Normalmente não uso o freeswan que vem com o Conectiva. Pego do site do freeswan e compilo o kernel..
[EMAIL PROTECTED] wrote:
Caro Sergio.
Então...
Há aqui na empresa, uma rede com máquinas rodando windows, de 98 a 2000. Temos dois servidores rodando linux. Um de dados, e um de internet.
Até aí sem problemas...
Sendo que no de internet roda com roteador/firewall com iptables, o sendmail, e o squid. (Eu não tinha uma máquina só pra roteador)
Nos dois servidores, está rodando o conectiva 8.0.
O freeswan é o freeswan-1.95-1cl.
Esta sua versão de freeswan é antiga. A versão atual é a 2.0.
Mas você pode pegar a versão 1.99 em http://www.freeswan.org , assim como a documentação, que é bem completa e vasta...
Há uma outra rede que preciso interligar, via internet, com as mesmas características.
Sem problemas..
Fiz as configurações seguindo as instruções do site http://www.conectiva.com/doc/livros/online/6.0/guia_pratico/vpn-apresenta.html,
mas parece que está desatualizado, pois alguns arquiivos de configuração, eu não encontrei na minha máquina.
Bastante desatualizada, pois fala do Freeswan 1.3 ...
Na verdade, até parece ser fácil a configuração do ipsec. Mas como se trata de uma questão de segurança, não é bom arriscar a sair mexendo em configurações, sem ter certeza de que não abrirá a máquina para possíveis ataques.
Em princípio você não terá grandes problemas com segurança, até porque a idéia básica do IPSec é prover comunicação segura entre duas redes/hosts..
Bom, aí vai o resultado do comando ipsec setup start :
Uma dúvida crucial é : O que faz o rp_filter = '0' que ele pede para alterar.
E eu tentei alterar no /proc/sys/net/ipv4/conf/ipsec0/rp_filter, mas ele não deixa, porque quando eu para o ipsec, e restarto os arquivos são recriados.
No /proc/sys/net/ipv4/conf/eth1/rp_filter eu consigo alterar para zero, mas não tenho certeza pra que serve, então voltei para “1”
Você deve alterar este parâmetro no sysctl.conf para que ele esteja sempre lá. Quanto ao rp_filter, segue abaixo :
<da seguinte página> http://www.lwolenczak.net/index.php?page=rpfilter
rp_filter.... The illusion of spoofing defense.... Also known as... Why will my weird ass config not work?
Most linux distributions set /proc/sys/net/ipv4/conf/all/rp_filter to 1. This gives the illusion of security. It causes linux to ignore packets that are not directly adressed to it, or that are not originating on a directly connected interface/network. This reeks havoc with virtual interfaces (ipsec0, gre0, ipip0, et cetra). Hell, if it's enabled, you won't even see packets in tcpdump. This can drive an admin to BOFH insanity.
My advice: First thing you do in your firewall/nat scripts, turn off rp_filter!!!!!!!!!
Example: echo "0" >>/proc/sys/net/ipv4/conf/all/rp_filter
</da seguinte página>
<da seguinte página> http://www.test.mydomain.com/api-doc/proc-view?proc=rp%5ffilter rp_filter (private)
rp_filter why
Defined in packages/acs-tcl/tcl/request-processor-procs.tcl
This is the first filter that runs. It sets up ad_conn and handles session security.
Parameters: why
</da seguinte página>
*****************
[EMAIL PROTECTED] /]# ipsec setup start
ipsec_setup: Starting FreeS/WAN IPsec 1.95...
ipsec_setup: Warning: loading /lib/modules/2.4.18-2cl/kernel/net/ipsec/ipsec.o will taint the kernel: no license
ipsec_setup: WARNING: ipsec0 has route filtering turned on, KLIPS may not work
ipsec_setup: (/proc/sys/net/ipv4/conf/ipsec0/rp_filter = `1', should be 0)
ele está informando que rp_filter deve ser colocado em "0"
ipsec_setup: WARNING: eth1 has route filtering turned on, KLIPS may not work
ipsec_setup: (/proc/sys/net/ipv4/conf/eth1/rp_filter = `1', should be 0)
******************
Muito obrigado.
De nada
Marcos Machado de Souza São Paulo – Brasil.
[]´s
Sérgio
--------------------------------------------------------------------------- Esta lista � patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br
Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br Regras de utiliza��o da lista: http://linux-br.conectiva.com.br FAQ: http://www.zago.eti.br/menu.html
