Re: [rlug] Ipsec over GRE

Thu, 13 Jul 2006 01:25:33 -0700 

On 7/13/06, Alexandru GRIGORAS <[EMAIL PROTECTED]> wrote:

Salut,

Am 2 masini linux cu kernel 2.6.15.6 respectiv 2.6.13.2 care fac un GRE over
internet.
Capetele de tunel sunt 192.168.254.1 respectiv .2
Incerc sa pun un ipsec peste GRE-ul existent.
Pe amble am recompilat nucleul cu optiunile necesare, dupa cum se spune in
Ipsec HOWTO.
Ambele ruleaza ipsec-tools latest (0.6.6).
/etc/setkey.conf pe una din ele arata in felul urmator:

#!/usr/sbin/setkey -f
# Configuration for 192.168.1.100
# Flush the SAD and SPD

flush;
spdflush;

# Attention: Use this keys only for testing purposes!
# Generate your own keys!
# AH SAs using 128 bit long keys

add 192.168.254.1 192.168.254.2 ah 0x200 -A hmac-md5
0xc0291ff014dccdd03874d9e8e4cdf3e6;
add 192.168.254.2 192.168.254.1 ah 0x300 -A hmac-md5
0x96358c90783bbfa3d7b196ceabe0536b;

# ESP SAs using 192 bit long keys (168 + 24 parity)

add 192.168.254.1 192.168.254.2 esp 0x201 -E 3des-cbc
0x7aeaca3f87d060a12f4a4487d5a5c3355920fae69a96c831;
add 192.168.254.2 192.168.254.1 esp 0x301 -E 3des-cbc
0xf6ddb555acfd9d77b03ea3843f2653255afe8eb5573965df;

# Security policies

spdadd 192.168.254.1 192.168.254.2 any -P out ipsec
esp/transport//require
ah/transport//require;
spdadd 192.168.254.2 192.168.254.1 any -P in ipsec
esp/transport//require
ah/transport//require;

Pe cealalata am schimbat in cu out.

In momentul in care rulez setkey -f /etc/setkey.conf nu mai am ping intre
capetele tunelului.



Ieri tocmai am ridicat un VPN, exact dupa tutorialul dupa care vad ca
te-ai luat si tu :)
Mi-a mers din prima; diferenta e ca la mine nu apar niciunde tunele
sau GRE. Plus ca tu ai pus 192.168.254.x si la liniile "spdadd", ceea
ce nu-i corect.

In mod normal, nu ai nevoie de GRE sau de alt fel de tunele
suplimentare intre cele doua servere. Ce iti recomand eu este sa dai
jos tunelele, si sa faci VPN-ul efectiv intre IP-urile "publice" ale
serverelor.

Pe cazul tau concret:
- inlocuieste 192.168.254.x cu IP-urile publice ale serverelor in
liniile cu "add"
- pune clasele "de LAN" in liniile cu "spdadd" (in tutorial parca era
acolo 172.16.ceva).
- sa nu uiti sa permiti protocolu 50 din firewall; si nu mai da paste
pe lista la cheile alea in hexa :)

--
www.flo.ro

_______________________________________________
RLUG mailing list
[email protected]
http://lists.lug.ro/mailman/listinfo/rlug

Raspunde prin e-mail lui