Re: IPSEC

To: <debian-user-portuguese@lists.debian.org>
Subject: Re: IPSEC
From: Fernando Guimarães <linux@thesurfers.com.br>
Date: Wed, 22 Feb 2006 10:32:13 -0300
Message-id: <[🔎] 001901c637b4$682f7760$0202000a@thesurfers.com.br>
References: <[🔎] D2AB18E6F60A3C46AE677556498C28E9842988@TSERVER01.uniminas.br>

Caro Thiago,

já que está empolgado para trabalhar no carnaval, tenho aqui um esquemainteressante, funcionando atualmente com 12 tuneis ativos.


AS "filiais"  não precisam nem ter IP válido !!!!!

Tenho um Debian com super-freeswan, compilado com o aggressive mode e nattraversal, o primeiro permite qualquer IP externo se conectar, e o segundo,possibilita ip's invalidos se conectarem!!!

Como essas filiais não ficam em SP e na maioria das vezes não tem técnicoslá, optamos por usar appliances(sonicwall,linksys e até modens DLINK) nasfiliais, com o intúito de diminuir a probabilidade de problemas, se queimarum, poe o outro. Se fossem PC's com linux, também funcionaria, mas oshardwares que poderiam ter problemas são muitos, fonte, processador,memória, etc.... e no caso dos appliances não! :)

Com issso, não importa se o cara tem IP 192, ou IP dinamico, ele conecta naVPN sem problemas e levanta o tunel na boa.

Vou te dizer que já tive quase todos os problemas possiveis, inclusive atémodens de internet ADSL com SPI ativado, enchia a memória e parava detrafegar pacotes de VPN.

Pro seu caso, o aggressive mode já é suficiente, se voce já o tiverinstalado, basta colocar na config dos túneis, o right=0.0.0.0 eaggr_mode=yes , eu ainda uso em conjunto com isso os ID's para ter maiorsegurança, tendo em vista que tive de abrir a VPN para all.

Pelo que analisei, descobri que o IPSEC, (supondo que voce tenha mais de 2tuneis configurados), eles são diferenciados primeiramente pelo campo"right", depois o "rightsubnet", quando a conexão chega no servidor e depoisde bater os parametros de autenticação como esp, auth, ele levanta o túnel!Para aumentar então a segurança, acrescentei o campo "rightid" e "leftid",sendo que esses parametros quando existentes no tunel, são verificadostambem antes de estabelecer o túnel, aumentando assim a segurança, já que aVPN está aberta para qualquer IP....

Espero ter ajudado mais do que complicado hehehehehe, mas pode ir firmeatraz dessa solução, pois se for bem ajustada, funciona que é uma maravilha.

PS: não se esqueca que no aggressive mode, os tuneis são derrubados elevantados de tempos em tempos para garantir a segurança de que aquele TÚNELé realmente daquela filial e não de alguem que "spoofou" a conexão!PS2: tive de usar o kernel 2.4.18 para o aggresive mode funcionartranquilamente, pesquise isso tambem!!! Pelo que me lembro é capaz de oaggressive mode não funcionar no kernel 2.2, é rapaz...vai ter que lerbastante! ;)



[ ]'s Fernando e Boa Sorte!

----- Original Message -----From: "THIAGO ANDERSON SANTOS" <thiago@uniminas.br>To: "Joao Victor A. Di Stasi" <jvictor_rj@yahoo.com.br>; "ViniciusVasconcellos" <vinicius.forum@gmail.com>

Cc: <debian-user-portuguese@lists.debian.org>
Sent: Wednesday, February 22, 2006 9:03 AM
Subject: RES: IPSEC

Olha só eu novamente, vi aqui que o CL 5.1 está preparado para FreeSwan 1.x:) menos mal...


Aoo Carnaval esse vai ser longo!

-----Mensagem original-----
De: Joao Victor A. Di Stasi [mailto:jvictor_rj@yahoo.com.br]
Enviada em: quarta-feira, 22 de fevereiro de 2006 08:43
Para: Vinicius Vasconcellos
Cc: debian-user-portuguese@lists.debian.org
Assunto: Re: IPSEC

use a configuração road warriors do freeswan ou do openswan.
é colocar na configuração da matriz:
   right=%any

mas antes de uma lida, estou usando road warriors para manter 2 tuneis,
tem funcionado muito bem.

um abraço

Vinicius Vasconcellos escreveu:

Bom, um dias desses estava pensando no seguinte:

Como o ip é DINAMICO, ou seja, toda vez que a máquina desliga e dado
um novo ip para a conexão, então ai vai a dica...

utilize o no-ip ou o dyndns. Pq? seria o seguinte, no arquivo de
configuração da VPN tb pode-se colocar o dominio a qual ele pertence,
ou seja, vc cadastra a maquina em um desses sites.

ex: 200.23.XXX.XXX -> você pode coloar assim vini.no-ip.org
<http://vini.no-ip.org>

http://www.dyndns.com/
http://www.no-ip.com/ <http://www.no-ip.com/>

Ok?


On 2/19/06, *THIAGO ANDERSON SANTOS* <thiago@uniminas.br
<mailto:thiago@uniminas.br>> wrote:

    Ae pessoal,





    Estou com uma duvida cruel ou nao talvez alguem ja tenha passado
    por isso



    Preciso montar um VPN - IPSEC . São 4 lojas no seguinte esquema:

    Matriz: INTERNET IP FIXO - VALIDO

    FILIAL 1 - INTERNET IP DINAMICO - VALIDO

    FILIAL 2 - INTERNET IP DINAMICO - VALIDO

    FILIAL 3 - INTERNET IP DINAMICO - VALIDO



    Eu já configurei algumas vpn com INTERNET IP FIXO - VALIDO de
    todos os lados... alguem tem alguma luz de como devo fazer?





    Obrigado



    Thiago




--
*´¨) Vinicius Vasconcellos
¸.*´¸.**´¨) ¸.**¨) User #277360 UIN 172941519
(¸.*´ (¸.*` *  Debian #454
vinicius.vvr@gmail.com <mailto:vinicius.vvr@gmail.com> /
vinicius.forum@gmail.com <mailto:vinicius.forum@gmail.com>





_______________________________________________________
Yahoo! Acesso Grátis - Internet rápida e grátis. Instale o discador agora!
http://br.acesso.yahoo.com


--
To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org

with a subject of "unsubscribe". Trouble? Contactlistmaster@lists.debian.org

Reply to:

References:
- RES: IPSEC
  - From: "THIAGO ANDERSON SANTOS" <thiago@uniminas.br>

Prev by Date: Re: Site Desktop Linux
Next by Date: Re: Site Desktop Linux
Previous by thread: RES: IPSEC
Next by thread: off-topic beowulf-cluster
Index(es):
- Date
- Thread