Re: Problema VPN roadwarrior con OpenSwan y NAT
--- Leo [EMAIL PROTECTED] escribió: Alfonso Pinto wrote: Buenas tardes: Estoy intentando configurar una VPN de tipo Host to Net (roadwarrior) entre un equipo de mi oficina (Debian Testing) y la red de mi casa (contra un firewall IPCOP). El pc de la oficina esta detras de un firewall/gateway que hace masquerading. Por ello, tal y como viene en la documentación de openswan lo he intentado configurar como Nat-Transversal. Cuando hago ipsec auto --up conexion, el proceso se queda asi: 104 conexion #1: STATE_MAIN_I1: initiate Leyendo la documentacion y tropecientas páginas que salen en google, es que no puede hacer bien la negociación IKE/ESP. Motivo, estas detras de un equipo que hace NAT. Solución: configurar la conexión como NAT-Transversal. Volviendome loco mirando la documentación y varios sitios, añado reglas de iptables al firewall/gateway de la oficina, modifico el ipsec.conf y nada, todo sigue igual. Hola Alfonso. Estoy empezando con el tema de las VPNs, y quisiera hacerte una consulta. Roadwarrior no significa cuando se utiliza un cliente Windows contra un server Linux? Que significa Host to Net? Hola, en teoría el termino roadwarrior significa lo siguiente (buscado en http://en.wikipedia.org/wiki/Roadwarrior): Persona que usa un dispositivo movil como un portatil o una PDA y utiliza conexiones a internet inalambricas para trabajar. Ejemplos de roadwarrior pueden ser VPNs para trabajar... Para mi que la definición de termino de Roadwarrior que hacen en wikipedia es un poco limitante, porque por ejemplo si tienes una red inalambrica de equipos de sobremesa, puedes hacer que se conecten mediante VPN para securizar más la red inalambrica, con IPSEC por ejemplo, y esta conexión se configura como Roadwarrior, o lo que es lo mismo en OpenSwan, una conexión Host to Net, que no es más que un equipo que se conecta a una red, diferente de Net to Net, que lo que hace es establecer una VPN para comunicar dos redes distintas. Puede ser que me este dejando en el tintero algo, o que lo que haya puesto no sea del todo exacto, pero espero haber resuelto tu duda. Se me olvidaba, un cliente roadwarrior no tiene que ser una máquina windows, aunque en la red hay muchos ejemplos en los que se usa clientes windows. En casa tengo un portatil con linux que se conecta a la red mediante wifi y uso una conexion roadwarrior con OpenSwan contra mi firewall IPCOP para que la conexion sea segura (por puro entretenimiento en aprender como funcionan las VPNs y para evitar que ningún listillo use mi conexión a internet sin mi permiso) Un saludo __ Renovamos el Correo Yahoo! Nuevos servicios, más seguridad http://correo.yahoo.es -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Problema VPN roadwarrior con OpenSwan y NAT
Buenas tardes: Estoy intentando configurar una VPN de tipo Host to Net (roadwarrior) entre un equipo de mi oficina (Debian Testing) y la red de mi casa (contra un firewall IPCOP). El pc de la oficina esta detras de un firewall/gateway que hace masquerading. Por ello, tal y como viene en la documentación de openswan lo he intentado configurar como Nat-Transversal. Cuando hago ipsec auto --up conexion, el proceso se queda asi: 104 conexion #1: STATE_MAIN_I1: initiate Leyendo la documentacion y tropecientas páginas que salen en google, es que no puede hacer bien la negociación IKE/ESP. Motivo, estas detras de un equipo que hace NAT. Solución: configurar la conexión como NAT-Transversal. Volviendome loco mirando la documentación y varios sitios, añado reglas de iptables al firewall/gateway de la oficina, modifico el ipsec.conf y nada, todo sigue igual. El ipsec.conf de la maquina de mi oficina es el siguiente: config setup interfaces=%defaultroute klipsdebug=none plutodebug=none uniqueids=yes nat_traversal=yes conn conexion left=%defaultroute leftcert=/etc/ipsec.d/certs/officecert.pem right=IP_EXT_RED_CASERA rightsubnet=192.168.10.0/255.255.255.0 rightcert=/etc/ipsec.d/certs/hostcert.pem dpddelay=30 dpdtimeout=120 dpdaction=clear authby=rsasig auto=add #Disable Opportunistic Encryption include /etc/ipsec.d/examples/no_oe.conf He probado asignando a ambos extremos de la VPN nombres canonicos con leftid y rightid para que se identifiquen por nombre, tanto en el ipsec.conf de la maquina de la oficina como en la máquina IPCOP. Las reglas del firewall de la oficina relativas a la vpn son las siguientes: iptables -t nat -A POSTROUTING -o eth1 -j RETURN -d 192.168.10.0/24 (segun lei en alguna página esta regla evita que se haga Nat sobre los paquetes que viajen a traves del tunel) # IKE negotiations iptables -A INPUT -p udp --sport 500 --dport 500 -j ACCEPT iptables -A OUTPUT -p udp --sport 500 --dport 500 -j ACCEPT iptables -A FORWARD -p udp --sport 500 --dport 500 -j ACCEPT # ESP encrypton and authentication iptables -A INPUT -p udp --dport 4500 -j ACCEPT iptables -A OUTPUT -p udp --dport 4500 -j ACCEPT iptables -A FORWARD -p udp --dport 4500 -j ACCEPT iptables -A INPUT -p 50 -j ACCEPT iptables -A OUTPUT -p 50 -j ACCEPT iptables -A FORWARD -p 50 -j ACCEPT # uncomment for AH authentication header iptables -A INPUT -p 51 -j ACCEPT iptables -A OUTPUT -p 51 -j ACCEPT ¿Me falta o me sobra algo en algun sitio? ¿alguien ha conseguido realizar una VPN con el equipo roadwarrior detrás de un NAT? Muchas gracias por todo. Un saludo __ Renovamos el Correo Yahoo! Nuevos servicios, más seguridad http://correo.yahoo.es -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]