Opa Luiz,
seguinte, tenho alguma experiencia sim nessa area.....
Para voce fazer essa conexão ipsec, partindo de um IP invalido, normalmente
deve ser habilitada a opção de NAT-T (nat traversal), pois sem ela, o IP que
vai tentar se autenticar é o Invalido e então a resposta provavelmente não
retornará para deixar a conexao estabelecida.
Tenho administrado atualmente um server Linux IPSEC com mais de 10 tuneis, e
consigo fazer o pessoal se autenticar com IP valido Fixo, dinamico e
inválido.
No caso dos dinamicos, uso o aggressive mode, ou seja, não especifico no
server qual o IP que vai se autenticar, mas sim os ID's, os tipos de
criptografia, os métodos de encriptação, reforçando bem a segurança!
E no caso do inválidos, uso o NAT TRAVERSAL, junto com o aggressive mode e
funciona bem, não tão estável quanto os clientes de IPFIXO, mas funciona.
Ambos Nat Traversal e Aggresive mode devem ser habilitados tanto no client
como no server.
Espero que isso te de alguma luz na solução, qualquer coisa, é só
perguntar!!!!!
[ ]'s Fernando!
----- Original Message -----
From: "Luiz Gonzaga da Mata" <[EMAIL PROTECTED]>
To: <debian-user-portuguese@lists.debian.org>
Sent: Monday, May 15, 2006 12:42 PM
Subject: OFF - VPN com um elemento firewall entre o server e o client
Turma,
Estou com o seguinte problema:
Um cliente da rede local, está rodando um "client VPN" para acessar um
serviço externo de outra empresa. Desde o momento que esse "client" passou
a usar o IPSEC, não funcionou mais.
Testamos em dois ambientes com nateamento.
1) No ambiente do laboratório com iptables como firewall
2) No ambiente oficial com um Firewall Checkpoint.
No primeiro ambiente, o cliente fica na rede que está atrás de um firewall
linux iptables, que efetua o "nateamento" hidding.
No segundo ambiente, o cliente está em uma das redes locais atrás de FW-1
NG AI (Checkpoint), onde foram testados os nateamentos hidding e 1 para 1.
Em ambos, a fase inicial via ISAKMP (udp 500) é feita normalmente, existe
o contato como o servidor, existe autenticação, o túnel é estabelecido
(ESP) mas não é mantido e cai.
Levamos a mesma máquina com o software cliente instalado para o ambiente
após os firewall´s e o túnel é estabelecido e se mantém.
Para mim, está se caracterizando uma dificuldade entre o Ipsec e
Nateamento. Inclusive já encontrei comentários a esse respeito na Web.
Alguém tem alguma experiência neste problema?
Um abraço,
Luiz Gonzaga da Mata.
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact
[EMAIL PROTECTED]
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]