Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
- Forum Debian Users Gang
- » Sieci i serwery
- » Problem początkującego z IPsec i OpenSwan (połączenie 2 x (DSL + NAT))
#1 2011-09-21 19:12:01
Manio - Użytkownik
- Manio
- Użytkownik
- Zarejestrowany: 2011-09-21
Problem początkującego z IPsec i OpenSwan (połączenie 2 x (DSL + NAT))
Niedługo zbliża się koniec terminu pisania pracy magisterskiej i przydałoby mi się dołożyć konfigurację IPsec. Niestety kombinowałem na kilka sposobów wg. różnych poradników i nic. Wydaje mi się, że błąd jaki popełniam może być oczywisty dla kogoś kto zestawiał wcześniej IPsec. Sytuacja u mnie jest o tyle trudna, że chciałbym połączyć dwie sieci łączące się z internetem przez DSL zwykłym routerkiem neostradowym przez co należy odpowiednio dopasować konfigurację do NAT'u. Realizuję to na Cent OS'sie ze względu na to, że mój temat jest związany z centralą Trixbox CE, ale na codzień używam Debiana i wiem, że w tym środowisku mogę liczyć na pomoc :) Poza tym, w obsłudze OpenSwana chyba nie powinno stanowić to różnicy.
Zakładany schemat przedstawia się następująco:
Kod:
-----------------------------------------------------------
| <<<<<< SIEĆ A >>>>>>
| sieć 192.168.1.0/24 (host openswan: 192.168.1.3) [NAT]
| |
| v
| router DSL (192.168.1.1) [ip.publ.A]
-----------------------------------------------------------
^
|
<<<<<< INTERNET >>>>>>
|
v
-----------------------------------------------------------
| <<<<<< SIEĆ B >>>>>>
| router DSL (192.168.0.254) [ip.publ.B]
| ^
| |
| sieć 192.168.0.0/24 (host openswan: 192.168.0.105) [NAT]
-----------------------------------------------------------Na obydwu routerach ustawiłem (webGUI) następujące forwardowanie (przykład routera B):
Kod:
port 50 -> TCP/UDP -> 192.168.0.105 port 51 -> TCP/UDP -> 192.168.0.105 port 500 -> UDP -> 192.168.0.105 port 4500 -> UDP -> 192.168.0.105
Zgodnie z prośbą jaką wystosowało polecenie "ipsec verify", pliki:
Kod:
/proc/sys/net/ipv4/conf/*/send_redirects /proc/sys/net/ipv4/conf/*/accept_redirects
zostały ustawione na 0 a także plik /proc/sys/net/ipv4/ip_forward został ustawiony na 1.
Niżej przedstawiam konfiguracje ipsec.conf dla sieci B. Sieć A skonfigurowana jest podobnie (odwrotnie left i right).
ipsec.conf dla sieci B na 192.168.0.105:
Kod:
version 2.0
config setup
interfaces=%defaultroute
forwardcontrol=yes
rp_filter=0
nat_traversal=yes
conn linux-to-linux
auth=esp
authby=rsasig
pfs=yes
left=ip.publ.B
leftnexthop=192.168.0.254
leftsubnet=192.168.0.0/24
leftrsasigkey=0sAQPA18ifQTILdLTGAhbkdKwIJaF02dI4N2EmgszVL42R3oO3E2jKTm74+3NVJJMew9nxcnexHXmGWoffXYs5JZbJWHQRdpkb9xIKM8nSkg1nGHCrOixfw6PD1Vwr3qHLeHjeccdm5xYlKfd/c8DXTdg+XTMESv4H+F66gIu2KFQ+Vw==
right=79.186.173.156
rightsubnet=192.168.1.0/24
rightrsasigkey=0sAQO4gbLa12l/M0Mgv6tYUCWQ2h2JgJvs+0fsdYT1Oh9QjVgAfeBkkqwj+ANhKCFlwND+pficn/+dcjbM7fz1Gq0aN1hv89cllfkbZ6nwXWZyJaNBrU/tDBe12dQC36npYbzSO+GvwoQhMtsVrEx7duYyehK51niKozi/xv6SKJUljw==
auto=startPlik ipsec.secrets zrobiłem zgodnie z tutorialami kopiując odpowiednie fragmenty klucza w taki sposób (sieć B):
Kod:
ip.publ.B ip.publ.A: RSA {
Modulus: 0xc......
...
Coefficient: 0x500c9d248681af7bce569ebc4d519fda24091335
CKAIDNSS: 0x500c9d248681af7bce569ebc4d519fda24091335
}Offline
#2 2011-09-22 10:42:30
ba10 - 
Członek DUG
Re: Problem początkującego z IPsec i OpenSwan (połączenie 2 x (DSL + NAT))
Napisz dokładnie co nie działa, co chcesz osiągnać (oprócz napisania pracy magisterskiej ;) ) oraz jakie błędy dostajesz, załącz log /var/log/syslog, plik iptables, wynik polecenia ipsec auto --status,ipsec verify,netstat -nr, z jakiego tutoriala korzystałeś itd. może coś poradzimy. :)
Ostatnio edytowany przez ba10 (2011-09-23 10:45:47)
"Jeżeli chcesz się nauczyć Linuksa, to pierwsze co musisz zrobić to odrzucić wszelkie przyzwyczajenia wyniesione z poprzedniego systemu. Twoja wiedza jest o tyle zgubna, że daje Ci poczucie że coś jednak wiesz — jednak w kontekście Linuksa prawdopodobnie nie wiesz jeszcze nic." Minio
Mój Blog, a później Tańczymy ;)
Offline
#3 2011-10-01 17:00:32
Manio - Użytkownik
- Manio
- Użytkownik
- Zarejestrowany: 2011-09-21
Re: Problem początkującego z IPsec i OpenSwan (połączenie 2 x (DSL + NAT))
Dzięki za odpowiedź. Niestety w tym momencie mam za dużą presję czasu i muszę zaniehać na ten moment ipsec. Mimo wszystko po obronie pracy podam dalsze szczegóły i spróbuję to zestawić.
Offline
Strony: 1
- Forum Debian Users Gang
- » Sieci i serwery
- » Problem początkującego z IPsec i OpenSwan (połączenie 2 x (DSL + NAT))