[ vlaiv @ 07.05.2008. 12:20 ] @
Situacija je sledeca:

Potrebno je da podignem client kraj VPN tunela na linux serveru. Nisam puno radio administraciju linux sistema, ali se snalazim.

imam javnu IP adresu server peer-a : PS
javnu IP adresu client peer-a : PC


Lokalna mreza je privatna C klasa 192.168.0.0/24 sa tim da ce jedna masina u njoj da ima privatni IP tipa 172.X.X.X i treba
da pristupa masinama sa privatnim IP-evima unutar druge mreze (sa kojom se pravi vpn) 10.Y.Y.Y, 10.Z.Z.Z i 172.Q.Q.Q

Ta masina radi pod windowsXP-om (pisem neki software pod windowsom koji komunicira sa software-om na ovim drugim masinama)

Koliko sam ja razumeo, proces bi trebalo da bude sledeci:

Gateway na masini 172.X.X.X u mojoj mrezi bi trebalo da bud 192.168.0.1 (NAT za citavu lokalnu mrezu i izlaz na internet generalno,
linux je vec podesen da to odradjuje), i trebalo bi da routiram saobracaj sa nje na ipsec tunel.

sa PC treba uspostaviti IPSec tunel na PS sa sledecim parametrima:

IKE 1

auth: PSK
enc: 3des
hash: md5
dh group 2

IKE 2

esp-3des
esp-md5-hmac

----------------------
Stigao sam do mesta kada citam dokumentaciju za ipsec-tools i polagano se gubim.
Ako neko moze da mi da korake koje treba da odradim za uspesnu konfiguraciju (mozda cak sa primerom) ili dobar howto na ovu temu, bio bih zahvalan.
[ vlaiv @ 08.05.2008. 16:18 ] @
Uspeo sam nekako da iskonfigurisem racoon i rezultati su sledeci:

Kada sa masine 172.X.X.X pingujem masinu 10.Y.Y.Y
racoon kojeg startujem iz terminala sa -F parametrom (do not daemonize), ispise da je uspesno napravio
konekciju

IPSec-SA established i na ovu i na onu stranu.

Ali ni jedan ping ne prolazi, na 172.X.X.X javlja da je destination host unreachable

Preko Wiresharka na routeru vidim da stizu ping paketi, ali nikuda ne idu! Kada racoon nije podignut, pokusava da ih posalje na internet, ali
kada je racoon podignut, jednostavno negde nestanu!

Na interface-u prema internetu uopste posle uspostavljanja tunela vise nema saobracaja, znaci ni jedan paket prema
PS masini!

IP Forwarding je ukljucen.

openSUSE 10.3 (je sistem, da ne zaboravim da naglasim, sad cu i verziju kernela da pogledam)
2.6.22.5

Da li iko ima predstavu o tome sta bi se moglo desavati? Ili bar predlog sta da pokusam kako bi mi bilo jasnije gde paketi zavrsavaju?
(firewall log prazan, nista ne upisuje, firewall bi trebalo da je ispravno otvoren za saobracaj)
[ Jbyn4e @ 08.05.2008. 20:18 ] @
Mozda bi pomoglo da si dao konfiguraciju... kako si iskonfigurisao?
[ vlaiv @ 09.05.2008. 11:42 ] @
Mislim da sam nanjushio problem, mislim da je do masqarading-a ...
Posto sa 172.X.X.X masine inace imam izlaz na internet, osim paketa koji se gube na putu do ipsec-a, moguce je da u postroutingu
dolazi do izmene adrese ili sta vec, sad cu da pogledam dokumentaciju, pa da probam da skinem masq za tu kombinaciju ip-eva.

Inace, da ovaj thread bude iole od koristi ikome, ukratko cu opisati konfigurisanje racoon-a i sta sam uradio.

lokalna mreza je podignuta na standardni nacin znaci

192.168.0.0/24

sa tim da

na istom ethernetu funkcionise jos jedna mreza C klase (samo za 3 masine)

172.X.X.0/24

Za gateway (nat u slucaju mreze 192.168.0.0/24) na lokalnom mreznom interface-u imam 2 IP adrese

192.168.0.1 i 172.X.X.1 i externi interface PC (client peer u ipsec tunelu i javna adresa za gateway)

masina koja bi trebalo da komunicira preko tunela ima IP

172.X.X.2

moja masina (produkcija i remote administracija) ima na mreznom interface-u dve IP adrese

192.168.0.32 i 172.X.X.3 (za pristup i ovoj i onoj mrezi C klase)

e, sad, konfiguracija racoon-a je sledeca:

/etc/racoon/psk.txt
Code:

PS    ovde_staviti_psk


/etc/racoon/racoon.conf
Code:

...

remote PS
{
    my_identifier_address PC;
    exchange_mode aggressive,main;
    initial_contact off;
    lifetime time 24 hour;
    proposal {
        encryption_algorithm 3des;
        hash_algorithm md5;
        authentication_method pre_shared_key;
        dh_group 2;
    }
}

sainfo anonymous
{
    encryption_algorithm 3des;
    authentication_algorithm hmac_md5;
    lifetime time 8 hour;
    compression_algorithm deflate;
}

...


/etc/racoon/setkey.conf

Code:

spdadd 172.X.X.2 10.Y.Y.Y any -P out ipsec esp/tunnel/PC-PS/require;
spdadd 10.Y.Y.Y 172.X.X.2 any -P in ipsec esp/tunnel/PS-PC/require;


naravno kod za pokretanje je

setkey -f /etc/racoon/setkey.conf
racoon

PC, PS, I ovi X, Y i Z u ip adresama su realni brojevi ....
[ neur0 @ 09.05.2008. 13:41 ] @
Nisam se bas udubio u problem, al pretpostavljam da si IPtables konfigurisao kako treba jel ?

Jedan link ako ga nisi vec pogledao pa probaj korak po korak da nadjes problem:
http://openskill.info/infobox.php?ID=1291
[ vlaiv @ 09.05.2008. 14:50 ] @
Zapravo je bio problem u iptables, ali ne do konfiguracije nego izgleda da ima BUG!!!

Iz nekog razloga je posle routing odluke kada paket posalje na FORWARD chain koji
ima definiciju da sve sa externog interface-a sto je predvidjeno na interni interface salje
na user chain

forward_ext i posle uspesnog natovanja nekih stvari i tako to (imam neke port forwarde za pristup sa interneta na lokalne masine)
odradi DROP za sve ostalo.

Problem je jedini sto su paketi sa internog interface-a predvidjeni za externi interface zavrsavali na ovom chain-u????

u logu lepo pishe da je paket in: eth2 i out eth3 a u pravilima za chain-ove pishe obrnuto??? i svakako paket zavrsi dropovan

Problem sam resio dodavanjem pravila -s 172.X.X.2 -d 10.Z.Z.Z -j ACCEPT pre odluke da li paket treba da ide na user
chain koji su napravljeni u ovoj distribuciji

forward_int ili forward_ext ...

Jedino mi nije jasno kako je paket dospeo na taj user chain, ostalo je sve jasno ...

znaci pravila

chain, in, out, proto, src, dest

forward_int eth2 any any anywhere anywhere
forward_ext eth3 any any anywhere anywhere

eth2 - interni interface - 192.168.0.0/24 i 172.X.X.0/24
eth3 - externi interface - PC

ping 172.X.X.2 - > 10.Z.Z.Z ulazi u FORWARD chain i biva prebacen u forward_ext ???? iako u logu kaze da je za taj icmp echo
in: eth2 i out: eth3 (sto je i logicno)

Ako neko naleti na ovakav problem, obavezno pregled logova i dosta dodavanja LOG targeta u IPTables kako bi se ispratilo kuda zapravo ide paket
mislim da je doslo do problema u kernelu kada se paket obelezava za transport preko ipsec tunela
[ ljubek_c @ 08.06.2010. 12:18 ] @
kupi ruter :)))))
[ srndach @ 08.06.2010. 13:08 ] @
... jos jedan glas za ruter ...
Ili bar ASA ...