Buenas se me ocurren varias cositas, voy respondiendo abajo de cada punto
Gustavo Cortez escribió:
> Hola!
>
> En mi caso que estamos usando Isakmp para el intercambio de claves, su
> archivo de configuración no nos permite usar nombres de dominio, solo IP.
>
Que implementacion de isakmp estas usando, en un cliente tenemos linux
con openswan usando isakmp con IKE para intercambio de claves y anda
bien con ips o dominios, lo que si no permite es indicar %any (cualquier
ip/dominio) en caso de que tengas mas de 1 vpn. Tenemos el servidor de
casa central con linux y 8 vpns con routers planet (no me acuerdo los
modelos) con ips dinamicas. (mas abajo explico como actualizar cuando
cambian las IPs).
> También necesitamos reglas en el PF (el iptables de openbsd) que trabajen
> con esos nombres de dominio, y la gran limitación de esto es que hay que
> recargar el PF de forma más o menos regular (por si el proveedor me cambia
>
Para solucionar este problemita lo que hicimos nosotros es directamente
habilitar el puerto que usa ipsec con isakmp (500 udp) y el protocolo
esp (50) para el encapsulado y listo, en iptables seria asi (en openbsd
supongo algo similar, iptables es un fork gnu de ipfilter de bsd):
iptables -A INPUT -p udp --sport 500 --dport 500 -j ACCEPT
iptables -A OUTPUT -p udp --sport 500 --dport 500 -j ACCEPT
iptables -A INPUT -p 50 -j ACCEPT
iptables -A OUTPUT -p 50 -j ACCEPT
nos despreocupamos de actualizar cada tanto las reglas, eso si, si
usamos claves le ponemos una larga con caracteres especiales y numeros
cosa que sea dificil romperla, y le ponemos un lifetime de 3 horas a lo
sumo. En el caso de usar llaves usamos por lo menos de 2048 bits y
tambien que expiren a la hora cuanto mucho.
> la IP), en cambio en el archivo de configuración de isakmp, tenemos que
> armar un script que se ejecute regularmente también y que verifique
> cambios de IP, si es así, tiene que reiniciar el daemon isakmpd para
> cargar la nueva IP. En fin, un lio... me sumo a la duda de Maxi y agrego
> algo más... hay alguna solución más automatizada para esto?
>
En este punto lo que hicimos fue un pequeño script que chequea una a una
las VPNs a ver si estan vivas, en caso de que no haya conexion la
reinicia pero solo a la vpn, no todo el servicio, pj:
check_vpnxxx=`/usr/sbin/ipsec auto --status | /bin/grep "(IPsec SA
established)" | /bin/grep Tuc-xxx.com 2>/dev/null`
if [ -z "$check_vpnxxx" ]; then
/bin/echo "tunel vpn Tucuman-xxx muerto"
/usr/sbin/ipsec auto --down Tuc-xxx.com 2>/dev/null
/usr/sbin/ipsec auto --delete Tuc-xxx.com 2>/dev/null
/usr/sbin/ipsec auto --add Tuc-xxx.com 2>/dev/null
/bin/echo "tunel vpn Tucuman-xxx reinicializado, esperando conexion..."
/bin/echo ""
else
testvpn1=`/usr/sbin/fping -a 192.168.21.3 2>/dev/null`
/bin/sleep 1
testvpn2=`/usr/sbin/fping -a 192.168.21.3 2>/dev/null`
/bin/sleep 1
testvpn3=`/usr/sbin/fping -a 192.168.21.3 2>/dev/null`
valorvpn=$testvpn1$testvpn2$testvpn3
if [ -z "$valorvpn" ]; then
/bin/echo "tunel vpn Tucuman-xxx muerto"
/usr/sbin/ipsec auto --down Tuc-xxx.com 2>/dev/null
/usr/sbin/ipsec auto --delete Tuc-xxx.com 2>/dev/null
/usr/sbin/ipsec auto --add Tuc-xxx.com 2>/dev/null
/bin/echo "tunel vpn Tucuman-xxx reinicializado, esperando conexion..."
/bin/echo ""
else
/bin/echo "tunel vpn Tucuman-xxx OK!"
/bin/echo ""
fi
/bin/sleep 1
fi
Primero chequea que este establecida la asociacion de seguridad (SA), si
no esta establecida reinicio el tunel, si esta establecida tiro tres
pings a algun host que este del otro lado de la vpn, si responde todo
OK, sino reinicio el tunel. Esto lo ponemos que se ejecute cada 5
minutos en cron, practicamente nunca tuvimos que intervenir a mano para
levantar una vpn, se caian cuando cambiaba alguna ip, pero al rato se
levantaban solas.
Bueno eso es todo, espero te sirva algo, saludos.
> Saludos!
>
> El Mar, 7 de Octubre de 2008, 9:59 pm, Maxi Iosa - Lug Tucuman escribió:
>
>> Gente yo andaba buscando ayuda tambien con el tema de una VPN a traves de
>> unos "Wireless VPN Firewall Router" Marca Planet Modelo: VRT-401G
>> Pero tengo una pequeña limitacion a mi entender, es el tema de las ips que
>> deberian ser fijas no dinamicas segun mis pobres conocimientos en VPNs y
>> lo
>> que vi en el manual.
>> El Router tiene la opcion de DNS Dinamico, pero en la configuracion de la
>> VPN unicamente me permite poner IPs. Y no puedo estar pretendiendo poner
>> manualmente esa IP siempre.
>>
>> La red esta diseñada de la siguiente forma.
>>
>> LAN Interna Sucursal 1--> Router... --- Modem ADSL Ethernet 2.5 Down/256
>> UP --- (((((( Nubecita de Arnet ))))))--- Modem ADSL Ethernet 2.5 Down /
>> 256
>> Up --- Router... --- LAN Interna Sucursal 2
>>
>> Les subo el manual* del aparato en PDF para q husmeen y me den si me estoy
>> equivocando.
>>
>> Desde ya muchas gracias por la respuesta.
>>
>> * http://www.pcrestor.com.ar/maxi/Manual.pdf
>>
>> _________________________________
>> Lista de correo - L U G Tucumán
>> http://www.lugtucuman.org.ar
>>
>>
>
>
>
--
Jose Teves
josxlnx at tucumanlinux dot com dot ar
-My name is Dump, Core Dump.
_________________________________
Lista de correo - L U G Tucumán
http://www.lugtucuman.org.ar
