Configurar VPN OPENSWAN x Checkpoint

Valterri
(usa CentOS)

Enviado em 15/03/2012 - 19:38h

Galera boa noite, estou quebrando minha cabeca para configurar essa paradinha e gostaria muito de uma ajuda, vou dar algumas informacoes para tentar ter alguma ajuda para solucionar isso.

seguinte:
Cliente
IP Address do Peer 200.185.x.x
Modelo de Autenticação PreShared-Key
Algoritmo de Autenticação MD5
Encriptação 3DES
Distribuição DH group 2
Tempos de renegociação de IKE 86400 seconds (1440 minutes)
Chave pré-compartilhada (Via fone com o analista da Complex)

Algoritmo de Autenticação MD5
Encriptação 3DES
Encapsulamento Tunnel
Perfect Forward Secrecy (PFS) Disable
Tempo de renegociação de SA 3600 seconds (60 minutes ou 1 hora)

End Ip / Máscara da REDE 10.1.1.195/32
172.25.0.0/27

MEU:

200.155.x.x
PreShared-Key
MD5
3DES
DH group 2
86400 seconds (1440 minutes)
(Via fone com o analista da TIVIT)

MD5
3DES
Tunnel
Disable
3600 seconds (60 minutes ou 1 hora)

172.20.252.28/30

agora vamos ao oque eu fiz ate o momento, eu configurei o meu ipsec dessa forma.

conn xxxxxxxx
type=tunnel
left=200.185.x.x
leftsubnet=172.25.0.0/27
right=200.155.x.x
rightsubnet=172.20.252.28/30
rightnexthop=200.155.x.x
keyingtries=0
keyexchange=ike
authby=secret
compress=no
pfs=no
esp="3des-md5"
ikelifetime=8h
auto=start

dessa forma eu consegui fazer ele ter essa resposta no log auth:

Mar 15 19:07:13 firewall pluto[411]: "xxxxxxxxxxxxxxxx" #194: initiating Quick Mode PSK+ENCRYPT+TUNNEL+UP to replace #157 {using isakmp#31}
Mar 15 19:07:13 firewall pluto[411]: "xxxxxxxxxxxxxxxx" #194: transition from state STATE_QUICK_I1 to state STATE_QUICK_I2
Mar 15 19:07:13 firewall pluto[411]: "xxxxxxxxxxxxxxxx" #194: STATE_QUICK_I2: sent QI2, IPsec SA established {ESP=>0x86b345b8 <0x64669552 xfrm=3DES_0-HMAC_MD5 NATD=none DPD=none}

porem eu nao consigo pingar a minha rede 172.20.252.28/30 di jeito nenhum, ai achei q poderia ser que tivesse que configurar um nat, e como uso o shorewall como gerenciador iptables, eu fui e coloquei essa linha no masq

# VPN MASQ - xxxxxxxx #
eth0:172.25.0.0/27 192.168.100.0/23 172.20.252.28
eth0:172.25.0.0/27 200.155.x.x/32 172.20.252.28


agora vem a pergunta, oq eu estou fazendo de errado??
ALGUEM PODE POR FAVOR ME AJUDAR??

renato_pacheco
(usa Debian)

Enviado em 15/03/2012 - 22:05h

Kra, a primeira coisa q vc tem q saber é se o túnel foi estabelecido. Eu sei q, pela msg, mostra, mas às vezes é bom certificar pelo comando abaixo:

ipsec statusall

 

Certificando q houve a conexão, insira o parâmetro nat_traversal=yes para q o ipsec consiga transmitir os dados sem q haja alteração pelo servidor NAT:

config setup

     nat_traversal=yes

     ...

conn xxxxxx

     ...

     ...

 

Outra coisa é o shorewall. É necessário liberar alguns protocolos para a comunicação do túnel. Veja abaixo:

iptables -I INPUT -i ethx -p esp -j ACCEPT

iptables -I INPUT -i ethx -p udp --dport 500 -j ACCEPT

iptables -I INPUT -i ethx -p tcp --dport 500 -j ACCEPT

iptables -I INPUT -i ethx -p udp --dport 4500 -j ACCEPT

 

Porta 4500 = NAT Traversal
Porta 500 = ISAKMP

Valterri
(usa CentOS)

Enviado em 16/03/2012 - 12:49h

opa obrigado pela resposta
seguinte.
ja estava com o
config setup
interfaces=%defaultroute
nat_traversal=yes

e eu refiz as configuracoes do iptables como vc passou, e continua eu fechando a conexao porem nao pingando o ip que eu coloquei pra rede interna, pelo que voce notou esta correto a configuracao??

renato_pacheco
(usa Debian)

Enviado em 16/03/2012 - 13:52h

Pelo q vi, sim. Só não entendi q rede mencionada abaixo é essa:

Valterri
(usa CentOS)

Enviado em 16/03/2012 - 14:39h

é a segunda que tenho que configurar, eu estou fazendo o teste com a 172 primeiro e depois faco a conn-xxxx2 tendeu??
o negocio nao funciona meu...nao sei oque é :(

renato_pacheco
(usa Debian)

Enviado em 16/03/2012 - 14:46h

Vamos fazer um pequeno teste: desabilite as regras do seu shorewall pra verificar se é ele msm o responsável pela falta d comunicação. Se msm assim continuar o problema, ae o esquema está sendo na rota. Lembre-se d q o checkpoint deve tá configurado tb pra adicionar a rota da sua rede.

Valterri
(usa CentOS)

Enviado em 16/03/2012 - 14:52h

se eu desabilitar o shorewall a empresa para, AEIuhaeiuaehaeIUh
nao dah pra fazer isso agora
e para desabilitar que tu diz é da um stop no servico?

renato_pacheco
(usa Debian)

Enviado em 16/03/2012 - 15:03h

Olha, eu nunca mexi no shorewall, mas acredito q o método d parar a rede seja o msm q em outras distribuições. Pra não parar a rede da sua empresa, limpe as regras q pertencem à tabela filter. A tabela nat vc pode deixar intacta. Assim a empresa não para, mas libera tudo pra galera...
Outra opção é testar após o expediente.

Valterri
(usa CentOS)

Enviado em 16/03/2012 - 15:05h

é terei que fazer apos o expediente, mas nao hoje neh...porque é sexta feira
ehheheheheheheh
irei fazer isso talvez amanha mesmo ou segunda, e posto aqui o resultado, muito obrigado em mano
\o/

Valterri
(usa CentOS)

Enviado em 19/03/2012 - 11:52h

acabei de verificar as configuracoes na outra ponta, e esta saindo do tunnel o ip? por sera q esta acontecendo isso?
conn *********
type=tunnel
left=200.185.x.x
leftsubnet=10.1.1.195/32
right=200.155.x.x
rightsubnet=172.20.252.28/30
rightnexthop=200.155.x.x
keyingtries=0
keyexchange=ike
authby=secret
compress=no
pfs=no
esp="3des-md5"
ikelifetime=8h
auto=start


arquivos hosts do shorewall eu coloquei essa linha aqui.
ipsec eth0:172.20.252.29/30

e no arquivo masq tem isso aqui
# VPN MASQ - xxxxxxxx #
#eth0:172.25.0.0/27 192.168.100.0/23 172.20.252.28
#eth0:172.25.0.0/27 200.155.x.x./32 172.20.252.28
eth0:10.1.1.195/32 192.168.100.0/23 172.20.252.29
eth0:10.1.1.195/32 200.155.x.x/32 172.20.252.29

tem alguma coisa de errado nessas confs?

renato_pacheco
(usa Debian)

Enviado em 19/03/2012 - 13:16h

Kra, essa opção VPN MASQ eu desconheço, pois eu fazia acesso VPN via StrongSwan e não com o OpenSwan. Neste caso, não sei t dizer... outra coisa q tb não sei são das ferramentas e regras d firewall do Shorewall. Tem como vc imprimi-las aki?

Valterri
(usa CentOS)

Enviado em 19/03/2012 - 14:44h

me adiciona ai no msn
vrinkejr2k9@hotmail.com