Problema VPN roadwarrior con OpenSwan y NAT
Buenas tardes:
Estoy intentando configurar una VPN de tipo Host to
Net (roadwarrior) entre un equipo de mi oficina
(Debian Testing) y la red de mi casa (contra un
firewall IPCOP).
El pc de la oficina esta detras de un firewall/gateway
que hace masquerading. Por ello, tal y como viene en
la documentación de openswan lo he intentado
configurar como Nat-Transversal.
Cuando hago ipsec auto --up conexion, el proceso se
queda asi: 104 "conexion" #1: STATE_MAIN_I1: initiate
Leyendo la documentacion y tropecientas páginas que
salen en google, es que no puede hacer bien la
negociación IKE/ESP. Motivo, estas detras de un equipo
que hace NAT. Solución: configurar la conexión como
NAT-Transversal. Volviendome loco mirando la
documentación y varios sitios, añado reglas de
iptables al firewall/gateway de la oficina, modifico
el ipsec.conf y nada, todo sigue igual.
El ipsec.conf de la maquina de mi oficina es el
siguiente:
config setup
interfaces="%defaultroute"
klipsdebug=none
plutodebug=none
uniqueids=yes
nat_traversal=yes
conn conexion
left=%defaultroute
leftcert=/etc/ipsec.d/certs/officecert.pem
right=IP_EXT_RED_CASERA
rightsubnet=192.168.10.0/255.255.255.0
rightcert=/etc/ipsec.d/certs/hostcert.pem
dpddelay=30
dpdtimeout=120
dpdaction=clear
authby=rsasig
auto=add
#Disable Opportunistic Encryption
include /etc/ipsec.d/examples/no_oe.conf
He probado asignando a ambos extremos de la VPN
nombres canonicos con leftid y rightid para que se
identifiquen por nombre, tanto en el ipsec.conf de la
maquina de la oficina como en la máquina IPCOP.
Las reglas del firewall de la oficina relativas a la
vpn son las siguientes:
iptables -t nat -A POSTROUTING -o eth1 -j RETURN -d
192.168.10.0/24 (segun lei en alguna página esta regla
evita que se haga Nat sobre los paquetes que viajen a
traves del tunel)
# IKE negotiations
iptables -A INPUT -p udp --sport 500 --dport 500 -j
ACCEPT
iptables -A OUTPUT -p udp --sport 500 --dport 500 -j
ACCEPT
iptables -A FORWARD -p udp --sport 500 --dport 500 -j
ACCEPT
# ESP encrypton and authentication
iptables -A INPUT -p udp --dport 4500 -j ACCEPT
iptables -A OUTPUT -p udp --dport 4500 -j ACCEPT
iptables -A FORWARD -p udp --dport 4500 -j ACCEPT
iptables -A INPUT -p 50 -j ACCEPT
iptables -A OUTPUT -p 50 -j ACCEPT
iptables -A FORWARD -p 50 -j ACCEPT
# uncomment for AH authentication header
iptables -A INPUT -p 51 -j ACCEPT
iptables -A OUTPUT -p 51 -j ACCEPT
¿Me falta o me sobra algo en algun sitio? ¿alguien ha
conseguido realizar una VPN con el equipo roadwarrior
detrás de un NAT?
Muchas gracias por todo.
Un saludo
______________________________________________
Renovamos el Correo Yahoo!
Nuevos servicios, más seguridad
http://correo.yahoo.es
Reply to: