Re: [FUG-BR] IPSEC site-to-site
Caros, problema resolvido. Faltou liberar o protocolo ipencap na interface onde passa o tráfego do ipsec. Em 13 de agosto de 2013 21:22, William Nascimento williaminocen...@yahoo.com escreveu: Christiano Pelo que sei NAT se usa quando se tem as 2 LAN's com o mesmo range privado. Se não for o seu caso, não há porque usar NAT na sua VPN. Verifique se as rotas do túnel estão presentes. Verifique se existe alguma regra liberando o tráfego da sua LAN para o túnel; Verifique se existe alguma regra liberando a entrada de tráfego vindo do túnel para a sua LAN; Espero ter ajudado William Nascimento - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPSEC site-to-site
2013/8/12 Christiano Liberato christianoliber...@gmail.com
Caros,
em um dos meus clientes, utilizando IPSEC site-to-site, foi necessário
estabelecer um tunel vpn entre a empresa e um orgao do governo de SP para
um projeto. O fw do orgao é um sonicwall.
O tunel ja está up, vejo as rotas inseridas com o o netstat -rn e tambem as
informações do ipsec com ipsecctl -s all
Agora que vem o problema... Ja tentei de toda maneira liberar acesso da
rede da empresa para a rede do orgao e nao funciona. Inseri as regras:
pass in on $ext_if proto udp from $orgao_gw to $ext_if port { 500, 4500 }
pass out on $ext_if proto udp from $ext_if to $orgao_gw port { 500, 4500 }
pass in on $ext_if proto esp from $orgao_gw to $ext_if
pass out on $ext_if proto esp from $ext_if to $orgao_gw
e nada. O tcpdump só acusa acesso atraves do protocolo ESP, como abaixo:
root@server:~# tcpdump -i em0 src or dst ip_orgao
tcpdump: listening on em0, link-type EN10MB
22:20:01.332494 esp ip_empresa ip_orgao spi 0x12ca5fca seq 160 len 92
22:20:01.335510 esp ip_orgao ip_empresa spi 0x84d6cf78 seq 160 len 92
O acesso so funciona quando libero o fw com pass all, para teste, é
claro!
Alguem que tenha isso funcionando, sabe se esta faltando algo?
Ou tem algo errado?
Não faltou liberar o tráfego entre a rede local e a rede remota?
--
Matheus Weber da Conceição
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPSEC site-to-site
On Tue, 2013-08-13 at 13:45 -0300, Matheus Weber da Conceição wrote:
2013/8/12 Christiano Liberato christianoliber...@gmail.com
Caros,
em um dos meus clientes, utilizando IPSEC site-to-site, foi necessário
estabelecer um tunel vpn entre a empresa e um orgao do governo de SP para
um projeto. O fw do orgao é um sonicwall.
O tunel ja está up, vejo as rotas inseridas com o o netstat -rn e tambem as
informações do ipsec com ipsecctl -s all
Agora que vem o problema... Ja tentei de toda maneira liberar acesso da
rede da empresa para a rede do orgao e nao funciona. Inseri as regras:
pass in on $ext_if proto udp from $orgao_gw to $ext_if port { 500, 4500 }
pass out on $ext_if proto udp from $ext_if to $orgao_gw port { 500, 4500 }
pass in on $ext_if proto esp from $orgao_gw to $ext_if
pass out on $ext_if proto esp from $ext_if to $orgao_gw
e nada. O tcpdump só acusa acesso atraves do protocolo ESP, como abaixo:
root@server:~# tcpdump -i em0 src or dst ip_orgao
tcpdump: listening on em0, link-type EN10MB
22:20:01.332494 esp ip_empresa ip_orgao spi 0x12ca5fca seq 160 len 92
22:20:01.335510 esp ip_orgao ip_empresa spi 0x84d6cf78 seq 160 len 92
O acesso so funciona quando libero o fw com pass all, para teste, é
claro!
Alguem que tenha isso funcionando, sabe se esta faltando algo?
Ou tem algo errado?
Não faltou liberar o tráfego entre a rede local e a rede remota?
Faltou o nat, nao?
--
att,
Adiel de Lima Ribeiro
facebook.com/sembr.dyndns.info
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPSEC site-to-site
Adiel, qual nat voce diz?
Em 13 de agosto de 2013 14:26, Adiel de Lima Ribeiro
adiel.netad...@gmail.com escreveu:
On Tue, 2013-08-13 at 13:45 -0300, Matheus Weber da Conceição wrote:
2013/8/12 Christiano Liberato christianoliber...@gmail.com
Caros,
em um dos meus clientes, utilizando IPSEC site-to-site, foi necessário
estabelecer um tunel vpn entre a empresa e um orgao do governo de SP
para
um projeto. O fw do orgao é um sonicwall.
O tunel ja está up, vejo as rotas inseridas com o o netstat -rn e
tambem as
informações do ipsec com ipsecctl -s all
Agora que vem o problema... Ja tentei de toda maneira liberar acesso da
rede da empresa para a rede do orgao e nao funciona. Inseri as regras:
pass in on $ext_if proto udp from $orgao_gw to $ext_if port { 500,
4500 }
pass out on $ext_if proto udp from $ext_if to $orgao_gw port { 500,
4500 }
pass in on $ext_if proto esp from $orgao_gw to $ext_if
pass out on $ext_if proto esp from $ext_if to $orgao_gw
e nada. O tcpdump só acusa acesso atraves do protocolo ESP, como
abaixo:
root@server:~# tcpdump -i em0 src or dst ip_orgao
tcpdump: listening on em0, link-type EN10MB
22:20:01.332494 esp ip_empresa ip_orgao spi 0x12ca5fca seq 160 len 92
22:20:01.335510 esp ip_orgao ip_empresa spi 0x84d6cf78 seq 160 len 92
O acesso so funciona quando libero o fw com pass all, para teste, é
claro!
Alguem que tenha isso funcionando, sabe se esta faltando algo?
Ou tem algo errado?
Não faltou liberar o tráfego entre a rede local e a rede remota?
Faltou o nat, nao?
--
att,
Adiel de Lima Ribeiro
facebook.com/sembr.dyndns.info
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPSEC site-to-site
Matheus, liberei esse trafego. Mas nao acessa.
Em 13 de agosto de 2013 13:45, Matheus Weber da Conceição
matheusw...@gmail.com escreveu:
2013/8/12 Christiano Liberato christianoliber...@gmail.com
Caros,
em um dos meus clientes, utilizando IPSEC site-to-site, foi necessário
estabelecer um tunel vpn entre a empresa e um orgao do governo de SP para
um projeto. O fw do orgao é um sonicwall.
O tunel ja está up, vejo as rotas inseridas com o o netstat -rn e tambem
as
informações do ipsec com ipsecctl -s all
Agora que vem o problema... Ja tentei de toda maneira liberar acesso da
rede da empresa para a rede do orgao e nao funciona. Inseri as regras:
pass in on $ext_if proto udp from $orgao_gw to $ext_if port { 500, 4500
}
pass out on $ext_if proto udp from $ext_if to $orgao_gw port { 500, 4500
}
pass in on $ext_if proto esp from $orgao_gw to $ext_if
pass out on $ext_if proto esp from $ext_if to $orgao_gw
e nada. O tcpdump só acusa acesso atraves do protocolo ESP, como abaixo:
root@server:~# tcpdump -i em0 src or dst ip_orgao
tcpdump: listening on em0, link-type EN10MB
22:20:01.332494 esp ip_empresa ip_orgao spi 0x12ca5fca seq 160 len 92
22:20:01.335510 esp ip_orgao ip_empresa spi 0x84d6cf78 seq 160 len 92
O acesso so funciona quando libero o fw com pass all, para teste, é
claro!
Alguem que tenha isso funcionando, sabe se esta faltando algo?
Ou tem algo errado?
Não faltou liberar o tráfego entre a rede local e a rede remota?
--
Matheus Weber da Conceição
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPSEC site-to-site
On Tue, 2013-08-13 at 14:54 -0300, Christiano Liberato wrote:
Adiel, qual nat voce diz?
Em 13 de agosto de 2013 14:26, Adiel de Lima Ribeiro
adiel.netad...@gmail.com escreveu:
On Tue, 2013-08-13 at 13:45 -0300, Matheus Weber da Conceição wrote:
2013/8/12 Christiano Liberato christianoliber...@gmail.com
Caros,
em um dos meus clientes, utilizando IPSEC site-to-site, foi necessário
estabelecer um tunel vpn entre a empresa e um orgao do governo de SP
para
um projeto. O fw do orgao é um sonicwall.
O tunel ja está up, vejo as rotas inseridas com o o netstat -rn e
tambem as
informações do ipsec com ipsecctl -s all
Agora que vem o problema... Ja tentei de toda maneira liberar acesso da
rede da empresa para a rede do orgao e nao funciona. Inseri as regras:
pass in on $ext_if proto udp from $orgao_gw to $ext_if port { 500,
4500 }
pass out on $ext_if proto udp from $ext_if to $orgao_gw port { 500,
4500 }
pass in on $ext_if proto esp from $orgao_gw to $ext_if
pass out on $ext_if proto esp from $ext_if to $orgao_gw
e nada. O tcpdump só acusa acesso atraves do protocolo ESP, como
abaixo:
root@server:~# tcpdump -i em0 src or dst ip_orgao
tcpdump: listening on em0, link-type EN10MB
22:20:01.332494 esp ip_empresa ip_orgao spi 0x12ca5fca seq 160 len 92
22:20:01.335510 esp ip_orgao ip_empresa spi 0x84d6cf78 seq 160 len 92
O acesso so funciona quando libero o fw com pass all, para teste, é
claro!
Alguem que tenha isso funcionando, sabe se esta faltando algo?
Ou tem algo errado?
Não faltou liberar o tráfego entre a rede local e a rede remota?
Faltou o nat, nao?
--
att,
Adiel de Lima Ribeiro
facebook.com/sembr.dyndns.info
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Vocẽ esta utilizando o IPFW, certo? Ele utiliza um modo diferente para
implementar o NAT, por exemplo, no PF, é necessario implemtar uma regra
de nat:
nat on $ext_if from $lan to any - $ext_if
NO IPFW, veja a sessão 30.6.5.6 da pagina dele:
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls-ipfw.html
--
att,
Adiel de Lima Ribeiro
facebook.com/sembr.dyndns.info
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPSEC site-to-site
Estou utilizando o PF.
Em 13 de agosto de 2013 15:51, Adiel de Lima Ribeiro
adiel.netad...@gmail.com escreveu:
On Tue, 2013-08-13 at 14:54 -0300, Christiano Liberato wrote:
Adiel, qual nat voce diz?
Em 13 de agosto de 2013 14:26, Adiel de Lima Ribeiro
adiel.netad...@gmail.com escreveu:
On Tue, 2013-08-13 at 13:45 -0300, Matheus Weber da Conceição wrote:
2013/8/12 Christiano Liberato christianoliber...@gmail.com
Caros,
em um dos meus clientes, utilizando IPSEC site-to-site, foi
necessário
estabelecer um tunel vpn entre a empresa e um orgao do governo de
SP
para
um projeto. O fw do orgao é um sonicwall.
O tunel ja está up, vejo as rotas inseridas com o o netstat -rn e
tambem as
informações do ipsec com ipsecctl -s all
Agora que vem o problema... Ja tentei de toda maneira liberar
acesso da
rede da empresa para a rede do orgao e nao funciona. Inseri as
regras:
pass in on $ext_if proto udp from $orgao_gw to $ext_if port { 500,
4500 }
pass out on $ext_if proto udp from $ext_if to $orgao_gw port { 500,
4500 }
pass in on $ext_if proto esp from $orgao_gw to $ext_if
pass out on $ext_if proto esp from $ext_if to $orgao_gw
e nada. O tcpdump só acusa acesso atraves do protocolo ESP, como
abaixo:
root@server:~# tcpdump -i em0 src or dst ip_orgao
tcpdump: listening on em0, link-type EN10MB
22:20:01.332494 esp ip_empresa ip_orgao spi 0x12ca5fca seq 160
len 92
22:20:01.335510 esp ip_orgao ip_empresa spi 0x84d6cf78 seq 160
len 92
O acesso so funciona quando libero o fw com pass all, para
teste, é
claro!
Alguem que tenha isso funcionando, sabe se esta faltando algo?
Ou tem algo errado?
Não faltou liberar o tráfego entre a rede local e a rede remota?
Faltou o nat, nao?
--
att,
Adiel de Lima Ribeiro
facebook.com/sembr.dyndns.info
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Vocẽ esta utilizando o IPFW, certo? Ele utiliza um modo diferente para
implementar o NAT, por exemplo, no PF, é necessario implemtar uma regra
de nat:
nat on $ext_if from $lan to any - $ext_if
NO IPFW, veja a sessão 30.6.5.6 da pagina dele:
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls-ipfw.html
--
att,
Adiel de Lima Ribeiro
facebook.com/sembr.dyndns.info
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPSEC site-to-site
On Tue, 2013-08-13 at 15:52 -0300, Christiano Liberato wrote:
Estou utilizando o PF.
Em 13 de agosto de 2013 15:51, Adiel de Lima Ribeiro
adiel.netad...@gmail.com escreveu:
On Tue, 2013-08-13 at 14:54 -0300, Christiano Liberato wrote:
Adiel, qual nat voce diz?
Em 13 de agosto de 2013 14:26, Adiel de Lima Ribeiro
adiel.netad...@gmail.com escreveu:
On Tue, 2013-08-13 at 13:45 -0300, Matheus Weber da Conceição wrote:
2013/8/12 Christiano Liberato christianoliber...@gmail.com
Caros,
em um dos meus clientes, utilizando IPSEC site-to-site, foi
necessário
estabelecer um tunel vpn entre a empresa e um orgao do governo de
SP
para
um projeto. O fw do orgao é um sonicwall.
O tunel ja está up, vejo as rotas inseridas com o o netstat -rn e
tambem as
informações do ipsec com ipsecctl -s all
Agora que vem o problema... Ja tentei de toda maneira liberar
acesso da
rede da empresa para a rede do orgao e nao funciona. Inseri as
regras:
pass in on $ext_if proto udp from $orgao_gw to $ext_if port { 500,
4500 }
pass out on $ext_if proto udp from $ext_if to $orgao_gw port { 500,
4500 }
pass in on $ext_if proto esp from $orgao_gw to $ext_if
pass out on $ext_if proto esp from $ext_if to $orgao_gw
e nada. O tcpdump só acusa acesso atraves do protocolo ESP, como
abaixo:
root@server:~# tcpdump -i em0 src or dst ip_orgao
tcpdump: listening on em0, link-type EN10MB
22:20:01.332494 esp ip_empresa ip_orgao spi 0x12ca5fca seq 160
len 92
22:20:01.335510 esp ip_orgao ip_empresa spi 0x84d6cf78 seq 160
len 92
O acesso so funciona quando libero o fw com pass all, para
teste, é
claro!
Alguem que tenha isso funcionando, sabe se esta faltando algo?
Ou tem algo errado?
Não faltou liberar o tráfego entre a rede local e a rede remota?
Faltou o nat, nao?
--
att,
Adiel de Lima Ribeiro
facebook.com/sembr.dyndns.info
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Vocẽ esta utilizando o IPFW, certo? Ele utiliza um modo diferente para
implementar o NAT, por exemplo, no PF, é necessario implemtar uma regra
de nat:
nat on $ext_if from $lan to any - $ext_if
NO IPFW, veja a sessão 30.6.5.6 da pagina dele:
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls-ipfw.html
--
att,
Adiel de Lima Ribeiro
facebook.com/sembr.dyndns.info
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Bom se é pf, melhor.
Esta faltando a regra de NAT, algo como:
nat on $ext_if from $lan to any - $ext_if
ajuste a para refletir seu ambiente.
--
att,
Adiel de Lima Ribeiro
facebook.com/sembr.dyndns.info
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPSEC site-to-site
Adiel, ja tenho essa regra.
Em 13 de agosto de 2013 15:58, Adiel de Lima Ribeiro
adiel.netad...@gmail.com escreveu:
On Tue, 2013-08-13 at 15:52 -0300, Christiano Liberato wrote:
Estou utilizando o PF.
Em 13 de agosto de 2013 15:51, Adiel de Lima Ribeiro
adiel.netad...@gmail.com escreveu:
On Tue, 2013-08-13 at 14:54 -0300, Christiano Liberato wrote:
Adiel, qual nat voce diz?
Em 13 de agosto de 2013 14:26, Adiel de Lima Ribeiro
adiel.netad...@gmail.com escreveu:
On Tue, 2013-08-13 at 13:45 -0300, Matheus Weber da Conceição
wrote:
2013/8/12 Christiano Liberato christianoliber...@gmail.com
Caros,
em um dos meus clientes, utilizando IPSEC site-to-site, foi
necessário
estabelecer um tunel vpn entre a empresa e um orgao do governo
de
SP
para
um projeto. O fw do orgao é um sonicwall.
O tunel ja está up, vejo as rotas inseridas com o o netstat
-rn e
tambem as
informações do ipsec com ipsecctl -s all
Agora que vem o problema... Ja tentei de toda maneira liberar
acesso da
rede da empresa para a rede do orgao e nao funciona. Inseri as
regras:
pass in on $ext_if proto udp from $orgao_gw to $ext_if port {
500,
4500 }
pass out on $ext_if proto udp from $ext_if to $orgao_gw port {
500,
4500 }
pass in on $ext_if proto esp from $orgao_gw to $ext_if
pass out on $ext_if proto esp from $ext_if to $orgao_gw
e nada. O tcpdump só acusa acesso atraves do protocolo ESP,
como
abaixo:
root@server:~# tcpdump -i em0 src or dst ip_orgao
tcpdump: listening on em0, link-type EN10MB
22:20:01.332494 esp ip_empresa ip_orgao spi 0x12ca5fca seq
160
len 92
22:20:01.335510 esp ip_orgao ip_empresa spi 0x84d6cf78 seq
160
len 92
O acesso so funciona quando libero o fw com pass all, para
teste, é
claro!
Alguem que tenha isso funcionando, sabe se esta faltando algo?
Ou tem algo errado?
Não faltou liberar o tráfego entre a rede local e a rede remota?
Faltou o nat, nao?
--
att,
Adiel de Lima Ribeiro
facebook.com/sembr.dyndns.info
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Vocẽ esta utilizando o IPFW, certo? Ele utiliza um modo diferente para
implementar o NAT, por exemplo, no PF, é necessario implemtar uma regra
de nat:
nat on $ext_if from $lan to any - $ext_if
NO IPFW, veja a sessão 30.6.5.6 da pagina dele:
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls-ipfw.html
--
att,
Adiel de Lima Ribeiro
facebook.com/sembr.dyndns.info
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Bom se é pf, melhor.
Esta faltando a regra de NAT, algo como:
nat on $ext_if from $lan to any - $ext_if
ajuste a para refletir seu ambiente.
--
att,
Adiel de Lima Ribeiro
facebook.com/sembr.dyndns.info
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPSEC site-to-site
Christiano Pelo que sei NAT se usa quando se tem as 2 LAN's com o mesmo range privado. Se não for o seu caso, não há porque usar NAT na sua VPN. Verifique se as rotas do túnel estão presentes. Verifique se existe alguma regra liberando o tráfego da sua LAN para o túnel; Verifique se existe alguma regra liberando a entrada de tráfego vindo do túnel para a sua LAN; Espero ter ajudado William Nascimento - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] IPSEC site-to-site
Caros,
em um dos meus clientes, utilizando IPSEC site-to-site, foi necessário
estabelecer um tunel vpn entre a empresa e um orgao do governo de SP para
um projeto. O fw do orgao é um sonicwall.
O tunel ja está up, vejo as rotas inseridas com o o netstat -rn e tambem as
informações do ipsec com ipsecctl -s all
Agora que vem o problema... Ja tentei de toda maneira liberar acesso da
rede da empresa para a rede do orgao e nao funciona. Inseri as regras:
pass in on $ext_if proto udp from $orgao_gw to $ext_if port { 500, 4500 }
pass out on $ext_if proto udp from $ext_if to $orgao_gw port { 500, 4500 }
pass in on $ext_if proto esp from $orgao_gw to $ext_if
pass out on $ext_if proto esp from $ext_if to $orgao_gw
e nada. O tcpdump só acusa acesso atraves do protocolo ESP, como abaixo:
root@server:~# tcpdump -i em0 src or dst ip_orgao
tcpdump: listening on em0, link-type EN10MB
22:20:01.332494 esp ip_empresa ip_orgao spi 0x12ca5fca seq 160 len 92
22:20:01.335510 esp ip_orgao ip_empresa spi 0x84d6cf78 seq 160 len 92
O acesso so funciona quando libero o fw com pass all, para teste, é claro!
Alguem que tenha isso funcionando, sabe se esta faltando algo?
Ou tem algo errado?
Obrigado!!
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPSec (netstat -nsp pfkey)
Em 14/09/12 11:28, Breno Ribeiro escreveu: Renato, blz. Está funcionando. Nas filiais tenho roteadores draytek com ADSL e 3G, cai o ADSL o 3G sobe e quando ADSL volta o 3G pára, se minha percepção estiver certa, isso ajuda a incrementar o erro, a troca de ip's quando há queda, mas acredito não ser o único responsável pelo erro. No final do man ipsec (inclusive tem muita info de parametrizacao) tem a seguinte info: When a large database of security associations or policies is present in the kernel the SADB_DUMP and SADB_SPDDUMP operations on PF_KEY sockets may fail due to lack of space. Increasing the socket buffer size may alleviate this problem. - Bom, menos mal que não tem nenhum problema aparente. IPSEC é muito chato quanto á troca de IP, já que a autenticação é fim a fim. Sobre aumentar o buffer size, seria a variável kern.ipc.maxsockbuf! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPSec (netstat -nsp pfkey)
- Mensagem original - De: Renato Frederick ren...@frederick.eti.br Para: freebsd@fug.com.br Enviadas: Domingo, 16 de Setembro de 2012 11:14:55 Assunto: Re: [FUG-BR] IPSec (netstat -nsp pfkey) Em 14/09/12 11:28, Breno Ribeiro escreveu: Renato, blz. Está funcionando. Nas filiais tenho roteadores draytek com ADSL e 3G, cai o ADSL o 3G sobe e quando ADSL volta o 3G pára, se minha percepção estiver certa, isso ajuda a incrementar o erro, a troca de ip's quando há queda, mas acredito não ser o único responsável pelo erro. No final do man ipsec (inclusive tem muita info de parametrizacao) tem a seguinte info: When a large database of security associations or policies is present in the kernel the SADB_DUMP and SADB_SPDDUMP operations on PF_KEY sockets may fail due to lack of space. Increasing the socket buffer size may alleviate this problem. - Bom, menos mal que não tem nenhum problema aparente. IPSEC é muito chato quanto á troca de IP, já que a autenticação é fim a fim. Sobre aumentar o buffer size, seria a variável kern.ipc.maxsockbuf! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Valeu pelo retorno. Eu ja tinha aumentado e nao influenciou em nada e voltei ao normal. Acreditei que pelo erro e a msg que postei anteriormente do man do racoon resolveria. :-( - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPSec (netstat -nsp pfkey)
Em 13/09/2012, às 23:45, Saul Figueiredo saulfelip...@gmail.com escreveu: Em 13 de setembro de 2012 23:35, Breno Ribeiro breno.localh...@gmail.comescreveu: Boa noite. Estou implementando VPN IPsec no FreeBSD 9 com 30 filiais fechando na matriz. Usando racoon e sem interface GIF. Está funcionando a umas 3 semanas, porém o comando abaixo me dá uma saída nada satisfatória, alguém que usa IPSec no FreeBSD poderia me informar se isso também retorna no ambiente de vocês? Ou poderiam me ajudar a entender a saída deste comando? netstat -nsp pfkey pfkey: 784 requests sent from userland 102640 bytes sent from userland histogram by message type: getspi: 92 update: 90 add: 90 delete: 101 register: 3 dump: 145 x_spdupdate: 180 x_spddelete: 82 x_spddump: 1 0 messages with invalid length field 0 messages with invalid version field 0 messages with invalid message type field 0 messages too short 0 messages with memory allocation failure 0 messages with duplicate extension 0 messages with invalid extension type 0 messages with invalid sa type 0 messages with invalid address extension 5250 requests sent to userland 1342056 bytes sent to userland histogram by message type: getspi: 92 update: 90 add: 90 delete: 137 register: 3 dump: 4575 x_spdupdate: 180 x_spddelete: 82 x_spddump: 1 4575 messages toward single socket 0 messages toward all sockets 36 messages toward registered sockets 732 messages with memory allocation failure Breno - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Boa noite Breno! :p 0 messages with invalid length field 0 messages with invalid version field 0 messages with invalid message type field 0 messages too short 0 messages with memory allocation failure 0 messages with duplicate extension 0 messages with invalid extension type 0 messages with invalid sa type 0 messages with invalid address extension Olhando desse ponto, não é tão ruim assim a saída. -- Deve-se aprender sempre, até mesmo com um inimigo. (Isaac Newton) Atenciosamente, Saul Figueiredo Analista FreeBSD/Linux Linux Professional Institute Certification Level 2 Linux User: #554651 saulfelip...@gmail.com saul-fel...@hotmail.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Saul bom dia e obrigado pelo retorno. Analisei sobre este aspecto também, mas a saída é composta de 2 blocos e são semelhantes no trato da informação, mas no segundo é que tem a linha que me tira o sossego. 732 messages with memory allocation failure Inclusive esta mesma linha/info tem no primeiro bloco e esta zerada, penso que pode ser que um bloco trata do server e a outra do client, mas se for qual é qual? Breno - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPSec (netstat -nsp pfkey)
Em 13/09/2012 23:45, Saul Figueiredo escreveu: Em 13 de setembro de 2012 23:35, Breno Ribeiro breno.localh...@gmail.comescreveu: Boa noite. Estou implementando VPN IPsec no FreeBSD 9 com 30 filiais fechando na matriz. Usando racoon e sem interface GIF. Está funcionando a umas 3 semanas, porém o comando abaixo me dá uma saída nada satisfatória, alguém que usa IPSec no FreeBSD poderia me informar se isso também retorna no ambiente de vocês? Ou poderiam me ajudar a entender a saída deste comando? netstat -nsp pfkey pfkey: 784 requests sent from userland 102640 bytes sent from userland histogram by message type: getspi: 92 update: 90 add: 90 delete: 101 register: 3 dump: 145 x_spdupdate: 180 x_spddelete: 82 x_spddump: 1 0 messages with invalid length field 0 messages with invalid version field 0 messages with invalid message type field 0 messages too short 0 messages with memory allocation failure 0 messages with duplicate extension 0 messages with invalid extension type 0 messages with invalid sa type 0 messages with invalid address extension 5250 requests sent to userland 1342056 bytes sent to userland histogram by message type: getspi: 92 update: 90 add: 90 delete: 137 register: 3 dump: 4575 x_spdupdate: 180 x_spddelete: 82 x_spddump: 1 4575 messages toward single socket 0 messages toward all sockets 36 messages toward registered sockets 732 messages with memory allocation failure Breno - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Boa noite Breno! :p 0 messages with invalid length field 0 messages with invalid version field 0 messages with invalid message type field 0 messages too short 0 messages with memory allocation failure 0 messages with duplicate extension 0 messages with invalid extension type 0 messages with invalid sa type 0 messages with invalid address extension Olhando desse ponto, não é tão ruim assim a saída. Concordo com o Saul, pelo que estou vendo a saída está muito boa. Você queria que tivesse dando memory allocation failure? rsrsrsrr Porque só em ler essas mensagens já vejo que todas elas seriam ruins se tivessem acusando. Não entendi onde está o nada satisfatório. :) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPSec (netstat -nsp pfkey)
Em 14/09/2012 06:14, Breno Ribeiro escreveu: Em 13/09/2012, às 23:45, Saul Figueiredo saulfelip...@gmail.com escreveu: Em 13 de setembro de 2012 23:35, Breno Ribeiro breno.localh...@gmail.comescreveu: Boa noite. Estou implementando VPN IPsec no FreeBSD 9 com 30 filiais fechando na matriz. Usando racoon e sem interface GIF. Está funcionando a umas 3 semanas, porém o comando abaixo me dá uma saída nada satisfatória, alguém que usa IPSec no FreeBSD poderia me informar se isso também retorna no ambiente de vocês? Ou poderiam me ajudar a entender a saída deste comando? netstat -nsp pfkey pfkey: 784 requests sent from userland 102640 bytes sent from userland histogram by message type: getspi: 92 update: 90 add: 90 delete: 101 register: 3 dump: 145 x_spdupdate: 180 x_spddelete: 82 x_spddump: 1 0 messages with invalid length field 0 messages with invalid version field 0 messages with invalid message type field 0 messages too short 0 messages with memory allocation failure 0 messages with duplicate extension 0 messages with invalid extension type 0 messages with invalid sa type 0 messages with invalid address extension 5250 requests sent to userland 1342056 bytes sent to userland histogram by message type: getspi: 92 update: 90 add: 90 delete: 137 register: 3 dump: 4575 x_spdupdate: 180 x_spddelete: 82 x_spddump: 1 4575 messages toward single socket 0 messages toward all sockets 36 messages toward registered sockets 732 messages with memory allocation failure Breno - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Boa noite Breno! :p 0 messages with invalid length field 0 messages with invalid version field 0 messages with invalid message type field 0 messages too short 0 messages with memory allocation failure 0 messages with duplicate extension 0 messages with invalid extension type 0 messages with invalid sa type 0 messages with invalid address extension Olhando desse ponto, não é tão ruim assim a saída. -- Deve-se aprender sempre, até mesmo com um inimigo. (Isaac Newton) Atenciosamente, Saul Figueiredo Analista FreeBSD/Linux Linux Professional Institute Certification Level 2 Linux User: #554651 saulfelip...@gmail.com saul-fel...@hotmail.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Saul bom dia e obrigado pelo retorno. Analisei sobre este aspecto também, mas a saída é composta de 2 blocos e são semelhantes no trato da informação, mas no segundo é que tem a linha que me tira o sossego. 732 messages with memory allocation failure Inclusive esta mesma linha/info tem no primeiro bloco e esta zerada, penso que pode ser que um bloco trata do server e a outra do client, mas se for qual é qual? Ah agora que vi onde está a sua dúvida. É realmente é estranho. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPSec (netstat -nsp pfkey)
Em 14/09/12 06:14, Breno Ribeiro escreveu: Saul bom dia e obrigado pelo retorno. Analisei sobre este aspecto também, mas a saída é composta de 2 blocos e são semelhantes no trato da informação, mas no segundo é que tem a linha que me tira o sossego. 732 messages with memory allocation failure Inclusive esta mesma linha/info tem no primeiro bloco e esta zerada, penso que pode ser que um bloco trata do server e a outra do client, mas se for qual é qual? Breno Breno, sua VPN IPSEC está apresentando algum problema? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPSec (netstat -nsp pfkey)
- Mensagem original - De: Renato Frederick ren...@frederick.eti.br Para: freebsd@fug.com.br Enviadas: Sexta-feira, 14 de Setembro de 2012 10:26:52 Assunto: Re: [FUG-BR] IPSec (netstat -nsp pfkey) Em 14/09/12 06:14, Breno Ribeiro escreveu: Saul bom dia e obrigado pelo retorno. Analisei sobre este aspecto também, mas a saída é composta de 2 blocos e são semelhantes no trato da informação, mas no segundo é que tem a linha que me tira o sossego. 732 messages with memory allocation failure Inclusive esta mesma linha/info tem no primeiro bloco e esta zerada, penso que pode ser que um bloco trata do server e a outra do client, mas se for qual é qual? Breno Breno, sua VPN IPSEC está apresentando algum problema? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Renato, blz. Está funcionando. Nas filiais tenho roteadores draytek com ADSL e 3G, cai o ADSL o 3G sobe e quando ADSL volta o 3G pára, se minha percepção estiver certa, isso ajuda a incrementar o erro, a troca de ip's quando há queda, mas acredito não ser o único responsável pelo erro. No final do man ipsec (inclusive tem muita info de parametrizacao) tem a seguinte info: When a large database of security associations or policies is present in the kernel the SADB_DUMP and SADB_SPDDUMP operations on PF_KEY sockets may fail due to lack of space. Increasing the socket buffer size may alleviate this problem. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] IPSec (netstat -nsp pfkey)
- Mensagem original - De: Marcelo Gondim gon...@bsdinfo.com.br Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Enviadas: Sexta-feira, 14 de Setembro de 2012 9:50:45 Assunto: Re: [FUG-BR] IPSec (netstat -nsp pfkey) Em 14/09/2012 06:14, Breno Ribeiro escreveu: Em 13/09/2012, às 23:45, Saul Figueiredo saulfelip...@gmail.com escreveu: Em 13 de setembro de 2012 23:35, Breno Ribeiro breno.localh...@gmail.comescreveu: Boa noite. Estou implementando VPN IPsec no FreeBSD 9 com 30 filiais fechando na matriz. Usando racoon e sem interface GIF. Está funcionando a umas 3 semanas, porém o comando abaixo me dá uma saída nada satisfatória, alguém que usa IPSec no FreeBSD poderia me informar se isso também retorna no ambiente de vocês? Ou poderiam me ajudar a entender a saída deste comando? netstat -nsp pfkey pfkey: 784 requests sent from userland 102640 bytes sent from userland histogram by message type: getspi: 92 update: 90 add: 90 delete: 101 register: 3 dump: 145 x_spdupdate: 180 x_spddelete: 82 x_spddump: 1 0 messages with invalid length field 0 messages with invalid version field 0 messages with invalid message type field 0 messages too short 0 messages with memory allocation failure 0 messages with duplicate extension 0 messages with invalid extension type 0 messages with invalid sa type 0 messages with invalid address extension 5250 requests sent to userland 1342056 bytes sent to userland histogram by message type: getspi: 92 update: 90 add: 90 delete: 137 register: 3 dump: 4575 x_spdupdate: 180 x_spddelete: 82 x_spddump: 1 4575 messages toward single socket 0 messages toward all sockets 36 messages toward registered sockets 732 messages with memory allocation failure Breno - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Boa noite Breno! :p 0 messages with invalid length field 0 messages with invalid version field 0 messages with invalid message type field 0 messages too short 0 messages with memory allocation failure 0 messages with duplicate extension 0 messages with invalid extension type 0 messages with invalid sa type 0 messages with invalid address extension Olhando desse ponto, não é tão ruim assim a saída. -- Deve-se aprender sempre, até mesmo com um inimigo. (Isaac Newton) Atenciosamente, Saul Figueiredo Analista FreeBSD/Linux Linux Professional Institute Certification Level 2 Linux User: #554651 saulfelip...@gmail.com saul-fel...@hotmail.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Saul bom dia e obrigado pelo retorno. Analisei sobre este aspecto também, mas a saída é composta de 2 blocos e são semelhantes no trato da informação, mas no segundo é que tem a linha que me tira o sossego. 732 messages with memory allocation failure Inclusive esta mesma linha/info tem no primeiro bloco e esta zerada, penso que pode ser que um bloco trata do server e a outra do client, mas se for qual é qual? Ah agora que vi onde está a sua dúvida. É realmente é estranho. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd De fato e ta dificil buscar alguma documentacao que trate a saida do comando netstat para melhor interpretacao. :-) Breno - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] IPSec (netstat -nsp pfkey)
Boa noite. Estou implementando VPN IPsec no FreeBSD 9 com 30 filiais fechando na matriz. Usando racoon e sem interface GIF. Está funcionando a umas 3 semanas, porém o comando abaixo me dá uma saída nada satisfatória, alguém que usa IPSec no FreeBSD poderia me informar se isso também retorna no ambiente de vocês? Ou poderiam me ajudar a entender a saída deste comando? netstat -nsp pfkey pfkey: 784 requests sent from userland 102640 bytes sent from userland histogram by message type: getspi: 92 update: 90 add: 90 delete: 101 register: 3 dump: 145 x_spdupdate: 180 x_spddelete: 82 x_spddump: 1 0 messages with invalid length field 0 messages with invalid version field 0 messages with invalid message type field 0 messages too short 0 messages with memory allocation failure 0 messages with duplicate extension 0 messages with invalid extension type 0 messages with invalid sa type 0 messages with invalid address extension 5250 requests sent to userland 1342056 bytes sent to userland histogram by message type: getspi: 92 update: 90 add: 90 delete: 137 register: 3 dump: 4575 x_spdupdate: 180 x_spddelete: 82 x_spddump: 1 4575 messages toward single socket 0 messages toward all sockets 36 messages toward registered sockets 732 messages with memory allocation failure Breno - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPSec (netstat -nsp pfkey)
Em 13 de setembro de 2012 23:35, Breno Ribeiro breno.localh...@gmail.comescreveu: Boa noite. Estou implementando VPN IPsec no FreeBSD 9 com 30 filiais fechando na matriz. Usando racoon e sem interface GIF. Está funcionando a umas 3 semanas, porém o comando abaixo me dá uma saída nada satisfatória, alguém que usa IPSec no FreeBSD poderia me informar se isso também retorna no ambiente de vocês? Ou poderiam me ajudar a entender a saída deste comando? netstat -nsp pfkey pfkey: 784 requests sent from userland 102640 bytes sent from userland histogram by message type: getspi: 92 update: 90 add: 90 delete: 101 register: 3 dump: 145 x_spdupdate: 180 x_spddelete: 82 x_spddump: 1 0 messages with invalid length field 0 messages with invalid version field 0 messages with invalid message type field 0 messages too short 0 messages with memory allocation failure 0 messages with duplicate extension 0 messages with invalid extension type 0 messages with invalid sa type 0 messages with invalid address extension 5250 requests sent to userland 1342056 bytes sent to userland histogram by message type: getspi: 92 update: 90 add: 90 delete: 137 register: 3 dump: 4575 x_spdupdate: 180 x_spddelete: 82 x_spddump: 1 4575 messages toward single socket 0 messages toward all sockets 36 messages toward registered sockets 732 messages with memory allocation failure Breno - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Boa noite Breno! :p 0 messages with invalid length field 0 messages with invalid version field 0 messages with invalid message type field 0 messages too short 0 messages with memory allocation failure 0 messages with duplicate extension 0 messages with invalid extension type 0 messages with invalid sa type 0 messages with invalid address extension Olhando desse ponto, não é tão ruim assim a saída. -- Deve-se aprender sempre, até mesmo com um inimigo. (Isaac Newton) Atenciosamente, Saul Figueiredo Analista FreeBSD/Linux Linux Professional Institute Certification Level 2 Linux User: #554651 saulfelip...@gmail.com saul-fel...@hotmail.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPSEC e kernel
2009/4/29 Vinicius Abrahao vinnix@gmail.com: Fala c0re dump, Não tinha o kernel compilado com IPSEC aqui então resolvi compilar para testar. Aqui tenho um RELENG_7 (7.2-PRERELEASE) que foi atualizado hoje, antes de compilar. Meu config do kernel está assim: device crypto options IPSEC #IP security options IPSEC_DEBUG #debug for IP security options IPSEC_FILTERTUNNEL Já tentei com essa combinação também mas o erro persiste. Vou dar uma atualizada pra 7.1 pra ver se consigo resolver. Vc tambem tá usando amd64 ? Todo o kernel compilou e iniciou normalmente. Apr 29 18:42:40 vinnix kernel: IPsec: Initialized Security Association Processing. Achei curioso que observando a sua msg de erro: /../../opencrypto/crypto.c: 81:26: error: cryptodev_if.h: No such file or directory cc1: warnings being treated as errors Procurando esse arquivo # cd /usr/src # find ./ -name cryptodev_if.h Não se encontra nada, porem se entrarmos no /usr/obj (onde ficam os objetos que estão compilados) # cd ../obj # find ./ -name cryptodev_if.h ./usr/src/sys/VINNIX/modules/usr/src/sys/modules/crypto/cryptodev_if.h ./usr/src/sys/VINNIX/modules/usr/src/sys/modules/hifn/cryptodev_if.h ./usr/src/sys/VINNIX/modules/usr/src/sys/modules/safe/cryptodev_if.h ./usr/src/sys/VINNIX/modules/usr/src/sys/modules/ubsec/cryptodev_if.h ./usr/src/sys/VINNIX/cryptodev_if.h E dentro do cryptodev_if.h encontrei o seguinte: /* * This file is produced automatically. * Do not modify anything in here by hand. * * Created from source file * /usr/src/sys/opencrypto/cryptodev_if.m * with * makeobjops.awk * * See the source file for legal information */ Verifique se o seu /usr/src/sys/opencrypto/cryptodev_if.m está com esse id: $FreeBSD: src/sys/opencrypto/cryptodev_if.m,v 1.1 2007/03/21 03:43:33 sam Exp $ Esse negócio do cryptodev_if.h eu tinha achado no google, mas só encontrava coisas relacionadas a versões mais antigas. Eis o que tem no meu cryptodev_if.m # $FreeBSD: src/sys/opencrypto/cryptodev_if.m,v 1.1.6.1 2008/11/25 02:59:29 kensmith Exp $ Tentei dar uma de joão-sem-braço criando um cryptodev_if.h vazio mas os erros persistem pois as definiçoes das funções não são encontradas... tá parecendo que o jeito vai ser atualizar mesmo. Valeu pela ajuda! []'s -- To err is human, to blame it on somebody else shows management potential. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPSEC e kernel
Aqui é amd64 também. Agora achei estranho sua linha no cryptodev_if.m. Tá mais atualizada que a minha: $FreeBSD: src/sys/opencrypto/cryptodev_if.m,v 1.1 2007/03/21 03:43:33 sam Exp $ Mas também não sei se isso tem muito a ver. Tenta atualizar por aí depois diz pra gente oque aconteceu. []s Vinnix - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] IPSEC e kernel
Pessoal, Tô tentando compilar o kernel com suporte a IPSec num 7.0 amd64 e não tá indo nem com reza brava. O erro retornado é o seguinte: cc -c -O2 -frename-registers -pipe -fno-strict-aliasing -std=c99 -g -Wall -Wredundant-decls -Wnested-externs -Wstrict-prototypes -Wmissing-prototypes -Wpointer-arith -Winline -Wcast-qual -Wundef -Wno-pointer-sign -fformat-extensions -nostdinc -I. -I../../.. -I../../../contrib/altq -D_KERNEL -DHAVE_KERNEL_OPTION_HEADERS -include opt_global.h -fno-common -finline-limit=8000 --param inline-unit-growth=100 --param large-function-growth=1000 -mcmodel=kernel -mno-red-zone -mfpmath=387 -mno-sse -mno-sse2 -mno-mmx -mno-3dnow -msoft-float -fno-asynchronous-unwind-tables -ffreestanding -Werror ../../../opencrypto/crypto.c ../../../opencrypto/crypto.c:81:26: error: cryptodev_if.h: No such file or directory cc1: warnings being treated as errors ../../../opencrypto/crypto.c: In function 'crypto_newsession': ../../../opencrypto/crypto.c:410: warning: implicit declaration of function 'CRYPTODEV_NEWSESSION' ../../../opencrypto/crypto.c:410: warning: nested extern declaration of 'CRYPTODEV_NEWSESSION' ../../../opencrypto/crypto.c: In function 'crypto_freesession': ../../../opencrypto/crypto.c:464: warning: implicit declaration of function 'CRYPTODEV_FREESESSION' ../../../opencrypto/crypto.c:464: warning: nested extern declaration of 'CRYPTODEV_FREESESSION' ../../../opencrypto/crypto.c: In function 'crypto_kinvoke': ../../../opencrypto/crypto.c:943: warning: implicit declaration of function 'CRYPTODEV_KPROCESS' ../../../opencrypto/crypto.c:943: warning: nested extern declaration of 'CRYPTODEV_KPROCESS' ../../../opencrypto/crypto.c: In function 'crypto_invoke': ../../../opencrypto/crypto.c:1037: warning: implicit declaration of function 'CRYPTODEV_PROCESS' ../../../opencrypto/crypto.c:1037: warning: nested extern declaration of 'CRYPTODEV_PROCESS' *** Error code 1 Apesar de seguir os passos em http://www.freebsd.org/doc/en/books/handbook/ipsec.html e em `man ipsec', nada deu certo até agora. Minha intenção é usar o isakmpd, que já foi instalado sem maiores problemas, só que para inicá-lo corretamente, preciso habilitar o suporte ao IPSec para trabalhar com as variáveis adequadas no sysctl. Alguma luz ? []'s -- To err is human, to blame it on somebody else shows management potential. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPSEC e kernel
c0re dumped escreveu: Pessoal, Tô tentando compilar o kernel com suporte a IPSec num 7.0 amd64 e não tá indo nem com reza brava. Boa tarde, Estou usando, além do padrão, os seguintes: device crypto options IPSEC options IPSEC_DEBUG Abraço, - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPSEC e kernel
2009/4/29 Márcio Luciano Donada mdon...@gmail.com: c0re dumped escreveu: Pessoal, Tô tentando compilar o kernel com suporte a IPSec num 7.0 amd64 e não tá indo nem com reza brava. Boa tarde, Estou usando, além do padrão, os seguintes: device crypto options IPSEC options IPSEC_DEBUG Pois é... já tentei isso tambem, asssim como já tentei o que diz o `man ipsec' mas o resultado é sempre esse erro... -- To err is human, to blame it on somebody else shows management potential. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPSEC e kernel
Fala c0re dump, Não tinha o kernel compilado com IPSEC aqui então resolvi compilar para testar. Aqui tenho um RELENG_7 (7.2-PRERELEASE) que foi atualizado hoje, antes de compilar. Meu config do kernel está assim: device crypto options IPSEC#IP security options IPSEC_DEBUG #debug for IP security options IPSEC_FILTERTUNNEL Todo o kernel compilou e iniciou normalmente. Apr 29 18:42:40 vinnix kernel: IPsec: Initialized Security Association Processing. Achei curioso que observando a sua msg de erro: /../../opencrypto/crypto.c: 81:26: error: cryptodev_if.h: No such file or directory cc1: warnings being treated as errors Procurando esse arquivo # cd /usr/src # find ./ -name cryptodev_if.h Não se encontra nada, porem se entrarmos no /usr/obj (onde ficam os objetos que estão compilados) # cd ../obj # find ./ -name cryptodev_if.h ./usr/src/sys/VINNIX/modules/usr/src/sys/modules/crypto/cryptodev_if.h ./usr/src/sys/VINNIX/modules/usr/src/sys/modules/hifn/cryptodev_if.h ./usr/src/sys/VINNIX/modules/usr/src/sys/modules/safe/cryptodev_if.h ./usr/src/sys/VINNIX/modules/usr/src/sys/modules/ubsec/cryptodev_if.h ./usr/src/sys/VINNIX/cryptodev_if.h E dentro do cryptodev_if.h encontrei o seguinte: /* * This file is produced automatically. * Do not modify anything in here by hand. * * Created from source file * /usr/src/sys/opencrypto/cryptodev_if.m * with * makeobjops.awk * * See the source file for legal information */ Verifique se o seu /usr/src/sys/opencrypto/cryptodev_if.m está com esse id: $FreeBSD: src/sys/opencrypto/cryptodev_if.m,v 1.1 2007/03/21 03:43:33 sam Exp $ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPSEC e kernel
2009/4/29, Vinicius Abrahao vinnix@gmail.com: Fala c0re dump, Não tinha o kernel compilado com IPSEC aqui então resolvi compilar para testar. Aqui tenho um RELENG_7 (7.2-PRERELEASE) que foi atualizado hoje, antes de compilar. Meu config do kernel está assim: device crypto options IPSEC#IP security options IPSEC_DEBUG #debug for IP security options IPSEC_FILTERTUNNEL Todo o kernel compilou e iniciou normalmente. Apr 29 18:42:40 vinnix kernel: IPsec: Initialized Security Association Processing. Achei curioso que observando a sua msg de erro: /../../opencrypto/crypto.c: 81:26: error: cryptodev_if.h: No such file or directory cc1: warnings being treated as errors Procurando esse arquivo # cd /usr/src # find ./ -name cryptodev_if.h Não se encontra nada, porem se entrarmos no /usr/obj (onde ficam os objetos que estão compilados) Então pode ser esse arquivo dentro do /usr/obj que esteja causando esse erro, já que esse diretorio e usado durante compilações (passadas). Geralmente eu removo esse diretorio após o terminio. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPSEC e kernel
Wanderson, Você apaga o /usr/obj todo? Não interfere em nada no funcionamento do sistema? Notei que mesmo após um 'make clean' meu /usr/obj ainda fica com 579M. abs, Vinicius - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPSEC e kernel
2009/4/29 Vinicius Abrahao vinnix@gmail.com: Wanderson, Você apaga o /usr/obj todo? Não interfere em nada no funcionamento do sistema? Notei que mesmo após um 'make clean' meu /usr/obj ainda fica com 579M. abs, Vinicius - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Sim Vinicius. Sempre após atualizar toda camada do sistema eu removo /usr/obj/. Durando a execução do make buildworld ele cria uma árvore dentro do /usr/obj e o comando make installworld pega essa árvore e instalar no sistema. Se você quiser poupar a vida do /usr/obj você pode ganhar tempo em processos de compilação futuro, mas também pode trazer problemas durante a compilação. O bom é que libera espaço. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] IPSEC e ISAKMP
Bom dia. Estou erguendo uma VPN com Ipsec usando ISAKMP. O Cenário é: FreeBSD(ISAKMP) - CheckPoint O que foi definido: Fase1: Cripto AES256 Hash: sha1 Fase2 Cripto: AES128 Hash: md5 Chave=123456 Rede1= 192.168.254.0 Rede2= 192.168.210.0 Peer Freebsd=100.1.1.1 Peer CheckPoint=100.1.1.2 Analisando os pacotes com tcpdump o checkpoint me manda o seguinte: -- 12:04:07.792500 00:19:e0:73:9b:0a 00:00:5e:00:01:0b, ethertype IPv4 (0x0800), length 174: (tos 0x0, ttl 60, id 61431, offset 0, flags [DF], proto: UDP (17), length: 160) 100.1.1.2.500 100.1.1.1.500: [udp sum ok] isakmp 1.0 msgid cookie -: phase 1 I ident: (sa: doi=ipsec situation=identity (p: #1 protoid=isakmp transform=1 (t: #1 id=ike (type=enc value=aes)(type=keylen value=0100)(type=hash value=sha1)(type=auth value=preshared)(type=group desc value=modp1024)(type=lifetype value=sec)(type=lifeduration len=4 value=00015180 (vid: len=40 f4ed19e0c114eb516faaac0ee37daf2807b4381f0001138d48da54a21820) -- E o FreeBSD retorna: -- 11:57:35.663230 00:60:97:0c:5d:10 00:00:5e:00:01:0a, ethertype IPv4 (0x0800), length 82: (tos 0x0, ttl 64, id 47232, offset 0, flags [none], proto: UDP (17), length: 68) 100.1.1.1.500 100.1.1.2..500: [udp sum ok] isakmp 1.0 msgid cookie -: phase 1 I inf: (n: doi=ipsec proto=isakmp type=NO-PROPOSAL-CHOSEN) -- No Debug do ISAKMP eu tenho apenas o seguinte: -- 115703.724192 Default dropped message from 100.1.1.2 port 500 due to notification type NO_PROPOSAL_CHOSEN -- O que tem de errado?? Vejam as minhas configurações: -- # cat isakmpd.conf Retransmits=5 Exchange-max-time= 120 Listen-on= 100.1.1.1 [Phase 1] 100.1.1.2= ISAKMP-peer-checkpoint [ISAKMP-peer-checkpoint] Phase= 1 Transport= udp Local-address= 100.1.1.1 Address=100.1.1.2 Configuration= Conf-fase1 Authentication= 123456 [Phase 2] Connections=VPN-freebsd-checkpoint [VPN-freebsd-checkpoint] Phase= 2 ISAKMP-peer=ISAKMP-peer-checkpoint Configuration= Conf-fase2 Local-ID= rede-freebsd-192.168.254.0/255.255.255.0 Remote-ID= rede-checkpoint-192.168.210.0/255.255.255.0 [rede-freebsd-192.168.254.0/255.255.255.0] ID-type=IPV4_ADDR_SUBNET Network=192.168.254.0 Netmask=255.255.255.0 [rede-checkpoint-192.168.210.0/255.255.255.0] ID-type=IPV4_ADDR_SUBNET Network=192.168.210.0 Netmask=255.255.255.0 [Conf-fase1] DOI=IPSEC EXCHANGE_TYPE= ID_PROT Transforms= CRIPTO-FASE1 [Conf-fase2] DOI=IPSEC EXCHANGE_TYPE= QUICK_MODE Suites= QM-ESP-AES-MD5-PFS-SUITE [CRIPTO-FASE1] ENCRYPTION_ALGORITHM= AES HASH_ALGORITHM= SHA AUTHENTICATION_METHOD= PRESHARED GROUP_DESCRIPTION= modp1024 Life= TEMPO [TEMPO] LIFE_TYPE= SECONDS LIFE_DURATION= 86400,79200:93600 -- -- Matheus Cucoloto System Admin. Net Admin. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPSEC e ISAKMP
On Wed, 2008-09-24 at 12:24 -0300, Matheus Cucoloto wrote: Bom dia. Estou erguendo uma VPN com Ipsec usando ISAKMP. O Cenário é: FreeBSD(ISAKMP) - CheckPoint O que foi definido: Fase1: Cripto AES256 Hash: sha1 Fase2 Cripto: AES128 Hash: md5 Chave=123456 Rede1= 192.168.254.0 Rede2= 192.168.210.0 Peer Freebsd=100.1.1.1 Peer CheckPoint=100.1.1.2 Analisando os pacotes com tcpdump o checkpoint me manda o seguinte: -- 12:04:07.792500 00:19:e0:73:9b:0a 00:00:5e:00:01:0b, ethertype IPv4 (0x0800), length 174: (tos 0x0, ttl 60, id 61431, offset 0, flags [DF], proto: UDP (17), length: 160) 100.1.1.2.500 100.1.1.1.500: [udp sum ok] isakmp 1.0 msgid cookie -: phase 1 I ident: (sa: doi=ipsec situation=identity (p: #1 protoid=isakmp transform=1 (t: #1 id=ike (type=enc value=aes)(type=keylen value=0100)(type=hash value=sha1)(type=auth value=preshared)(type=group desc value=modp1024)(type=lifetype value=sec)(type=lifeduration len=4 value=00015180 (vid: len=40 f4ed19e0c114eb516faaac0ee37daf2807b4381f0001138d48da54a21820) -- E o FreeBSD retorna: -- 11:57:35.663230 00:60:97:0c:5d:10 00:00:5e:00:01:0a, ethertype IPv4 (0x0800), length 82: (tos 0x0, ttl 64, id 47232, offset 0, flags [none], proto: UDP (17), length: 68) 100.1.1.1.500 100.1.1.2..500: [udp sum ok] isakmp 1.0 msgid cookie -: phase 1 I inf: (n: doi=ipsec proto=isakmp type=NO-PROPOSAL-CHOSEN) -- No Debug do ISAKMP eu tenho apenas o seguinte: -- 115703.724192 Default dropped message from 100.1.1.2 port 500 due to notification type NO_PROPOSAL_CHOSEN -- O que tem de errado?? Vejam as minhas configurações: -- # cat isakmpd.conf Retransmits=5 Exchange-max-time= 120 Listen-on= 100.1.1.1 [Phase 1] 100.1.1.2= ISAKMP-peer-checkpoint [ISAKMP-peer-checkpoint] Phase= 1 Transport= udp Local-address= 100.1.1.1 Address=100.1.1.2 Configuration= Conf-fase1 Authentication= 123456 [Phase 2] Connections=VPN-freebsd-checkpoint [VPN-freebsd-checkpoint] Phase= 2 ISAKMP-peer=ISAKMP-peer-checkpoint Configuration= Conf-fase2 Local-ID= rede-freebsd-192.168.254.0/255.255.255.0 Remote-ID= rede-checkpoint-192.168.210.0/255.255.255.0 [rede-freebsd-192.168.254.0/255.255.255.0] ID-type=IPV4_ADDR_SUBNET Network=192.168.254.0 Netmask=255.255.255.0 [rede-checkpoint-192.168.210.0/255.255.255.0] ID-type=IPV4_ADDR_SUBNET Network=192.168.210.0 Netmask=255.255.255.0 [Conf-fase1] DOI=IPSEC EXCHANGE_TYPE= ID_PROT Transforms= CRIPTO-FASE1 [Conf-fase2] DOI=IPSEC EXCHANGE_TYPE= QUICK_MODE Suites= QM-ESP-AES-MD5-PFS-SUITE [CRIPTO-FASE1] ENCRYPTION_ALGORITHM= AES HASH_ALGORITHM= SHA AUTHENTICATION_METHOD= PRESHARED GROUP_DESCRIPTION= modp1024 Life= TEMPO [TEMPO] LIFE_TYPE= SECONDS LIFE_DURATION= 86400,79200:93600 -- -- Matheus Cucoloto System Admin. Net Admin. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Matheus, Voce tem que usar o mesmo esquema de criptografia em ambos os lados, bem como a psk. A mensagem NO_PROPOSAL_CHOSEN esta informando que as propostas de criptografia ou informacoes de rede configuradas em uma das pontas nao conferem. Informe, se possivel, as configuracoes do VPN1 e compare os timers, eles tambem influenciam no start da VPN. []s Sergio Lima - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPSEC e ISAKMP
Alterei um monte, mudei as cripto e outras configuracoes agora aparentemente a fase 1 passa mas depois começa a pipocar de novo, veja o log o isakmpd: 144852.295219 Default isakmpd: phase 1 done: initiator id c8b45402: 100.1.1.2, responder id c9378c04: 100.1.1.1, src: 100.1.1.1 dst: 100.1.1.2 144852.430833 Default isakmpd: quick mode done: src: 100.1.1.1 dst: 100.1.1.2 144852.535963 Default message_parse_payloads: reserved field non-zero: ff 144852.535988 Default dropped message from 100.1.1.2 port 500 due to notification type PAYLOAD_MALFORMED 144852.650157 Default message_parse_payloads: reserved field non-zero: ff 144852.650181 Default dropped message from 100.1.1.2 port 500 due to notification type PAYLOAD_MALFORMED Alguma dica? OBS: Valeu Sergio Segue a minha conf nova: [General] Retransmits=5 Exchange-max-time= 120 Listen-on= 100.1.1.1 [Phase 1] 100.1.1.1= local-remote [local-remote] Phase= 1 Transport= udp Local-address= 100.1.1.1 Address=100.1.1.2 Configuration= Default-main-mode Authentication= 123456 [Phase 2] Connections=VPN-local-remote-10.9.2.0/255.255.255.0 [VPN-local-remote-10.9.2.0/255.255.255.0] Phase= 2 ISAKMP-peer=local-remote Configuration= Default-quick-mode Local-ID= network-192.168.254.0/255.255.255.0 Remote-ID= network-10.9.2.0/255.255.255.0 [network-192.168.254.0/255.255.255.0] ID-type=IPV4_ADDR_SUBNET Network=192.168.254.0 Netmask=255.255.255.0 [network-10.9.2.0/255.255.255.0] ID-type=IPV4_ADDR_SUBNET Network=10.9.2.0 Netmask=255.255.255.0 [Default-main-mode] DOI=IPSEC EXCHANGE_TYPE= ID_PROT Transforms= 3DES-SHA [Default-quick-mode] DOI=IPSEC EXCHANGE_TYPE= QUICK_MODE Suites= QM-ESP-3DES-SHA-PFS-GRP2-SUITE -- Matheus Cucoloto System Admin. Net Admin. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPSEC e ISAKMP
On Wed, 2008-09-24 at 15:01 -0300, Matheus Cucoloto wrote: Alterei um monte, mudei as cripto e outras configuracoes agora aparentemente a fase 1 passa mas depois começa a pipocar de novo, veja o log o isakmpd: 144852.295219 Default isakmpd: phase 1 done: initiator id c8b45402: 100.1.1.2, responder id c9378c04: 100.1.1.1, src: 100.1.1.1 dst: 100.1.1.2 144852.430833 Default isakmpd: quick mode done: src: 100.1.1.1 dst: 100.1.1.2 144852.535963 Default message_parse_payloads: reserved field non-zero: ff 144852.535988 Default dropped message from 100.1.1.2 port 500 due to notification type PAYLOAD_MALFORMED 144852.650157 Default message_parse_payloads: reserved field non-zero: ff 144852.650181 Default dropped message from 100.1.1.2 port 500 due to notification type PAYLOAD_MALFORMED Alguma dica? OBS: Valeu Sergio Segue a minha conf nova: [General] Retransmits=5 Exchange-max-time= 120 Listen-on= 100.1.1.1 [Phase 1] 100.1.1.1= local-remote [local-remote] Phase= 1 Transport= udp Local-address= 100.1.1.1 Address=100.1.1.2 Configuration= Default-main-mode Authentication= 123456 [Phase 2] Connections=VPN-local-remote-10.9.2.0/255.255.255.0 [VPN-local-remote-10.9.2.0/255.255.255.0] Phase= 2 ISAKMP-peer=local-remote Configuration= Default-quick-mode Local-ID= network-192.168.254.0/255.255.255.0 Remote-ID= network-10.9.2.0/255.255.255.0 [network-192.168.254.0/255.255.255.0] ID-type=IPV4_ADDR_SUBNET Network=192.168.254.0 Netmask=255.255.255.0 [network-10.9.2.0/255.255.255.0] ID-type=IPV4_ADDR_SUBNET Network=10.9.2.0 Netmask=255.255.255.0 [Default-main-mode] DOI=IPSEC EXCHANGE_TYPE= ID_PROT Transforms= 3DES-SHA [Default-quick-mode] DOI=IPSEC EXCHANGE_TYPE= QUICK_MODE Suites= QM-ESP-3DES-SHA-PFS-GRP2-SUITE Matheus, Experiencia propria, sempre que fui negociar circuitos IPSec com gateways checkpoint, tive problemas principalmente com chaves AES e com os timers configurados. Eu recomendo, se nao houver problemas, que voce utilize SHA2-3DES e confira todos os timers (keylifetime, ike lifetime, etc). Outro problema constante que as vezes tenho que contornar, sao relativos ao IKE. Vou montar um lab aqui e te passo o resultado. []s Sergio Lima - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] IPSEC + FreeBSD
Bom dia Pessoal !! Será que alguém pode me dar um help na seguinte situação? Vamos lá... Estou configurando uma VPN entre um FreeBSD e um Roteador, porém este roteador vai ficar atrás de um firewall. Redirecionei no firewall as portas para o Roteador, o túnel está fechando, porém não consigo pingar o outro lado...É possível esse tipo de implantação com IPSEC no Free ?? Abaixo os IPs Matriz FreeBSD Internet= 200.x.x.x Rede Interna = 192.168.79.25 ___ Filial Roteador Rede Interna1 = 192.168.128.253 Rede Interna2 = 192.168.1.1 Gateway Padrão = 192.168.128.129 Firewall IP Publico = 200.y.y.y IP Privado = 192.168.128.129 _ Configuração do FreeBSD gif_interfaces=gif0 gifconfig_gif0=200..x.x.x 200.y.y.y ifconfig_gif0=inet 192.168.79.25 192.168.1.1 netmask 255.255.255.255 static_routes=vpn route_vpn=192.168.1.0 192.168.1.1 netmask 255.255.255.0 # ifconfig gif0 gif0: flags=8051UP,POINTOPOINT,RUNNING,MULTICAST metric 0 mtu 1280 tunnel inet 200.148.224.28 -- 200.171.74.52 inet 192.168.79.25 -- 192.168.1.1 netmask 0x Arquivo ipsec.conf spdadd 192.168.79.0/24 192.168.1.0/24 any -P out ipsec esp/tunnel/200.x.x.x-200.y.y.y/unique ; spdadd 192.168.1.0/24 192.168.79.0/24 any -P in ipsec esp/tunnel/200.y.y.y-200.x.x.x/unique ; Desta forma está acontecendo a troca de chave, diz que a conexão está estabelecida, porém não consigo pingar o IP 192.168.1.1 a partir do meu FreeBSD. Alguém tem um cenário semelhante a este ? No aguardo se alguém puder ajudar. Vlw !!! [ ]'s Fernando - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPSEC + FreeBSD
Fernando, como está seu arquivo do racoon? http://elibrary.fultus.com/technical/index.jsp?topic=/com.fultus.freebsd.articles/articles/checkpoint/racoon.html ou melhor, vc configurou? 2008/9/5 Fernando L. Silva [EMAIL PROTECTED] Bom dia Pessoal !! Será que alguém pode me dar um help na seguinte situação? Vamos lá... Estou configurando uma VPN entre um FreeBSD e um Roteador, porém este roteador vai ficar atrás de um firewall. Redirecionei no firewall as portas para o Roteador, o túnel está fechando, porém não consigo pingar o outro lado...É possível esse tipo de implantação com IPSEC no Free ?? Abaixo os IPs Matriz FreeBSD Internet= 200.x.x.x Rede Interna = 192.168.79.25 ___ Filial Roteador Rede Interna1 = 192.168.128.253 Rede Interna2 = 192.168.1.1 Gateway Padrão = 192.168.128.129 Firewall IP Publico = 200.y.y.y IP Privado = 192.168.128.129 _ Configuração do FreeBSD gif_interfaces=gif0 gifconfig_gif0=200..x.x.x 200.y.y.y ifconfig_gif0=inet 192.168.79.25 192.168.1.1 netmask 255.255.255.255 static_routes=vpn route_vpn=192.168.1.0 192.168.1.1 netmask 255.255.255.0 # ifconfig gif0 gif0: flags=8051UP,POINTOPOINT,RUNNING,MULTICAST metric 0 mtu 1280 tunnel inet 200.148.224.28 -- 200.171.74.52 inet 192.168.79.25 -- 192.168.1.1 netmask 0x Arquivo ipsec.conf spdadd 192.168.79.0/24 192.168.1.0/24 any -P out ipsec esp/tunnel/200.x.x.x-200.y.y.y/unique ; spdadd 192.168.1.0/24 192.168.79.0/24 any -P in ipsec esp/tunnel/200.y.y.y-200.x.x.x/unique ; Desta forma está acontecendo a troca de chave, diz que a conexão está estabelecida, porém não consigo pingar o IP 192.168.1.1 a partir do meu FreeBSD. Alguém tem um cenário semelhante a este ? No aguardo se alguém puder ajudar. Vlw !!! [ ]'s Fernando - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] IPsec + racoon2
Achei varias coisas sobre o racoon mas nada sobre o racoon2. Eu configurei da forma q eu li no tutorias mas da varios erros no iked.sh, kinkd.sh,spmd.sh. Alguem já configurou ou sabe como fazer funcionar essa versão do raconn? Fiz a VPN e já esta funcionando mas preciso do IPsec com o Racoon2 funcionando. Minha versão do Freebsd é 6.1 pq o 7.0 da erro no Kernel quando adciono a linha IPSEC pra compialar. Att, --- Alex de A. Souza [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] IPSec + L2TP + LDAP
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Pessoal, Alguem já implementou o IPSec com L2TP usando autenticação LDAP? Eu não achei um howto suficientemente bom que explique sobre essa implementação. Valeu! - -- Eduardo Sachs (51) 9262-3803 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFH3DYYKB6+7l7CbHURAqpEAKCCyKO70gLRHrpqwtd91JHbclQTGgCfUEmU O2z8N3ysaZgyQTYk+Oo2lVU= =LnL3 -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPSec modo transporte X modo tunel
Israel escreveu: Realmente o uso de Vpn é a melhor escolha para tornar segura sua rede ... nao use chaves WEP até 256 pois são facilmente quebradas ... para vpn use com chaves criptograficas, quanto maior o número mais seguro, porém um pouco mais lento ... no site da FUG tem um tutorial ensinando como usar o OpenVPN é tranquilo fazer a sua configuração e depois integrar a rede com máquinas windows ... se é que vai ser windows =) Olá Rafael, Pelo que eu li sobre o OpenVPN ele suporta apena uma conexão por porta, como são mais de 50 clientes fica meio complicado administrar isso. Tenho clientes com Windows 200 XP e Linux Sobre o ipsec qual modo seria melhor para esse caso trasporte ou tunel? Muito obrigado. Ola a todos ... Tenho Openvpn (http://openvpn.net/) rodando com 15 filiais e sem problema algum, e sem maiores difilcudades de configurar.pode usar sem medo.. Sds, Vagner Gonçalves (Slayer) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] IPSec modo transporte X modo tunel
Olá, Implemetei uma vpn em meu provedor wireless e não fui muito feliz com ele (MPD), ficou muito lento, mas não desisti de implementar algo melhor que controle de mac hahhahah e pensei no ipsec, só que estou na divida sobre o modo transporte e o tunel já li algumas coisas por ai mas gostaria de saber o que vocês me recomendam, qual usar? Preciso de algo tipo o wep ou wap que tem nos aps mas quero fazer isso no meu BSD. Minha rede é pequena (por enquanto) e gostraria de algo mais seguro até porque não tem como fazer controle de mac dos clientes que estão na repetidora. Muito obrigado. -- Não sabendo que era impossivel, ele foi la e fez. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPSec modo transporte X modo tunel
Realmente o uso de Vpn é a melhor escolha para tornar segura sua rede ... nao use chaves WEP até 256 pois são facilmente quebradas ... para vpn use com chaves criptograficas, quanto maior o número mais seguro, porém um pouco mais lento ... no site da FUG tem um tutorial ensinando como usar o OpenVPN é tranquilo fazer a sua configuração e depois integrar a rede com máquinas windows ... se é que vai ser windows =) Em 04/09/07, Israel [EMAIL PROTECTED] escreveu: Olá, Implemetei uma vpn em meu provedor wireless e não fui muito feliz com ele (MPD), ficou muito lento, mas não desisti de implementar algo melhor que controle de mac hahhahah e pensei no ipsec, só que estou na divida sobre o modo transporte e o tunel já li algumas coisas por ai mas gostaria de saber o que vocês me recomendam, qual usar? Preciso de algo tipo o wep ou wap que tem nos aps mas quero fazer isso no meu BSD. Minha rede é pequena (por enquanto) e gostraria de algo mais seguro até porque não tem como fazer controle de mac dos clientes que estão na repetidora. Muito obrigado. -- Não sabendo que era impossivel, ele foi la e fez. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPSec modo transporte X modo tunel
Realmente o uso de Vpn é a melhor escolha para tornar segura sua rede ... nao use chaves WEP até 256 pois são facilmente quebradas ... para vpn use com chaves criptograficas, quanto maior o número mais seguro, porém um pouco mais lento ... no site da FUG tem um tutorial ensinando como usar o OpenVPN é tranquilo fazer a sua configuração e depois integrar a rede com máquinas windows ... se é que vai ser windows =) Em 04/09/07, Israel [EMAIL PROTECTED] escreveu: Olá, Implemetei uma vpn em meu provedor wireless e não fui muito feliz com ele (MPD), ficou muito lento, mas não desisti de implementar algo melhor que controle de mac hahhahah e pensei no ipsec, só que estou na divida sobre o modo transporte e o tunel já li algumas coisas por ai mas gostaria de saber o que vocês me recomendam, qual usar? Preciso de algo tipo o wep ou wap que tem nos aps mas quero fazer isso no meu BSD. Minha rede é pequena (por enquanto) e gostraria de algo mais seguro até porque não tem como fazer controle de mac dos clientes que estão na repetidora. Muito obrigado. -- Não sabendo que era impossivel, ele foi la e fez. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPSec modo transporte X modo tunel
Realmente o uso de Vpn é a melhor escolha para tornar segura sua rede ... nao use chaves WEP até 256 pois são facilmente quebradas ... para vpn use com chaves criptograficas, quanto maior o número mais seguro, porém um pouco mais lento ... no site da FUG tem um tutorial ensinando como usar o OpenVPN é tranquilo fazer a sua configuração e depois integrar a rede com máquinas windows ... se é que vai ser windows =) Olá Rafael, Pelo que eu li sobre o OpenVPN ele suporta apena uma conexão por porta, como são mais de 50 clientes fica meio complicado administrar isso. Tenho clientes com Windows 200 XP e Linux Sobre o ipsec qual modo seria melhor para esse caso trasporte ou tunel? Muito obrigado. -- Não sabendo que era impossivel, ele foi la e fez. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ipsec
FUNCIONOU ??? 2 redes PRIVADAS se falaram por IPSEC... apenas ipsec... sem tunnel ??? puxa vida.. eh isto que estou procurando a meses sera que vc poderia colocar ai o exemplo... de como eram as redes como ficaram as configuracoes e tals ??? muitissimo obrigado t+ Christopher Tiago N. Sampaio wrote: eu jah coloquei pra conversar um fbsd 5.4 e um vpn1 e rodo perfeito... o que eu fiz foi criar as regras para aplicar o ipsec no /etc/ipsec.conf(minha rede - rede do cara, meu ip - ip do vpn1, ip do vpn1 - meu ip, ip do vpn1 - minha rede, minha rede - ip vpn1), e depois configurar o racoon (fiz com o 1).. mas eu tive que desativar aggressive mode, o adm do vpn1 disse que nao habilitava isso por tinha bug de implementacao (?)... enfim, fiquei uns dois dias nisso mas funcionou... Abracos. Christopher Giese - iRapida Telecom wrote: ENTAUM eh isto que estou falando mas como disse ja ouvi falar de muitos linux kernel 2.6 que fazem isto ipsec sem tunnel... REDES se falando e ouvi falar de FreeBSd e Linux se falando assim... alguem ai ouviu algo ??? alguma experiencia Diego Linke wrote: Christopher, mas nao entendi. (a parte da cripto smi.. entre os ips publicos... ou os que se enchergam... o que nao entendi foi a parte das REDES se enchergarem. vamos simular uma situacao EMPRESA A ip publico 200.200.200.200 ip privado 192.168.200.1 rede privada 192.168.200.0/24 EMPRESA B ip publico 100.100.100.100 ip privado 192.168.100.1 rede privada 192.168.100.0/24 Nao consigo entender como fazer a rede 192.168.200.0/24 enchergar a rede 192.168.100.0/24 apenas com IPSEC sem vpn Sera que vc poderia demonstrar Ai não tem jeito mesmo né ? ai tem que ser com tunnel... Sem tunnel (modo transporte) é algo do tipo: Eu preciso ligar a minha maquina com a maquina do meu chefe com IPsec, na mesma rede... Abraços ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br -- []´s Christopher Giese System Network Security Administrator - iRapida Telecom [EMAIL PROTECTED] - +55 44 3619 O futuro nada mais é que sonhos, projetos, esperanças que só serão possíveis se o hoje assim decidir. Nada mais temos neste mundo senão o exatamente agora. ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Ipsec
A estrutura de rede era assim: Gw FreeBSD - 200.200.200.1 Lan FreeBSD - 192.168.2.0/24 Ip VPN1 - 201.X.X.X Lan Vpn1 - 192.172.1.0/24 Dai vc cria uma police de cada um desses para todos os outros. Ai eh com o racoon... Dah uma olhada nesse site, que ele fala tudo :) http://www.freebsd.org/doc/en_US.ISO8859-1/articles/checkpoint/ E foi dele que eu peguei informações pra fazer a bendita funcionar :) T+ Christopher Giese - iRapida Telecom wrote: FUNCIONOU ??? 2 redes PRIVADAS se falaram por IPSEC... apenas ipsec... sem tunnel ??? puxa vida.. eh isto que estou procurando a meses sera que vc poderia colocar ai o exemplo... de como eram as redes como ficaram as configuracoes e tals ??? muitissimo obrigado t+ Christopher Tiago N. Sampaio wrote: eu jah coloquei pra conversar um fbsd 5.4 e um vpn1 e rodo perfeito... o que eu fiz foi criar as regras para aplicar o ipsec no /etc/ipsec.conf(minha rede - rede do cara, meu ip - ip do vpn1, ip do vpn1 - meu ip, ip do vpn1 - minha rede, minha rede - ip vpn1), e depois configurar o racoon (fiz com o 1).. mas eu tive que desativar aggressive mode, o adm do vpn1 disse que nao habilitava isso por tinha bug de implementacao (?)... enfim, fiquei uns dois dias nisso mas funcionou... Abracos. Christopher Giese - iRapida Telecom wrote: ENTAUM eh isto que estou falando mas como disse ja ouvi falar de muitos linux kernel 2.6 que fazem isto ipsec sem tunnel... REDES se falando e ouvi falar de FreeBSd e Linux se falando assim... alguem ai ouviu algo ??? alguma experiencia Diego Linke wrote: Christopher, mas nao entendi. (a parte da cripto smi.. entre os ips publicos... ou os que se enchergam... o que nao entendi foi a parte das REDES se enchergarem. vamos simular uma situacao EMPRESA A ip publico 200.200.200.200 ip privado 192.168.200.1 rede privada 192.168.200.0/24 EMPRESA B ip publico 100.100.100.100 ip privado 192.168.100.1 rede privada 192.168.100.0/24 Nao consigo entender como fazer a rede 192.168.200.0/24 enchergar a rede 192.168.100.0/24 apenas com IPSEC sem vpn Sera que vc poderia demonstrar Ai não tem jeito mesmo né ? ai tem que ser com tunnel... Sem tunnel (modo transporte) é algo do tipo: Eu preciso ligar a minha maquina com a maquina do meu chefe com IPsec, na mesma rede... Abraços ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Ipsec
Tem sim, um cambalacho que se fazia era SNAT um pelo endereço de saida das redes, como ele responderia pelos dois lados funciona. ou seja fazer toda conexão de uma ponta a outra sair com o ip do gateway. É feio mas funciona. On Thursday 29 September 2005 14:44, Gusmão wrote: Pessoal, tem como configurar ipsec para comunicar duas redes com a mesma classe de endereços??? Tipo: REDE A: 192.168.1.1 a 192.168.1.115 REDE B: 192.168.1.116 a 192.168.1.150 No caso, o 192.168.1.115 e 192.168.1.116 serão os gateways com uma interface wireless e ethernet cada, e esta configuração é para se usar com placa orinoco e FreeBSD 5.X ou 6X... Desde já agradeço a atenção... Att Gusmão ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
[FUG-BR] Ipsec
Pessoal, tem como configurar ipsec para comunicar duas redes com a mesma classe de endereços??? Tipo: REDE A: 192.168.1.1 a 192.168.1.115 REDE B: 192.168.1.116 a 192.168.1.150 No caso, o 192.168.1.115 e 192.168.1.116 serão os gateways com uma interface wireless e ethernet cada, e esta configuração é para se usar com placa orinoco e FreeBSD 5.X ou 6X... Desde já agradeço a atenção... Att Gusmão ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Ipsec
Olá Pessoal, tem como configurar ipsec para comunicar duas redes com a mesma classe de endereços??? Tipo: REDE A: 192.168.1.1 a 192.168.1.115 REDE B: 192.168.1.116 a 192.168.1.150 Sim tem sim! Na verdade IPSec não necessariamente é implementado via tunnel, ele pode ser implementado no modo transporte. Att. -- Diego Linke Public Key: http://www.gamk.com.br/gamk.asc ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Ipsec
opa... agora falou algo que estou a procura faz tempo Tem um kra... que me jura de pe junto... que ja montou IPSEC entre Linux 2.6 e FreeBSD e nao usou GIF... ou qq outro tunnel.. usou apenas IPSEC. ai eu pergunto... seria este tal modo transporte alguem ja fez isto alguem teria algum exemplo Grato Christopher Giese [EMAIL PROTECTED] Diego Linke wrote: Olá Pessoal, tem como configurar ipsec para comunicar duas redes com a mesma classe de endereços??? Tipo: REDE A: 192.168.1.1 a 192.168.1.115 REDE B: 192.168.1.116 a 192.168.1.150 Sim tem sim! Na verdade IPSec não necessariamente é implementado via tunnel, ele pode ser implementado no modo transporte. Att. -- []´s Christopher Giese System Network Security Administrator - iRapida Telecom [EMAIL PROTECTED] - +55 44 3619 O futuro nada mais é que sonhos, projetos, esperanças que só serão possíveis se o hoje assim decidir. Nada mais temos neste mundo senão o exatamente agora. ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Ipsec
Christopher, e nao usou GIF... ou qq outro tunnel.. Isso é possível sim. De uma lida nesta seção do FAQ de IPSec do NetBSD (transport mode): http://www.netbsd.org/Documentation/network/ipsec/#sample_esp Abraços -- Diego Linke Public Key: http://www.gamk.com.br/gamk.asc ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Ipsec
Fala ae chefia... OPA dei uma lida mas nao entendi. (a parte da cripto smi.. entre os ips publicos... ou os que se enchergam... o que nao entendi foi a parte das REDES se enchergarem. vamos simular uma situacao EMPRESA A ip publico 200.200.200.200 ip privado 192.168.200.1 rede privada 192.168.200.0/24 EMPRESA B ip publico 100.100.100.100 ip privado 192.168.100.1 rede privada 192.168.100.0/24 Nao consigo entender como fazer a rede 192.168.200.0/24 enchergar a rede 192.168.100.0/24 apenas com IPSEC sem vpn Sera que vc poderia demonstrar Grato Christopher Giese [EMAIL PROTECTED] Diego Linke wrote: Christopher, e nao usou GIF... ou qq outro tunnel.. Isso é possível sim. De uma lida nesta seção do FAQ de IPSec do NetBSD (transport mode): http://www.netbsd.org/Documentation/network/ipsec/#sample_esp Abraços -- []´s Christopher Giese System Network Security Administrator - iRapida Telecom [EMAIL PROTECTED] - +55 44 3619 O futuro nada mais é que sonhos, projetos, esperanças que só serão possíveis se o hoje assim decidir. Nada mais temos neste mundo senão o exatamente agora. ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Ipsec
Christopher, mas nao entendi. (a parte da cripto smi.. entre os ips publicos... ou os que se enchergam... o que nao entendi foi a parte das REDES se enchergarem. vamos simular uma situacao EMPRESA A ip publico 200.200.200.200 ip privado 192.168.200.1 rede privada 192.168.200.0/24 EMPRESA B ip publico 100.100.100.100 ip privado 192.168.100.1 rede privada 192.168.100.0/24 Nao consigo entender como fazer a rede 192.168.200.0/24 enchergar a rede 192.168.100.0/24 apenas com IPSEC sem vpn Sera que vc poderia demonstrar Ai não tem jeito mesmo né ? ai tem que ser com tunnel... Sem tunnel (modo transporte) é algo do tipo: Eu preciso ligar a minha maquina com a maquina do meu chefe com IPsec, na mesma rede... Abraços -- Diego Linke Public Key: http://www.gamk.com.br/gamk.asc ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Ipsec
ENTAUM eh isto que estou falando mas como disse ja ouvi falar de muitos linux kernel 2.6 que fazem isto ipsec sem tunnel... REDES se falando e ouvi falar de FreeBSd e Linux se falando assim... alguem ai ouviu algo ??? alguma experiencia Diego Linke wrote: Christopher, mas nao entendi. (a parte da cripto smi.. entre os ips publicos... ou os que se enchergam... o que nao entendi foi a parte das REDES se enchergarem. vamos simular uma situacao EMPRESA A ip publico 200.200.200.200 ip privado 192.168.200.1 rede privada 192.168.200.0/24 EMPRESA B ip publico 100.100.100.100 ip privado 192.168.100.1 rede privada 192.168.100.0/24 Nao consigo entender como fazer a rede 192.168.200.0/24 enchergar a rede 192.168.100.0/24 apenas com IPSEC sem vpn Sera que vc poderia demonstrar Ai não tem jeito mesmo né ? ai tem que ser com tunnel... Sem tunnel (modo transporte) é algo do tipo: Eu preciso ligar a minha maquina com a maquina do meu chefe com IPsec, na mesma rede... Abraços -- []´s Christopher Giese System Network Security Administrator - iRapida Telecom [EMAIL PROTECTED] - +55 44 3619 O futuro nada mais é que sonhos, projetos, esperanças que só serão possíveis se o hoje assim decidir. Nada mais temos neste mundo senão o exatamente agora. ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Ipsec
eu jah coloquei pra conversar um fbsd 5.4 e um vpn1 e rodo perfeito... o que eu fiz foi criar as regras para aplicar o ipsec no /etc/ipsec.conf(minha rede - rede do cara, meu ip - ip do vpn1, ip do vpn1 - meu ip, ip do vpn1 - minha rede, minha rede - ip vpn1), e depois configurar o racoon (fiz com o 1).. mas eu tive que desativar aggressive mode, o adm do vpn1 disse que nao habilitava isso por tinha bug de implementacao (?)... enfim, fiquei uns dois dias nisso mas funcionou... Abracos. Christopher Giese - iRapida Telecom wrote: ENTAUM eh isto que estou falando mas como disse ja ouvi falar de muitos linux kernel 2.6 que fazem isto ipsec sem tunnel... REDES se falando e ouvi falar de FreeBSd e Linux se falando assim... alguem ai ouviu algo ??? alguma experiencia Diego Linke wrote: Christopher, mas nao entendi. (a parte da cripto smi.. entre os ips publicos... ou os que se enchergam... o que nao entendi foi a parte das REDES se enchergarem. vamos simular uma situacao EMPRESA A ip publico 200.200.200.200 ip privado 192.168.200.1 rede privada 192.168.200.0/24 EMPRESA B ip publico 100.100.100.100 ip privado 192.168.100.1 rede privada 192.168.100.0/24 Nao consigo entender como fazer a rede 192.168.200.0/24 enchergar a rede 192.168.100.0/24 apenas com IPSEC sem vpn Sera que vc poderia demonstrar Ai não tem jeito mesmo né ? ai tem que ser com tunnel... Sem tunnel (modo transporte) é algo do tipo: Eu preciso ligar a minha maquina com a maquina do meu chefe com IPsec, na mesma rede... Abraços ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Ipsec
A todos q respondeam muito obrigado, funcionou beleza usando ipsec em modo tunel + gif + racoon, e minha dúvida principal era quanto as redes internas estarem com a mesma classe de rede... gw1: eth0 = Linux com modem internet eth1 = 192.168.1.2 aí tinha um dlink de um lado e de outro, operando como bridge e conectando em outro prédio e todo mundo navegando na net e acessando as redes... Tinha q tirar os dlink e conectar esta rede sem mudar os ips, só tinha orinoco (q se colocar ela em bridge com a ethernet e modo adhoc, funciona mas fica uma carroça)... criei uma rede diferente com as orinocos e levantei a vpm, fiz as rotas e pimba... funcionando q é uma beleza... Aproveitando, alguém aí já conseguiu colocar as orinocos para trabalhar como bridge??? pois no linux parece q tem jeito. Como vcs estão fazendo para medir sinal wireless no freebsd 5.x ou 6.x ou 7.x ??? Um abraço a todos... Gusmão - Original Message - From: Tiago N. Sampaio [EMAIL PROTECTED] To: Lista de discussao do grupo FUG-BR Freebsd@fug.com.br Sent: Thursday, September 29, 2005 5:33 PM Subject: Re: [FUG-BR] Ipsec eu jah coloquei pra conversar um fbsd 5.4 e um vpn1 e rodo perfeito... o que eu fiz foi criar as regras para aplicar o ipsec no /etc/ipsec.conf(minha rede - rede do cara, meu ip - ip do vpn1, ip do vpn1 - meu ip, ip do vpn1 - minha rede, minha rede - ip vpn1), e depois configurar o racoon (fiz com o 1).. mas eu tive que desativar aggressive mode, o adm do vpn1 disse que nao habilitava isso por tinha bug de implementacao (?)... enfim, fiquei uns dois dias nisso mas funcionou... Abracos. Christopher Giese - iRapida Telecom wrote: ENTAUM eh isto que estou falando mas como disse ja ouvi falar de muitos linux kernel 2.6 que fazem isto ipsec sem tunnel... REDES se falando e ouvi falar de FreeBSd e Linux se falando assim... alguem ai ouviu algo ??? alguma experiencia Diego Linke wrote: Christopher, mas nao entendi. (a parte da cripto smi.. entre os ips publicos... ou os que se enchergam... o que nao entendi foi a parte das REDES se enchergarem. vamos simular uma situacao EMPRESA A ip publico 200.200.200.200 ip privado 192.168.200.1 rede privada 192.168.200.0/24 EMPRESA B ip publico 100.100.100.100 ip privado 192.168.100.1 rede privada 192.168.100.0/24 Nao consigo entender como fazer a rede 192.168.200.0/24 enchergar a rede 192.168.100.0/24 apenas com IPSEC sem vpn Sera que vc poderia demonstrar Ai não tem jeito mesmo né ? ai tem que ser com tunnel... Sem tunnel (modo transporte) é algo do tipo: Eu preciso ligar a minha maquina com a maquina do meu chefe com IPsec, na mesma rede... Abraços ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br -- No virus found in this incoming message. Checked by AVG Anti-Virus. Version: 7.0.344 / Virus Database: 267.11.6/111 - Release Date: 23/9/2005 ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
[FUG-BR] IPSEC com IP Dinamico
Alguém conhece algum tutorial de como configurar VPNs usando ip dinamico? Att Gusmão ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Ipsec + ip dinamico
vc poderia trabalbar com FQDN+Dynamic+DNS de uma olhada em http://www.rommel.stw.uni-erlangen.de/~hshoexer/ipsec-howto/HOWTO.html On 6/15/05, Daniel S. Garcia [EMAIL PROTECTED] wrote: Já pesquisei antes de perguntar, mas nao achei nada de concreto Alguem daqui já passou por essa situação ? Obrigado ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br -- Atenciosamente, Rafael Floriano Sousa Sales -- Rafael Floriano Sousa Sales : [EMAIL PROTECTED] (Office) 55 11 4051-2204: (Mobile) 55 11 8433-2281 [System Administration][IT Consulting][Computer Sales/Repair] ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Ipsec + ip dinamico
Daniel S. Garcia escreveu: Já pesquisei antes de perguntar, mas nao achei nada de concreto Alguem daqui já passou por essa situação ? Obrigado Aqui na empresa tenho um caso parecido: - Na matriz, tenho IP fixo (link de rádio) - Na filial, IP dinâmico (Velox - PPPoE) No servidor de cada empresa eu montei um script (vamos chamar de script_filial e script_matriz), responsável por gerar toda a configuração do IPSEC, liberar o acesso no firewall, criar as rotas, etc. O esquema funciona assim: - O script_filial é executado pelo ppp sempre que a conexão com a internet é realizada (linkup). Ao ser executado, ele refaz a configuração da VPN do lado da filial, utilizando o novo IP obtido do provedor. - Em seguida, o script_filial realiza uma conexão SSH no servidor da matriz, executando o script_matriz, passando como parâmetro o novo IP da filial. Assim, a configuração da VPN do lado da matriz é refeita. Eu criei um usuário chamado VPN no servidor da matriz, e adicionei a chave do root do servidor da filial no seu authorized_keys, para não ter problema com senhas. A conexão SSH que mencionei acima é feita através desse usuário. Como é necessário privilégio root para refazer a VPN, eu utilizei o sudo, liberando apenas a execução do script_matriz ao usuário VPN. A grosso modo é isso aí. Se quiser dar uma olhada nos meus scripts, me manda um e-mail em private que eu lhe envio. Assim, vc pode adaptá-lo às suas necessidades. Até +, Gustavo ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
[FUG-BR] Ipsec + ip dinamico
Olá pessoal Tenho uma vpn usando o ipsec assim Cliente1EmpresaCliente2 Estava funcionando tudo nos trinque, só que surgiu um incoveniente o servidor Empresa passou a ter um ip dinamico, antes os 3 eram fixos, os 2 outros servidores continuam fixos Bom refiz a conf com o ip dinamico e voltou a funcionar certinho o problema é quando esse servidor reiniciar vai voltar com outro ip e consequentemente vai parar a vpn Alguem tem alguma soluçao para isso ? ps:O cliente1 e cliente2 nao se enxergam por segurança, apenas eu acesso os dois Obrigado ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Ipsec + ip dinamico
Tenta usar o no-ip (www.no-ip.org ou .com) .. Acho que deve funcionar tambem. _ Fabio Rogerio - Original Message - From: irado [EMAIL PROTECTED] To: freebsd@fug.com.br Sent: Tuesday, June 14, 2005 11:54 AM Subject: Re: [FUG-BR] Ipsec + ip dinamico Em Tue, 14 Jun 2005 11:02:32 -0300 Daniel S. Garcia [EMAIL PROTECTED] escreveu: Bom refiz a conf com o ip dinamico e voltou a funcionar certinho o problema é quando esse servidor reiniciar vai voltar com outro ip e consequentemente vai parar a vpn Alguem tem alguma soluçao para isso ? não é própriamente uma solução, porém acho que ajuda se vc der uma vista d'olhos em /usr/share/doc/articles/dialup-firewall vai ter idéia de como fazer isso funcionar. no google também pode-se encontrar um monte de coisas - talvez nem tudo aplicável, mas sempre pode surgir uma idéia, não? http://www.google.com/bsd?hl=enlr=q=ipsec+dynamic+ipbtnG=Search divirta-se flames /dev/null --- saudações, Irado Furioso com Tudo Deus e o Diabo oferecem a mesma mercadoria: a felicidade. A diferença é que Deus cobra adiantado. [Anônimo] ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Ipsec + ip dinamico
Já pesquisei antes de perguntar, mas nao achei nada de concreto Alguem daqui já passou por essa situação ? Não estaria perguntado por perguntar Obrigado ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
[FUG-BR] Ipsec + Racoon + Ipfw
Olá todos, Como fazer um firewall que só permita conexões ssh/telnet para logar nos gateways, libere minha rede interna para passar pela vpm usando ipsec + racoon e negar todo o tráfego que não seja oriundo de uma das redes internas que passam pela vpn??? tipo liberar 22 liberar 21 liberar tráfego vpn ipsec+racoon das redes 172.16.1.0 e 192.168.1.0 liberar tráfego vpn ipsec+racoon das redes 192.168.1.0 e 172.16.1.0 limita banda de no máximo 1MB para vpn Att R.PG ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] IPSEC mensagem estranha
provavelmente voce precisa disso no kernel... options ADAPTIVE_GIANT Sem mais, - Original Message - From: freebsd [EMAIL PROTECTED] To: freebsd@fug.com.br Sent: Saturday, March 05, 2005 6:57 PM Subject: [FUG-BR] IPSEC mensagem estranha caros amigos apos compilar as opções do ipsec no boot do freebsd 5.3 stable ele da estas mensagens vcs saberiam me dizer do que se trata WARNING: debug.mpsafenet forced to 0 as ipsec requires Giant WARNING: MPSAFE network stack disabled, expect reduced performance. att diogo rodrigo ___ Para enviar um novo email para a lista: freebsd@fug.com.br Sair da Lista: http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br Historico: http://www4.fugspbr.org/lista/html/FUG-BR/ ___ Para enviar um novo email para a lista: freebsd@fug.com.br Sair da Lista: http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
Re: [FUG-BR] IPSEC mensagem estranha
abilitei e recompilei o kernel e nada mudou a mensagem continua mais alguma sugestção e um freebsd 5.3 stable att Diogo Rodrigo - Original Message - From: GrayFox [EMAIL PROTECTED] To: freebsd@fug.com.br Sent: Sunday, March 06, 2005 4:27 PM Subject: Re: [FUG-BR] IPSEC mensagem estranha provavelmente voce precisa disso no kernel... options ADAPTIVE_GIANT Sem mais, - Original Message - From: freebsd [EMAIL PROTECTED] To: freebsd@fug.com.br Sent: Saturday, March 05, 2005 6:57 PM Subject: [FUG-BR] IPSEC mensagem estranha caros amigos apos compilar as opções do ipsec no boot do freebsd 5.3 stable ele da estas mensagens vcs saberiam me dizer do que se trata WARNING: debug.mpsafenet forced to 0 as ipsec requires Giant WARNING: MPSAFE network stack disabled, expect reduced performance. att diogo rodrigo ___ Para enviar um novo email para a lista: freebsd@fug.com.br Sair da Lista: http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br Historico: http://www4.fugspbr.org/lista/html/FUG-BR/ ___ Para enviar um novo email para a lista: freebsd@fug.com.br Sair da Lista: http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br Historico: http://www4.fugspbr.org/lista/html/FUG-BR/ Esta mensagem foi verificada pelo E-mail Protegido Terra. Scan engine: McAfee VirusScan / Atualizado em 04/03/2005 / Versão: 4.4.00 - Dat 4440 Proteja o seu e-mail Terra: http://www.emailprotegido.terra.com.br/ -- No virus found in this incoming message. Checked by AVG Anti-Virus. Version: 7.0.308 / Virus Database: 266.6.2 - Release Date: 4/3/2005 ___ Para enviar um novo email para a lista: freebsd@fug.com.br Sair da Lista: http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
[FUG-BR] IPSEC mensagem estranha
caros amigos apos compilar as opções do ipsec no boot do freebsd 5.3 stable ele da estas mensagens vcs saberiam me dizer do que se trata WARNING: debug.mpsafenet forced to 0 as ipsec requires Giant WARNING: MPSAFE network stack disabled, expect reduced performance. att diogo rodrigo ___ Para enviar um novo email para a lista: freebsd@fug.com.br Sair da Lista: http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
