Re: OFF - VPN com um elemento firewall entre o server e o client

To: <debian-user-portuguese@lists.debian.org>
Subject: Re: OFF - VPN com um elemento firewall entre o server e o client
From: Fernando Guimarães <linux@thesurfers.com.br>
Date: Tue, 16 May 2006 11:43:28 -0300
Message-id: <[🔎] 000601c678f7$2568acb0$0202000a@thesurfers.com.br>
References: <[🔎] 4468A154.8000805@pbh.gov.br>

Opa Luiz,

seguinte, tenho alguma experiencia sim nessa area.....

Para voce fazer essa conexão ipsec, partindo de um IP invalido, normalmentedeve ser habilitada a opção de NAT-T (nat traversal), pois sem ela, o IP quevai tentar se autenticar é o Invalido e então a resposta provavelmente nãoretornará para deixar a conexao estabelecida.

Tenho administrado atualmente um server Linux IPSEC com mais de 10 tuneis, econsigo fazer o pessoal se autenticar com IP valido Fixo, dinamico einválido.

No caso dos dinamicos, uso o aggressive mode, ou seja, não especifico noserver qual o IP que vai se autenticar, mas sim os ID's, os tipos decriptografia, os métodos de encriptação, reforçando bem a segurança!

E no caso do inválidos, uso o NAT TRAVERSAL, junto com o aggressive mode efunciona bem, não tão estável quanto os clientes de IPFIXO, mas funciona.

Ambos Nat Traversal e Aggresive mode devem ser habilitados tanto no clientcomo no server.

Espero que isso te de alguma luz na solução, qualquer coisa, é sóperguntar!!!!!


[ ]'s Fernando!

----- Original Message -----From: "Luiz Gonzaga da Mata" <gonzaga@pbh.gov.br>

To: <debian-user-portuguese@lists.debian.org>
Sent: Monday, May 15, 2006 12:42 PM
Subject: OFF - VPN com um elemento firewall entre o server e o client

Turma,

Estou com o seguinte problema:
Um cliente da rede local, está rodando um "client VPN" para acessar umserviço externo de outra empresa. Desde o momento que esse "client" passoua usar o IPSEC, não funcionou mais.
Testamos em dois ambientes com nateamento.

1) No ambiente do laboratório com iptables como firewall
2) No ambiente oficial com um Firewall Checkpoint.
No primeiro ambiente, o cliente fica na rede que está atrás de um firewalllinux iptables, que efetua o "nateamento" hidding.
No segundo ambiente, o cliente está em uma das redes locais atrás de FW-1NG AI (Checkpoint), onde foram testados os nateamentos hidding e 1 para 1.
Em ambos, a fase inicial via ISAKMP (udp 500) é feita normalmente, existeo contato como o servidor, existe autenticação, o túnel é estabelecido(ESP) mas não é mantido e cai.
Levamos a mesma máquina com o software cliente instalado para o ambienteapós os firewall´s e o túnel é estabelecido e se mantém.
Para mim, está se caracterizando uma dificuldade entre o Ipsec eNateamento. Inclusive já encontrei comentários a esse respeito na Web.
Alguém tem alguma experiência neste problema?

Um abraço,

Luiz Gonzaga da Mata.


--
To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contactlistmaster@lists.debian.org

Reply to:

Follow-Ups:
- Re: OFF - VPN com um elemento firewall entre o server e o client
  - From: Luiz Gonzaga da Mata <gonzaga@pbh.gov.br>

References:
- OFF - VPN com um elemento firewall entre o server e o client
  - From: Luiz Gonzaga da Mata <gonzaga@pbh.gov.br>

Prev by Date: Re: VELOX + NAT
Next by Date: KDE no debian CCD BR
Previous by thread: OFF - VPN com um elemento firewall entre o server e o client
Next by thread: Re: OFF - VPN com um elemento firewall entre o server e o client
Index(es):
- Date
- Thread