Problema VPN roadwarrior con OpenSwan y NAT

To: Lista Debian <debian-user-spanish@lists.debian.org>
Subject: Problema VPN roadwarrior con OpenSwan y NAT
From: Alfonso Pinto <elhodred@yahoo.es>
Date: Tue, 21 Jun 2005 18:03:56 +0200 (CEST)
Message-id: <[🔎] 20050621160356.54330.qmail@web25610.mail.ukl.yahoo.com>

Buenas tardes:

Estoy intentando configurar una VPN de tipo Host to
Net (roadwarrior) entre un equipo de mi oficina
(Debian Testing) y la red de mi casa (contra un
firewall IPCOP).

El pc de la oficina esta detras de un firewall/gateway
que hace masquerading. Por ello, tal y como viene en
la documentación de openswan lo he intentado
configurar como Nat-Transversal.

Cuando hago ipsec auto --up conexion, el proceso se
queda asi: 104 "conexion" #1: STATE_MAIN_I1: initiate

Leyendo la documentacion y tropecientas páginas que
salen en google, es que no puede hacer bien la
negociación IKE/ESP. Motivo, estas detras de un equipo
que hace NAT. Solución: configurar la conexión como
NAT-Transversal. Volviendome loco mirando la
documentación y varios sitios, añado reglas de
iptables al firewall/gateway de la oficina, modifico
el ipsec.conf y nada, todo sigue igual.

El ipsec.conf de la maquina de mi oficina es el
siguiente:

config setup
        interfaces="%defaultroute"
        klipsdebug=none
        plutodebug=none
        uniqueids=yes
        nat_traversal=yes

conn conexion
        left=%defaultroute
        leftcert=/etc/ipsec.d/certs/officecert.pem
        right=IP_EXT_RED_CASERA
        rightsubnet=192.168.10.0/255.255.255.0
        rightcert=/etc/ipsec.d/certs/hostcert.pem
        dpddelay=30
        dpdtimeout=120
        dpdaction=clear
        authby=rsasig
        auto=add

#Disable Opportunistic Encryption
include /etc/ipsec.d/examples/no_oe.conf

He probado asignando a ambos extremos de la VPN
nombres canonicos con leftid y rightid para que se
identifiquen por nombre, tanto en el ipsec.conf de la
maquina de la oficina como en la máquina IPCOP.

Las reglas del firewall de la oficina relativas a la
vpn son las siguientes:

iptables -t nat -A POSTROUTING -o eth1 -j RETURN -d
192.168.10.0/24 (segun lei en alguna página esta regla
evita que se haga Nat sobre los paquetes que viajen a
traves del tunel)

# IKE negotiations
iptables -A INPUT  -p udp --sport 500 --dport 500 -j
ACCEPT
iptables -A OUTPUT -p udp --sport 500 --dport 500 -j
ACCEPT
iptables -A FORWARD -p udp --sport 500 --dport 500 -j
ACCEPT
# ESP encrypton and authentication
iptables -A INPUT  -p udp --dport 4500 -j ACCEPT
iptables -A OUTPUT -p udp  --dport 4500 -j ACCEPT
iptables -A FORWARD -p udp --dport 4500 -j ACCEPT

iptables -A INPUT  -p 50 -j ACCEPT
iptables -A OUTPUT -p 50 -j ACCEPT
iptables -A FORWARD -p 50 -j ACCEPT

# uncomment for AH authentication header
iptables -A INPUT  -p 51 -j ACCEPT
iptables -A OUTPUT -p 51 -j ACCEPT

¿Me falta o me sobra algo en algun sitio? ¿alguien ha
conseguido realizar una VPN con el equipo roadwarrior
detrás de un NAT?

Muchas gracias por todo.

Un saludo



		
______________________________________________ 
Renovamos el Correo Yahoo! 
Nuevos servicios, más seguridad 
http://correo.yahoo.es

Reply to:

Prev by Date: Re: Sarge al español (luego de localepurge)
Next by Date: Re: Sarge al español (luego de localepurge)
Previous by thread: [OT]- Fibertel - P2P - Argentina
Next by thread: Re: Problema VPN roadwarrior con OpenSwan y NAT
Index(es):
- Date
- Thread