[FUG-BR] Grafico Conexões estabelecidas
Pessoal, bom dia. Tentei fazer aqui, mas não está dando muito certo, um gráfico com MRTG, da quantidade de conexões TCP estabelecidas em uma determinada porta. A situação é a seguinte, exitem 3 placas de rede no firewall, a da rede interna, e duas externas. Com o pfctl ss consigo a quantidade de conexões, se eu rodar o comando na mão, ai fiz um script bem simples para coletar os dados. Após isso criei o arquivo cfg do mrtg, quando executo o mrtg nesse arquivo, ele coleta os dados e imprime os valores corretos no arquivo .log, mas depois de algumas execuções pela cron, o arquivo .log do mrtg começa a ser alimentado com zeros. Alguém possui alguma coisa parecida funcionando e que possa contribuir pra que eu consiga gerar esse gráfico e acompanhar a quantidade de conexões estabelecidas sem ter que conectar no firewall e verificar manualmente? Existe alguma ferramenta que facilite essa visualização? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] VPN IPSEC [racoon ou strongswan]
Em 8 de agosto de 2012 14:47, Saul Figueiredo saulfelip...@gmail.comescreveu: Boa tarde. Estou tentando fechar uma vpn ipsec entre um router e um FreeBSD 8.2. Já tentei com o strongswan e com o raccon mas não funciona de jeito nenhum com os dois. Duvidando que seria as configurações, peguei a conf do strongswan e coloquei em um servidor CentOS [Linux] que tem o OpenSwan Instalado, apenas me atentando de mudar os ips externos e a faixa de rede. RESULTADO: Funcionou no Openswan. A VPN fechou e consegui pingar nas duas pontas. Para usar o StrongSwan e o Racoon tive que compilar o kernel com essas opções: options IPSEC options IPSEC_DEBUG options IPSEC_NAT_T options IPSEC_FILTERTUNNEL #optionsIPSEC_ESP Com o mesmo router e o mesmo conf funciona no Linux. O que estaria errado ? Valeu!!! -- Deve-se aprender sempre, até mesmo com um inimigo. (Isaac Newton) Atenciosamente, Saul Figueiredo Analista FreeBSD/Linux Linux Professional Institute Certification Level 2 saulfelip...@gmail.com saul-fel...@hotmail.com Quando o cliente router tenta conectar no meu servidor racoon dá esse erro: 2012-08-08 17:02:23: ERROR: no suitable proposal found. 2012-08-08 17:02:23: [177.xx8.1xx.173] ERROR: failed to get valid proposal. 2012-08-08 17:02:23: [177.xx8.1xx.173] ERROR: failed to pre-process ph1 packet (side: 1, status 1). 2012-08-08 17:02:23: [177.xx8.1xx.173] ERROR: phase1 negotiation failed. Quebrando a cabeça com isso viu... -- Deve-se aprender sempre, até mesmo com um inimigo. (Isaac Newton) Atenciosamente, Saul Figueiredo Analista FreeBSD/Linux Linux Professional Institute Certification Level 2 saulfelip...@gmail.com saul-fel...@hotmail.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] VPN IPSEC [racoon ou strongswan]
Em 9 de agosto de 2012 10:59, Saul Figueiredo saulfelip...@gmail.comescreveu: Em 8 de agosto de 2012 14:47, Saul Figueiredo saulfelip...@gmail.comescreveu: Boa tarde. Estou tentando fechar uma vpn ipsec entre um router e um FreeBSD 8.2. Já tentei com o strongswan e com o raccon mas não funciona de jeito nenhum com os dois. Duvidando que seria as configurações, peguei a conf do strongswan e coloquei em um servidor CentOS [Linux] que tem o OpenSwan Instalado, apenas me atentando de mudar os ips externos e a faixa de rede. RESULTADO: Funcionou no Openswan. A VPN fechou e consegui pingar nas duas pontas. Para usar o StrongSwan e o Racoon tive que compilar o kernel com essas opções: options IPSEC options IPSEC_DEBUG options IPSEC_NAT_T options IPSEC_FILTERTUNNEL #optionsIPSEC_ESP Com o mesmo router e o mesmo conf funciona no Linux. O que estaria errado ? Valeu!!! -- Deve-se aprender sempre, até mesmo com um inimigo. (Isaac Newton) Atenciosamente, Saul Figueiredo Analista FreeBSD/Linux Linux Professional Institute Certification Level 2 saulfelip...@gmail.com saul-fel...@hotmail.com Quando o cliente router tenta conectar no meu servidor racoon dá esse erro: 2012-08-08 17:02:23: ERROR: no suitable proposal found. 2012-08-08 17:02:23: [177.xx8.1xx.173] ERROR: failed to get valid proposal. 2012-08-08 17:02:23: [177.xx8.1xx.173] ERROR: failed to pre-process ph1 packet (side: 1, status 1). 2012-08-08 17:02:23: [177.xx8.1xx.173] ERROR: phase1 negotiation failed. Quebrando a cabeça com isso viu... -- Deve-se aprender sempre, até mesmo com um inimigo. (Isaac Newton) Atenciosamente, Saul Figueiredo Analista FreeBSD/Linux Linux Professional Institute Certification Level 2 saulfelip...@gmail.com saul-fel...@hotmail.com Novo erro agora: ERROR: exchange Identity Protection not allowed in any applicable rmconf -- Deve-se aprender sempre, até mesmo com um inimigo. (Isaac Newton) Atenciosamente, Saul Figueiredo Analista FreeBSD/Linux Linux Professional Institute Certification Level 2 saulfelip...@gmail.com saul-fel...@hotmail.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Freebsd 9.x + Lusca + tproxy
Alguém que utilize tproxy poderia me informar qual seria o equivalente no freebsd a estes comandos que uso no linux? ip rule add fwmark 1 lookup 100 ip route add local 0.0.0.0/0 dev lo table 100 $IPTABLES -X $IPTABLES -F $IPTABLES -t mangle -F $IPTABLES -t mangle -N DIVERT $IPTABLES -t mangle -A DIVERT -j MARK --set-mark 1 $IPTABLES -t mangle -A DIVERT -j ACCEPT $IPTABLES -t mangle -A PREROUTING -p tcp -m socket -j DIVERT $IPTABLES -t mangle -A PREROUTING -p tcp --dport 80 -j TPROXY --on-port 3128 --tproxy-mark 0x1/0x1 Em 8 de agosto de 2012 16:28, Luiz Gustavo S. Costa luizgust...@luizgustavo.pro.br escreveu: acho que o erro ta ai, você ta fazendo NAT do pacote na porta 80, tá alterando o head do pacote. Você tem que mudar o gateway do pacote, em linux acho que tem que fazer um monte de xunxu, iproute, etc.. não sei ao certo como fazer isso no linux. de forma que o pacote chegue no cache como se fosse o gateway padrão daquela conexão. Dessa forma, você consegue fazer o tproxy atuar. Em 8 de agosto de 2012 16:17, Tiago syt...@gmail.com escreveu: Luiz, o meu cenário é o seguinte: Depois de autenticado no pppoeserver, eu redireciono nessa máquina com uma regra do tipo: iptables -t nat -A PREROUTING -i ppp425 -s 189.x.x.x/32 -p tcp --dport 80 -j DNAT --to-destination 177.x.x.x:3129 Sendo que se nessa máquina(pppoeserver) eu tenho um default gateway que aponta para o meu roteador de borda. Ou seja, toda conexão para porta 80 está indo para o lusca e toda conexão para outras portas seguem para o default gateway direto. Basicamente é isso que está acontecendo, quando eu seto manualmente o proxy no navegador 177.x.x.x:3128 funciona, e se eu usar http_port 3129 transparent vai funcionar também. Exceto quando uso o http_port 3129 tproxy Em 8 de agosto de 2012 15:33, Luiz Gustavo S. Costa luizgust...@luizgustavo.pro.br escreveu: Em 8 de agosto de 2012 15:26, Tiago syt...@gmail.com escreveu: Pessoal, acerca desse problema... confirmo que com a opção transparent está funcionando. No entanto, tproxy ainda não. Será que não está faltando habilitar algum recurso? Alguma idéia? como você ta capturando os pacotes no freebsd ? é interessante mudar o gateway das conexões destino porta 80 para o freebsd com tproxy e no tproxy, desviar via fwd do ipfw se fizer redir via porta no roteador, pode ser que altere o cabeçalho do pacote observe isso -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] VPN IPSEC [racoon ou strongswan]
Em 9 de agosto de 2012 12:13, Saul Figueiredo saulfelip...@gmail.comescreveu: Em 9 de agosto de 2012 10:59, Saul Figueiredo saulfelip...@gmail.comescreveu: Em 8 de agosto de 2012 14:47, Saul Figueiredo saulfelip...@gmail.comescreveu: Boa tarde. Estou tentando fechar uma vpn ipsec entre um router e um FreeBSD 8.2. Já tentei com o strongswan e com o raccon mas não funciona de jeito nenhum com os dois. Duvidando que seria as configurações, peguei a conf do strongswan e coloquei em um servidor CentOS [Linux] que tem o OpenSwan Instalado, apenas me atentando de mudar os ips externos e a faixa de rede. RESULTADO: Funcionou no Openswan. A VPN fechou e consegui pingar nas duas pontas. Para usar o StrongSwan e o Racoon tive que compilar o kernel com essas opções: options IPSEC options IPSEC_DEBUG options IPSEC_NAT_T options IPSEC_FILTERTUNNEL #optionsIPSEC_ESP Com o mesmo router e o mesmo conf funciona no Linux. O que estaria errado ? Valeu!!! -- Deve-se aprender sempre, até mesmo com um inimigo. (Isaac Newton) Atenciosamente, Saul Figueiredo Analista FreeBSD/Linux Linux Professional Institute Certification Level 2 saulfelip...@gmail.com saul-fel...@hotmail.com Quando o cliente router tenta conectar no meu servidor racoon dá esse erro: 2012-08-08 17:02:23: ERROR: no suitable proposal found. 2012-08-08 17:02:23: [177.xx8.1xx.173] ERROR: failed to get valid proposal. 2012-08-08 17:02:23: [177.xx8.1xx.173] ERROR: failed to pre-process ph1 packet (side: 1, status 1). 2012-08-08 17:02:23: [177.xx8.1xx.173] ERROR: phase1 negotiation failed. Quebrando a cabeça com isso viu... -- Deve-se aprender sempre, até mesmo com um inimigo. (Isaac Newton) Atenciosamente, Saul Figueiredo Analista FreeBSD/Linux Linux Professional Institute Certification Level 2 saulfelip...@gmail.com saul-fel...@hotmail.com Novo erro agora: ERROR: exchange Identity Protection not allowed in any applicable rmconf -- Deve-se aprender sempre, até mesmo com um inimigo. (Isaac Newton) Atenciosamente, Saul Figueiredo Analista FreeBSD/Linux Linux Professional Institute Certification Level 2 saulfelip...@gmail.com saul-fel...@hotmail.com Agora o tunel fechou, mas as redes não se comunicam :( IP 187.xxx.xxx.44 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xb4), length 92 IP 187.xxx.xxx.44 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xb5), length 92 IP 187.xxx.xxx.44 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xb6), length 92 IP 187.xxx.xxx.44.500 187.xxx.xxx.30.500: UDP, length 92 IP 187.xxx.xxx.30.500 187.xxx.xxx.44.500: UDP, length 92 IP 187.xxx.xxx.30.500 187.xxx.xxx.44.500: UDP, length 92 IP 187.xxx.xxx.44 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xb7), length 92 IP 187.xxx.xxx.44.500 187.xxx.xxx.30.500: UDP, length 92 IP 187.xxx.xxx.44 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xb8), length 92 IP 187.xxx.xxx.44 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xb9), length 92 IP 187.xxx.xxx.44.500 187.xxx.xxx.30.500: UDP, length 92 IP 187.xxx.xxx.30.500 187.xxx.xxx.44.500: UDP, length 92 IP 187.xxx.xxx.44 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xba), length 92 IP 187.xxx.xxx.30.500 187.xxx.xxx.44.500: UDP, length 92 IP 187.xxx.xxx.44 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xbb), length 92 IP 187.xxx.xxx.44.500 187.xxx.xxx.30.500: UDP, length 92 IP 187.xxx.xxx.44 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xbc), length 92 IP 187.xxx.xxx.44 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xbd), length 92 e no ipfw a policy está allow -- Deve-se aprender sempre, até mesmo com um inimigo. (Isaac Newton) Atenciosamente, Saul Figueiredo Analista FreeBSD/Linux Linux Professional Institute Certification Level 2 saulfelip...@gmail.com saul-fel...@hotmail.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] VPN IPSEC [racoon ou strongswan]
Em 9 de agosto de 2012 15:37, Saul Figueiredo saulfelip...@gmail.comescreveu: Em 9 de agosto de 2012 12:13, Saul Figueiredo saulfelip...@gmail.comescreveu: Em 9 de agosto de 2012 10:59, Saul Figueiredo saulfelip...@gmail.comescreveu: Em 8 de agosto de 2012 14:47, Saul Figueiredo saulfelip...@gmail.comescreveu: Boa tarde. Estou tentando fechar uma vpn ipsec entre um router e um FreeBSD 8.2. Já tentei com o strongswan e com o raccon mas não funciona de jeito nenhum com os dois. Duvidando que seria as configurações, peguei a conf do strongswan e coloquei em um servidor CentOS [Linux] que tem o OpenSwan Instalado, apenas me atentando de mudar os ips externos e a faixa de rede. RESULTADO: Funcionou no Openswan. A VPN fechou e consegui pingar nas duas pontas. Para usar o StrongSwan e o Racoon tive que compilar o kernel com essas opções: options IPSEC options IPSEC_DEBUG options IPSEC_NAT_T options IPSEC_FILTERTUNNEL #optionsIPSEC_ESP Com o mesmo router e o mesmo conf funciona no Linux. O que estaria errado ? Valeu!!! -- Deve-se aprender sempre, até mesmo com um inimigo. (Isaac Newton) Atenciosamente, Saul Figueiredo Analista FreeBSD/Linux Linux Professional Institute Certification Level 2 saulfelip...@gmail.com saul-fel...@hotmail.com Quando o cliente router tenta conectar no meu servidor racoon dá esse erro: 2012-08-08 17:02:23: ERROR: no suitable proposal found. 2012-08-08 17:02:23: [177.xx8.1xx.173] ERROR: failed to get valid proposal. 2012-08-08 17:02:23: [177.xx8.1xx.173] ERROR: failed to pre-process ph1 packet (side: 1, status 1). 2012-08-08 17:02:23: [177.xx8.1xx.173] ERROR: phase1 negotiation failed. Quebrando a cabeça com isso viu... -- Deve-se aprender sempre, até mesmo com um inimigo. (Isaac Newton) Atenciosamente, Saul Figueiredo Analista FreeBSD/Linux Linux Professional Institute Certification Level 2 saulfelip...@gmail.com saul-fel...@hotmail.com Novo erro agora: ERROR: exchange Identity Protection not allowed in any applicable rmconf -- Deve-se aprender sempre, até mesmo com um inimigo. (Isaac Newton) Atenciosamente, Saul Figueiredo Analista FreeBSD/Linux Linux Professional Institute Certification Level 2 saulfelip...@gmail.com saul-fel...@hotmail.com Agora o tunel fechou, mas as redes não se comunicam :( IP 187.xxx.xxx.44 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xb4), length 92 IP 187.xxx.xxx.44 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xb5), length 92 IP 187.xxx.xxx.44 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xb6), length 92 IP 187.xxx.xxx.44.500 187.xxx.xxx.30.500: UDP, length 92 IP 187.xxx.xxx.30.500 187.xxx.xxx.44.500: UDP, length 92 IP 187.xxx.xxx.30.500 187.xxx.xxx.44.500: UDP, length 92 IP 187.xxx.xxx.44 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xb7), length 92 IP 187.xxx.xxx.44.500 187.xxx.xxx.30.500: UDP, length 92 IP 187.xxx.xxx.44 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xb8), length 92 IP 187.xxx.xxx.44 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xb9), length 92 IP 187.xxx.xxx.44.500 187.xxx.xxx.30.500: UDP, length 92 IP 187.xxx.xxx.30.500 187.xxx.xxx.44.500: UDP, length 92 IP 187.xxx.xxx.44 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xba), length 92 IP 187.xxx.xxx.30.500 187.xxx.xxx.44.500: UDP, length 92 IP 187.xxx.xxx.44 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xbb), length 92 IP 187.xxx.xxx.44.500 187.xxx.xxx.30.500: UDP, length 92 IP 187.xxx.xxx.44 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xbc), length 92 IP 187.xxx.xxx.44 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xbd), length 92 e no ipfw a policy está allow -- Deve-se aprender sempre, até mesmo com um inimigo. (Isaac Newton) Atenciosamente, Saul Figueiredo Analista FreeBSD/Linux Linux Professional Institute Certification Level 2 saulfelip...@gmail.com saul-fel...@hotmail.com no log do racoon: 2012-08-09 15:56:29: DEBUG: suitable outbound SP found: 192.168.1.0/24[0] 192.168.70.0/24[0] proto=any dir=out. 2012-08-09 15:56:29: DEBUG: sub:0xbfbfe594: 192.168.70.0/24[0] 192.168.1.0/24[0] proto=any dir=in 2012-08-09 15:56:29: DEBUG: db :0x28547148: 192.168.70.0/24[0] 192.168.1.0/24[0] proto=any dir=in 2012-08-09 15:56:29: DEBUG: suitable inbound SP found: 192.168.70.0/24[0] 192.168.1.0/24[0] proto=any dir=in. 2012-08-09 15:56:29: DEBUG: new acquire 192.168.1.0/24[0] 192.168.70.0/24[0]proto=any dir=out 2012-08-09 15:56:29: [187.xxx.xxx.44] DEBUG2: Checking remote conf anonymous anonymous. 2012-08-09 15:56:29: DEBUG2: enumrmconf: anonymous matches. 2012-08-09 15:56:29: [187.xxx.xxx.44] DEBUG: configuration anonymous selected. 2012-08-09 15:56:29: DEBUG: getsainfo params: loc='192.168.1.0/24' rmt=' 192.168.70.0/24' peer='NULL' client='NULL' id=0 2012-08-09 15:56:29: DEBUG: evaluating sainfo: loc='ANONYMOUS', rmt='ANONYMOUS', peer='ANY', id=0 2012-08-09 15:56:29: DEBUG: check and compare ids : values matched (ANONYMOUS) 2012-08-09
Re: [FUG-BR] Freebsd 9.x + Lusca + tproxy
Em 9 de agosto de 2012 15:26, Tiago syt...@gmail.com escreveu: Alguém que utilize tproxy poderia me informar qual seria o equivalente no freebsd a estes comandos que uso no linux? ip rule add fwmark 1 lookup 100 ip route add local 0.0.0.0/0 dev lo table 100 $IPTABLES -X $IPTABLES -F $IPTABLES -t mangle -F $IPTABLES -t mangle -N DIVERT $IPTABLES -t mangle -A DIVERT -j MARK --set-mark 1 $IPTABLES -t mangle -A DIVERT -j ACCEPT $IPTABLES -t mangle -A PREROUTING -p tcp -m socket -j DIVERT $IPTABLES -t mangle -A PREROUTING -p tcp --dport 80 -j TPROXY --on-port 3128 --tproxy-mark 0x1/0x1 ipfw add fwd 127.0.0.1,3128 tcp from any to any 80 via em0 ipfw add fwd 127.0.0.1 tcp from any 80 to any via em0 se for um nat, você tem que tratar o desvio (para o cache) e a volta do cache no gateway (que faz o desvio e o nat) -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] FreeNAS ou NAS4Free
Pessoal, Vocês conhecem alguma lista de discussão sobre essas distribuições, baseadas em FreeBSD? Alguém conhece essas plataformas? Utilizam em conjunto com o XenServer para exportar volumes por iSCSI? Como fazem para fazer backup, exportar, mover um volume de uma caixa para outra? Enfim, gostaria de saber casos de sucesso e também de problemas. Obrigado, -- Eduardo Schoedler - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] VPN IPSEC [racoon ou strongswan]
Em 9 de agosto de 2012 15:58, Saul Figueiredo saulfelip...@gmail.comescreveu: Em 9 de agosto de 2012 15:37, Saul Figueiredo saulfelip...@gmail.comescreveu: Em 9 de agosto de 2012 12:13, Saul Figueiredo saulfelip...@gmail.comescreveu: Em 9 de agosto de 2012 10:59, Saul Figueiredo saulfelip...@gmail.comescreveu: Em 8 de agosto de 2012 14:47, Saul Figueiredo saulfelip...@gmail.comescreveu: Boa tarde. Estou tentando fechar uma vpn ipsec entre um router e um FreeBSD 8.2. Já tentei com o strongswan e com o raccon mas não funciona de jeito nenhum com os dois. Duvidando que seria as configurações, peguei a conf do strongswan e coloquei em um servidor CentOS [Linux] que tem o OpenSwan Instalado, apenas me atentando de mudar os ips externos e a faixa de rede. RESULTADO: Funcionou no Openswan. A VPN fechou e consegui pingar nas duas pontas. Para usar o StrongSwan e o Racoon tive que compilar o kernel com essas opções: options IPSEC options IPSEC_DEBUG options IPSEC_NAT_T options IPSEC_FILTERTUNNEL #optionsIPSEC_ESP Com o mesmo router e o mesmo conf funciona no Linux. O que estaria errado ? Valeu!!! -- Deve-se aprender sempre, até mesmo com um inimigo. (Isaac Newton) Atenciosamente, Saul Figueiredo Analista FreeBSD/Linux Linux Professional Institute Certification Level 2 saulfelip...@gmail.com saul-fel...@hotmail.com Quando o cliente router tenta conectar no meu servidor racoon dá esse erro: 2012-08-08 17:02:23: ERROR: no suitable proposal found. 2012-08-08 17:02:23: [177.xx8.1xx.173] ERROR: failed to get valid proposal. 2012-08-08 17:02:23: [177.xx8.1xx.173] ERROR: failed to pre-process ph1 packet (side: 1, status 1). 2012-08-08 17:02:23: [177.xx8.1xx.173] ERROR: phase1 negotiation failed. Quebrando a cabeça com isso viu... -- Deve-se aprender sempre, até mesmo com um inimigo. (Isaac Newton) Atenciosamente, Saul Figueiredo Analista FreeBSD/Linux Linux Professional Institute Certification Level 2 saulfelip...@gmail.com saul-fel...@hotmail.com Novo erro agora: ERROR: exchange Identity Protection not allowed in any applicable rmconf -- Deve-se aprender sempre, até mesmo com um inimigo. (Isaac Newton) Atenciosamente, Saul Figueiredo Analista FreeBSD/Linux Linux Professional Institute Certification Level 2 saulfelip...@gmail.com saul-fel...@hotmail.com Agora o tunel fechou, mas as redes não se comunicam :( IP 187.xxx.xxx.44 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xb4), length 92 IP 187.xxx.xxx.44 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xb5), length 92 IP 187.xxx.xxx.44 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xb6), length 92 IP 187.xxx.xxx.44.500 187.xxx.xxx.30.500: UDP, length 92 IP 187.xxx.xxx.30.500 187.xxx.xxx.44.500: UDP, length 92 IP 187.xxx.xxx.30.500 187.xxx.xxx.44.500: UDP, length 92 IP 187.xxx.xxx.44 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xb7), length 92 IP 187.xxx.xxx.44.500 187.xxx.xxx.30.500: UDP, length 92 IP 187.xxx.xxx.44 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xb8), length 92 IP 187.xxx.xxx.44 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xb9), length 92 IP 187.xxx.xxx.44.500 187.xxx.xxx.30.500: UDP, length 92 IP 187.xxx.xxx.30.500 187.xxx.xxx.44.500: UDP, length 92 IP 187.xxx.xxx.44 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xba), length 92 IP 187.xxx.xxx.30.500 187.xxx.xxx.44.500: UDP, length 92 IP 187.xxx.xxx.44 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xbb), length 92 IP 187.xxx.xxx.44.500 187.xxx.xxx.30.500: UDP, length 92 IP 187.xxx.xxx.44 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xbc), length 92 IP 187.xxx.xxx.44 187.xxx.xxx.30: ESP(spi=0x03eaec0f,seq=0xbd), length 92 e no ipfw a policy está allow -- Deve-se aprender sempre, até mesmo com um inimigo. (Isaac Newton) Atenciosamente, Saul Figueiredo Analista FreeBSD/Linux Linux Professional Institute Certification Level 2 saulfelip...@gmail.com saul-fel...@hotmail.com no log do racoon: 2012-08-09 15:56:29: DEBUG: suitable outbound SP found: 192.168.1.0/24[0]http://192.168.1.0/24%5B0%5D 192.168.70.0/24[0] http://192.168.70.0/24%5B0%5D proto=any dir=out. 2012-08-09 15:56:29: DEBUG: sub:0xbfbfe594: 192.168.70.0/24[0]http://192.168.70.0/24%5B0%5D 192.168.1.0/24[0] http://192.168.1.0/24%5B0%5D proto=any dir=in 2012-08-09 15:56:29: DEBUG: db :0x28547148: 192.168.70.0/24[0]http://192.168.70.0/24%5B0%5D 192.168.1.0/24[0] http://192.168.1.0/24%5B0%5D proto=any dir=in 2012-08-09 15:56:29: DEBUG: suitable inbound SP found: 192.168.70.0/24[0]http://192.168.70.0/24%5B0%5D 192.168.1.0/24[0] http://192.168.1.0/24%5B0%5D proto=any dir=in. 2012-08-09 15:56:29: DEBUG: new acquire 192.168.1.0/24[0]http://192.168.1.0/24%5B0%5D 192.168.70.0/24[0] http://192.168.70.0/24%5B0%5D proto=any dir=out 2012-08-09 15:56:29: [187.xxx.xxx.44] DEBUG2: Checking remote conf anonymous anonymous. 2012-08-09 15:56:29: DEBUG2: enumrmconf:
Re: [FUG-BR] Freebsd 9.x + Lusca + tproxy
Luiz, [root@cachebsd30 ]# ipfw add fwd 127.0.0.1,3129 tcp from any to any 80 via em0 ipfw: getsockopt(IP_FW_ADD): Invalid argument Você diz o desvio /volta no roteador de borda linux, ou na origem(no meu caso o pppoe server)? 2012/8/9 Luiz Gustavo S. Costa luizgust...@luizgustavo.pro.br: Em 9 de agosto de 2012 15:26, Tiago syt...@gmail.com escreveu: Alguém que utilize tproxy poderia me informar qual seria o equivalente no freebsd a estes comandos que uso no linux? ip rule add fwmark 1 lookup 100 ip route add local 0.0.0.0/0 dev lo table 100 $IPTABLES -X $IPTABLES -F $IPTABLES -t mangle -F $IPTABLES -t mangle -N DIVERT $IPTABLES -t mangle -A DIVERT -j MARK --set-mark 1 $IPTABLES -t mangle -A DIVERT -j ACCEPT $IPTABLES -t mangle -A PREROUTING -p tcp -m socket -j DIVERT $IPTABLES -t mangle -A PREROUTING -p tcp --dport 80 -j TPROXY --on-port 3128 --tproxy-mark 0x1/0x1 ipfw add fwd 127.0.0.1,3128 tcp from any to any 80 via em0 ipfw add fwd 127.0.0.1 tcp from any 80 to any via em0 se for um nat, você tem que tratar o desvio (para o cache) e a volta do cache no gateway (que faz o desvio e o nat) -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] jail com vimage carregando no boot
Pessoal, Como muitos aqui sabem o vimage é a virtualização da interface de rede nas jails, sendo que carregar a jail usando o vimage e subir os serviços dentro da jail é um pouco ruim e ainda não é contemplado pelo script /etc/rc.d/jail. Achei umas coisas na Internet e montei um artigo que espero que seja útil pra alguém. :) http://www.bsdinfo.com.br/2012/08/09/jail-com-vimage-carregando-automaticamente-no-boot/ A única coisa estranha que encontrei foram os panics sempre que eu dava um stop nas jails. Mas acredito que ainda saia alguma correção pra isso. rsrsrs Grande abraço à todos, Gondim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
