Re: IPSEC
Caro Thiago,
já que está empolgado para trabalhar no carnaval, tenho aqui um esquema
interessante, funcionando atualmente com 12 tuneis ativos.
AS "filiais" não precisam nem ter IP válido !!!!!
Tenho um Debian com super-freeswan, compilado com o aggressive mode e nat
traversal, o primeiro permite qualquer IP externo se conectar, e o segundo,
possibilita ip's invalidos se conectarem!!!
Como essas filiais não ficam em SP e na maioria das vezes não tem técnicos
lá, optamos por usar appliances(sonicwall,linksys e até modens DLINK) nas
filiais, com o intúito de diminuir a probabilidade de problemas, se queimar
um, poe o outro. Se fossem PC's com linux, também funcionaria, mas os
hardwares que poderiam ter problemas são muitos, fonte, processador,
memória, etc.... e no caso dos appliances não! :)
Com issso, não importa se o cara tem IP 192, ou IP dinamico, ele conecta na
VPN sem problemas e levanta o tunel na boa.
Vou te dizer que já tive quase todos os problemas possiveis, inclusive até
modens de internet ADSL com SPI ativado, enchia a memória e parava de
trafegar pacotes de VPN.
Pro seu caso, o aggressive mode já é suficiente, se voce já o tiver
instalado, basta colocar na config dos túneis, o right=0.0.0.0 e
aggr_mode=yes , eu ainda uso em conjunto com isso os ID's para ter maior
segurança, tendo em vista que tive de abrir a VPN para all.
Pelo que analisei, descobri que o IPSEC, (supondo que voce tenha mais de 2
tuneis configurados), eles são diferenciados primeiramente pelo campo
"right", depois o "rightsubnet", quando a conexão chega no servidor e depois
de bater os parametros de autenticação como esp, auth, ele levanta o túnel!
Para aumentar então a segurança, acrescentei o campo "rightid" e "leftid",
sendo que esses parametros quando existentes no tunel, são verificados
tambem antes de estabelecer o túnel, aumentando assim a segurança, já que a
VPN está aberta para qualquer IP....
Espero ter ajudado mais do que complicado hehehehehe, mas pode ir firme
atraz dessa solução, pois se for bem ajustada, funciona que é uma maravilha.
PS: não se esqueca que no aggressive mode, os tuneis são derrubados e
levantados de tempos em tempos para garantir a segurança de que aquele TÚNEL
é realmente daquela filial e não de alguem que "spoofou" a conexão!
PS2: tive de usar o kernel 2.4.18 para o aggresive mode funcionar
tranquilamente, pesquise isso tambem!!! Pelo que me lembro é capaz de o
aggressive mode não funcionar no kernel 2.2, é rapaz...vai ter que ler
bastante! ;)
[ ]'s Fernando e Boa Sorte!
----- Original Message -----
From: "THIAGO ANDERSON SANTOS" <thiago@uniminas.br>
To: "Joao Victor A. Di Stasi" <jvictor_rj@yahoo.com.br>; "Vinicius
Vasconcellos" <vinicius.forum@gmail.com>
Cc: <debian-user-portuguese@lists.debian.org>
Sent: Wednesday, February 22, 2006 9:03 AM
Subject: RES: IPSEC
Olha só eu novamente, vi aqui que o CL 5.1 está preparado para FreeSwan 1.x
:) menos mal...
Aoo Carnaval esse vai ser longo!
-----Mensagem original-----
De: Joao Victor A. Di Stasi [mailto:jvictor_rj@yahoo.com.br]
Enviada em: quarta-feira, 22 de fevereiro de 2006 08:43
Para: Vinicius Vasconcellos
Cc: debian-user-portuguese@lists.debian.org
Assunto: Re: IPSEC
use a configuração road warriors do freeswan ou do openswan.
é colocar na configuração da matriz:
right=%any
mas antes de uma lida, estou usando road warriors para manter 2 tuneis,
tem funcionado muito bem.
um abraço
Vinicius Vasconcellos escreveu:
Bom, um dias desses estava pensando no seguinte:
Como o ip é DINAMICO, ou seja, toda vez que a máquina desliga e dado
um novo ip para a conexão, então ai vai a dica...
utilize o no-ip ou o dyndns. Pq? seria o seguinte, no arquivo de
configuração da VPN tb pode-se colocar o dominio a qual ele pertence,
ou seja, vc cadastra a maquina em um desses sites.
ex: 200.23.XXX.XXX -> você pode coloar assim vini.no-ip.org
<http://vini.no-ip.org>
http://www.dyndns.com/
http://www.no-ip.com/ <http://www.no-ip.com/>
Ok?
On 2/19/06, *THIAGO ANDERSON SANTOS* <thiago@uniminas.br
<mailto:thiago@uniminas.br>> wrote:
Ae pessoal,
Estou com uma duvida cruel ou nao talvez alguem ja tenha passado
por isso
Preciso montar um VPN - IPSEC . São 4 lojas no seguinte esquema:
Matriz: INTERNET IP FIXO - VALIDO
FILIAL 1 - INTERNET IP DINAMICO - VALIDO
FILIAL 2 - INTERNET IP DINAMICO - VALIDO
FILIAL 3 - INTERNET IP DINAMICO - VALIDO
Eu já configurei algumas vpn com INTERNET IP FIXO - VALIDO de
todos os lados... alguem tem alguma luz de como devo fazer?
Obrigado
Thiago
--
*´¨) Vinicius Vasconcellos
¸.*´¸.**´¨) ¸.**¨) User #277360 UIN 172941519
(¸.*´ (¸.*` * Debian #454
vinicius.vvr@gmail.com <mailto:vinicius.vvr@gmail.com> /
vinicius.forum@gmail.com <mailto:vinicius.forum@gmail.com>
_______________________________________________________
Yahoo! Acesso Grátis - Internet rápida e grátis. Instale o discador agora!
http://br.acesso.yahoo.com
--
To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org
Reply to:
- References:
- RES: IPSEC
- From: "THIAGO ANDERSON SANTOS" <thiago@uniminas.br>