comentário enviado por __FERNANDO__ em 09/12/2004 - 13:20h

Boa tarde!

Cara, infelizmente ainda nem vi o Openswan... ultimamente tá fogo viu.. bem que eu queria dar uma olhada nele....mas agora tá cruel..hehe..meio corrido.

Então, a unica coisa que posso afirmar é que você não pode tirar as linhas que tirou naum... ao menos no Freeswan... e é Modulus sim...

Outra coisinha...dá uma olhada no arquivo de configuração... se na parte:
conn %default
keyingtries=0
disablearrivalcheck=no
authby=rsasig
leftrsasigkey=%dnsondemand
rightrsasigkey=%dnsondemand

Na parte authby=rsasig ...se está assim mesmo..

Espero ter ajudado,

Fernando.

[17] Comentário enviado por judabenhur em 09/12/2004 - 15:17h

Fernando.....

Legal.... vou tentar então, mexer com o freeswan...... Eu havia optado pelo Openswan, pq houve o comentário de que era a continuação do mesmo projeto.

No entanto, ao rodar insmod ipsec, tenho a triste notícia de que o arquivo não existe.... pior é que tá lá na configuração dor kernel.... mas não no path..... tenho apenas o ipsec.h ......

Alguma dica ?

[]s,
Anderson.

[18] Comentário enviado por __FERNANDO__ em 11/12/2004 - 13:15h

Boa tarde!

Que distribuição está usando ? Putz...se não tá no Kernel... tem alguns pacotinhos que são exatamente isto ai que está faltando... o nome agora eu não me lembro direito...é algo como: kernel-patch-freeswan...algo do tipo.

Fernando.

[19] Comentário enviado por aprendiz_ce em 25/01/2005 - 20:40h


Estou precisando conectar a minha rede com a rede de uma
outra empresa via VPN. Mas não obtive ajuda do pessoal
técnico da empresa em questão, só sei que o protocolo é PPTP
e o IP do servidor. A minha rede tem um servidor (PDC) CL 9
compartilhando internet (IP MASCARADO + NAT) com estações
Win98 (atualizadas com Dial Up Networking 1.4).

No momento as estações só conectam, um por vez, mas gostaria
que todas se conectassem simultaneamente. Quando um já esta
conectada e a outra tenta conectar tambem, a conexão é
rejeitada. O que devo fazer para por isto em pratica? tenho
que instalar um servidor de VPN também, ou só um regra no
IPTABLES resolveria?

Grato pela atenção.

Mardônio Cavalcante


[20] Comentário enviado por __FERNANDO__ em 26/01/2005 - 09:28h

Bom dia, Cara sobre o PPTP eu num manjo naum viu... mas aqui no site tem varios artigos referente a ele.

Te mandei um e-mail com um link sobre PPTP..da uma olhadinha.

Até mais,

Qualquer coisa é só dizer,

Abraços,

Fernando.

[21] Comentário enviado por antoniaze em 01/02/2005 - 14:03h

cara valeu mesmo finalmente encotrei alguem que deu umas dicas para conectiva.....

[22] Comentário enviado por linuxbeginner em 10/02/2005 - 15:40h

Caro Fenando,

Soh lembrando quanto as regras no Firewall.........alem da porta 500 UDP que deve ser liberado, o que também deve ser liberado são os PROTOCOLOS 50(ESP) e 51(AH), e não as portas 50 e 51 como foi dito.

Fica ai a dica.

Parabens pelo artigo.......muito bom mesmo!

[23] Comentário enviado por __FERNANDO__ em 10/02/2005 - 16:16h

Opá... agradeço hein.

Muito obrigado pela correção...valeu mesmo hein.


Fernando.

[24] Comentário enviado por nobregasz em 02/06/2005 - 06:37h

Aiai... eu devia ter lido que devia estar logado antes de escrever algo :) bom. .agora vou resumir mais.

Existem dois forks do FreeSwan: OpenSwan (www.openswan.org) e o StrongSwan (www.strongswan.org). Eu particularmente gostei mais do StrongSwan (tentei configurar criptografia AES 256 no Openswan e nao consegui. No Strong foi mole) além de que, achei a documentação do site do Strong mais completa.

O OpenSwan ja esta vindo junto com algumas distros (Fedora 3, Suse..) no Fedora Core 3 a instalação émoleza (yum install openswan..)

Os dois projetos ja têm, em suas versões mais novas, o patch para NAT-T que "dribla" o problema com a passagem por NAT.

Bem, caso alguem se aventure e tiver problemas, ficarei feliz em tentar ajudar.

Espero ter contribuido com todos.

[]s

Rodrigo

[25] Comentário enviado por Papafigo em 01/06/2006 - 17:22h

Parabéns pelo artigo.

[26] Comentário enviado por Gilfran em 13/10/2006 - 12:26h

Amigo, estou com um TRENDnet TW100-BRV204, ele só gera uma chave (e não duas que você configura a right e left), sendo assim pergunto, é possivel fazer um IPSec Trend se comunicar com um IPSec Linux?
Eu preciso disso porque vou ter um servidor com IPSec e terei 5 TRENDnet desses em 5 filiais espalhadas pelo país, outra dúvida me surte, posso fazer vários IPSec para a mesma máquina como é o caso que pretendo fazer?
Desde já agradeço.
Abraços,
"Gil"

[27] Comentário enviado por aluisiogouveia em 22/11/2006 - 23:48h

Comigo aconteceu o seguinte problema no momento do start so ipsec:

Dec 9 11:05:30 vpn ipsec__plutorun: 003 ERROR "/etc/ipsec.secrets" line 1: index ":RSA" illegal leading `:' in IPv6 numeric address

Resolvi assim:

Na primeira linha do ipsec.secrets

@my.com: rsa { ....
ultima linha identei o } com tab


[28] Comentário enviado por FireBird em 25/01/2007 - 15:18h

Mano...Deixa eu te perguntar...Antes de mais nada, parabens pra voce pelo artigo..ficou mtob em feito... so uam coisa... O OpenSwan e nem o FreeSwan rodam debaixo de nat...Voce saberia algum que poderia fazer isso? Sabe se o OpenVPN tem suporte a ipsec? talvez o kame?
Se tiver como mandar resposta por email...ficaria agradecido

fernandino.silva@gmail.com

valeu...

[29] Comentário enviado por zapp em 22/03/2007 - 10:34h

Pessoal, sempre vejo comentarios e nao conseguem rodar nat em vpn, tenho uma vpn aki com cl9 uns 5 anos rodando nat nas duas pontas, e funciona xik, isso eh facil soh mudar uma regra no iptables
aki vai a configuração do Iptables

internet=eth1
redeA=192.168.0.0/255.255.255.0
redeB=192.168.1.0/255.255.255.0
iptables -t nat -A POSTROUTING -s $redeA -d ! $redeB -o $internet -j MASQUERADE

com isso somente a redeA tem o nat a redeB q vai entrar no servidor nao precisa de nat.

a mesma coisa se faz na redeB invertendo e ficando assim:

internet=eth1
redeA=192.168.0.0/255.255.255.0
redeB=192.168.1.0/255.255.255.0
iptables -t nat -A POSTROUTING -s $redeB -d ! $redeA -o $internet -j MASQUERADE

Pronto... esta resolvido o problema da duas NAT na duas redes..

Espero ter contibuido com a Comunidade.

Futuramente quero montar um artigo para fazer o IPSEC funcionar em slackware 11 com kernel 2.6, já estou trabalhando este projeto com slackware uma distro que eu particularmente AMO.

[30] Comentário enviado por cassioseffrin em 30/03/2008 - 16:34h

Olá Fernando,

Gostaria de saber se o freeswan permite diversas filiais ligadas a uma matriz. Por exemplo tenho 5 distribuidoras que deveraiam ser conectadas a um único sistema que esta hospedado na matriz. Pelo que vi o artigo trata bastante de right e left, porém não fica claro se isto é possível utilizando o freeswan?

[31] Comentário enviado por ferjun01 em 30/08/2008 - 10:01h

Salve galera, peço ajuda para resolver este problema..

Estou com problemas para fechar uma vpn com Freeswan no Slackware, esta configuração já existia e alterei apenas os ip's, a chave PSK e inclui o 3-DES, quando subo a vpn aparentemente está fechada, mas quando mando um telnet para o destino ele vai por fora da vpn, abaixo vou colocar os arquivos de configuraçâo, se possível peço sua ajuda neste caso, muito obrigado :

IPSEC.CONF

# /etc/ipsec.conf - FreeS/WAN IPsec configuration file
# RCSID $Id: ipsec.conf.in,v 1.11 2003/06/13 23:28:41 sam Exp $

# This file: /usr/local/share/doc/freeswan/ipsec.conf-sample
#
# Manual: ipsec.conf.5
#
# Help:
# http://www.strongsec.com/freeswan/install.htm

version 2.0 # conforms to second version of ipsec.conf specification

# basic configuration
config setup
interfaces="ipsec0=eth0"
klipsdebug=none
plutodebug=none
# plutoload=%search
# plutostart=%search
# plutowait=no

# Debug-logging controls: "none" for (almost) none, "all" for lots.
# klipsdebug=all
# plutodebug=all
# crlcheckinterval=600
# strictcrlpolicy=yes

conn %default
auto=add
type=tunnel
left=
right=
authby=secret
keyexchange=ike
esp=3des-md5-96i
keylife=24h

# OE policy groups are disabled by default
conn block
auto=ignore

conn clear
auto=ignore

conn private
auto=ignore

conn private-or-clear
auto=ignore

conn clear-or-private
auto=ignore

conn packetdefault
auto=ignore

# Add connections here.

# sample VPN connection
#sample# conn sample
#sample# # Left security gateway, subnet behind it, next hop toward right.
#sample# left=%defaultroute
#sample# leftcert=myCert.pem
#sample# leftsubnet=172.16.0.0/24
#sample# # Right security gateway, subnet behind it, next hop toward left.
#sample# right=10.12.12.1
#sample# rightid="<Distinguished name of right security gateway>"
#sample# rightsubnet=192.168.0.0/24
#sample# # To authorize this connection, but not actually start it, at startup,
#sample# # uncomment this.
#sample# #auto=start
conn vpn
auto=add
type=tunnel
left=200.X.X.11
leftsubnet=200.X.X.51/32
leftnexthop=
right=201.X.X.2
rightsubnet=192.168.1.0/24
rightnexthop=201.X.X.1
authby=secret
esp=3des-md5-96i
keylife=24h
pfs=yes
rekeymargin=9m
rekeyfuzz=25%

No ipsec.secret, tem apenas uma linha contendo a chave, substitui uma pela outra :

ipsec.secret

:PSK "CHAVE"


Dando um ipsec auto --status :
ipsec auto --status
000 interface ipsec0/eth0 201.X.X.2
000 %myid = (none)
000 debug none
000
000 "vpn": 192.168.1.0/24===201.X.X.2---201.X.X.1...200.X.X.11===200.X.X.51/32; erouted; eroute owner: #4
000 "vpn": ike_life: 3600s; ipsec_life: 86400s; rekey_margin: 540s; rekey_fuzz: 25%; keyingtries: 0
000 "vpn": policy: PSK+ENCRYPT+TUNNEL+PFS+UP; prio: 32,24; interface: eth0;
000 "vpn": newest ISAKMP SA: #3; newest IPsec SA: #4;
000
000 #4: "vpn" STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 85714s; newest IPSEC; eroute owner
000 #4: "vpn" esp.243f75c5@200.X.X.11 esp.bbaf1782@201.X.X.2 tun.1004@200.X.X.11 tun.1003@201.X.X.2
000 #3: "vpn" STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in 3042s; newest ISAKMP
000


No var/log/secure apresenta um erro na 1ª linha do ipsec.secrets :
/var/log/secure
6378 Aug 28 22:27:13 servervpn pluto[15662]: Starting Pluto (FreeS/WAN Version 2.05 X.509-1.5.3 PLUTO_ USES_KEYRR)
6379 Aug 28 22:27:13 servervpn pluto[15662]: Using KLIPS IPsec interface code
6383 Aug 28 22:27:13 servervpn pluto[15662]: Changing to directory '/etc/ipsec.d/crls'
6384 Aug 28 22:27:13 servervpn pluto[15662]: added connection description "vpn"
6385 Aug 28 22:27:13 servervpn pluto[15662]: listening for IKE messages
6386 Aug 28 22:27:13 servervpn pluto[15662]: adding interface ipsec0/eth0 201.X.X.2
6387 Aug 28 22:27:13 servervpn pluto[15662]: loading secrets from "/etc/ipsec.secrets"
6388 Aug 28 22:27:13 servervpn pluto[15662]: ERROR "/etc/ipsec.secrets" line 1: index ":PSK" illegal l eading `:' in IPv6 numeric address
6389 Aug 28 22:27:16 servervpn pluto[15662]: "vpn" #1: initiating Main Mode
6390 Aug 28 22:27:16 servervpn pluto[15662]: "vpn" #1: received Vendor ID Payload; ASCII hash: tm{COMENTARIO}31` A{COMENTARIO}24kQo*,{COMENTARIO}16c}/({COMENTARIO}0748{COMENTARIO}37
6391 Aug 28 22:27:16 servervpn pluto[15662]: "vpn" #1: Peer ID is ID_IPV4_ADDR: '200.X.X.11'
6392 Aug 28 22:27:16 servervpn pluto[15662]: "vpn" #1: ISAKMP SA established
6393 Aug 28 22:27:16 servervpn pluto[15662]: "vpn" #2: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP {using isakmp#1}
6394 Aug 28 22:27:16 servervpn pluto[15662]: "vpn" #2: ignoring informational payload, type IPSEC_RESP ONDER_LIFETIME
6395 Aug 28 22:27:16 servervpn pluto[15662]: "vpn" #2: sent QI2, IPsec SA established {ESP=>0xd6e0a488 <0x92ec5888}
6396 Aug 28 22:28:11 servervpn pluto[15662]: shutting down
6397 Aug 28 22:28:11 servervpn pluto[15662]: forgetting secrets
6398 Aug 28 22:28:11 servervpn pluto[15662]: "vpn": deleting connection
6399 Aug 28 22:28:11 servervpn pluto[15662]: "vpn" #2: deleting state (STATE_QUICK_I2)
6400 Aug 28 22:28:11 servervpn pluto[15662]: "vpn" #1: deleting state (STATE_MAIN_I4)
6401 Aug 28 22:28:11 servervpn pluto[15662]: shutting down interface ipsec0/eth0 201.X.X.2

[32] Comentário enviado por ferjun01 em 30/08/2008 - 13:57h

Estes são os requerimentos para fechar a vpn :

Fase I – Protocolo IKE – Não será aceito outro protocolo senão IKE
Fase I – Algoritmos de criptografia e integridade  3DES com MD5
Fase I – Grupo Diffie-Hellman Grupo 2 (1024 bits)
Fase I – Renegociar IKE Security Associations a cada 1440 minutos
Fase I – Aggressive Mode (DESABILITADO)
Fase I – Método de autenticação Shared Secret
Fase II - Protocolo IPSEC
Fase II – Algoritmos de criptografia e integridade
A Fase II seguirá os mesmos algoritmos da Fase I.
Fase II –PFS (Perfect Forward Secrecy) Grupo Diffie-Helmann 2 (1024 bits)
Fase II – Renegociar IPSEC Security Association a cada 3600 segundos
Fase II – Compressão de dados IPSEC (DESABILITADO)

[33] Comentário enviado por xcyclops em 12/01/2010 - 09:49h

Olá Fernando e Galera do Forum,

Estou com o seguinte problema:
LOG do meu FIREWALL

====>>>>

fw:/var/log # tail -f /var/log/messages | grep vpn
Jan 12 10:36:54 fw pluto[13188]: "vpn" #5: max number of retransmissions (2) reached STATE_MAIN_I1. No response (or no acceptable response) to our first IKE message
Jan 12 10:36:54 fw pluto[13188]: "vpn" #5: starting keying attempt 2 of at most 3, but releasing whack
Jan 12 10:36:54 fw pluto[13188]: "vpn" #6: initiating Main Mode to replace #5
Jan 12 10:36:54 fw ipsec__plutorun: 104 "vpn" #5: STATE_MAIN_I1: initiate
Jan 12 10:36:54 fw ipsec__plutorun: 010 "vpn" #5: STATE_MAIN_I1: retransmission; will wait 20s for response
Jan 12 10:36:54 fw ipsec__plutorun: 010 "vpn" #5: STATE_MAIN_I1: retransmission; will wait 40s for response
Jan 12 10:36:54 fw ipsec__plutorun: 031 "vpn" #5: max number of retransmissions (2) reached STATE_MAIN_I1. No response (or no acceptable response) to our first IKE message
Jan 12 10:36:54 fw ipsec__plutorun: 000 "vpn" #5: starting keying attempt 2 of at most 3, but releasing whack
Jan 12 10:36:54 fw ipsec__plutorun: ...could not start conn "vpn"
Jan 12 10:38:04 fw pluto[13188]: "vpn" #6: max number of retransmissions (2) reached STATE_MAIN_I1. No response (or no acceptable response) to our first IKE message
Jan 12 10:38:04 fw pluto[13188]: "vpn" #6: starting keying attempt 3 of at most 3
Jan 12 10:38:04 fw pluto[13188]: "vpn" #9: initiating Main Mode to replace #6
Jan 12 10:39:14 fw pluto[13188]: "vpn" #9: max number of retransmissions (2) reached STATE_MAIN_I1. No response (or no acceptable response) to our first IKE message


<<<<======


MEU AMBIENTE É:
MATRIZ: Firewall OpenSuse (IPSEC/Freeswan)
FILIAL: Router Planet MH-2001 VPN ( http://www.planet.com.tw/en/product/product_ov.php?id=7708 )

Ja fiz muitas alteraçoes e testes e nao sobe a VPN.

SERÁ QUE ALGUÉM PODE ME AJUDAR?
Obrigado.

Att. xcyclops

_

[34] Comentário enviado por montovani em 12/02/2010 - 08:33h

Olá xcyclops....


Cara estou com o mesmo problema que você.... então se você achou a solução ou alguem souber como resolver por favor me de um toque por favor....


Att. Montovani


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts