Re: [FUG-BR] Ajuda com IPsec - parte II :)
On Fri, 2005-10-21 at 08:52 -0200, irado furioso com tudo wrote: > /usr/sbin/setkey -f /etc/ipsec.conf.DAQUI > e funciona MUITO BEM. O ipsec.conf.DAQUI (ou DE_LAH) segue o padrão, mas até > posso manda-lo, se julgar necessário. Na verdade, eu acho que ainda não está funcionando direito aqui esta parte.. [EMAIL PROTECTED]: rc.d]# setkey -f /etc/ipsec.conf The result of line 2: File exists. The result of line 4: File exists. [EMAIL PROTECTED]: rc.d]# setkey -D No SAD entries. Está correto isso? Fiz seguindo o handbook: http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/ipsec.html Create an /etc/ipsec.conf on each host that contains the necessary spdadd lines. On gateway host #1 this would be: spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P out ipsec esp/tunnel/A.B.C.D-W.X.Y.Z/require; spdadd W.X.Y.Z/32 A.B.C.D/32 ipencap -P in ipsec esp/tunnel/W.X.Y.Z-A.B.C.D/require; Outra parte que não entendi muito bem é esta: * Add firewall rules to allow IKE, ESP, and IPENCAP traffic to both hosts: ipfw add 1 allow udp from A.B.C.D to W.X.Y.Z isakmp ipfw add 1 allow udp from W.X.Y.Z to A.B.C.D isakmp ipfw add 1 allow esp from A.B.C.D to W.X.Y.Z ipfw add 1 allow esp from W.X.Y.Z to A.B.C.D ipfw add 1 allow ipencap from A.B.C.D to W.X.Y.Z ipfw add 1 allow ipencap from W.X.Y.Z to A.B.C.D Como ficaria as regras no PF? Pingando de um host para o outro e olhando com o tcpdump parece normal: [EMAIL PROTECTED]: rc.d]# tcpdump -i gif0 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on gif0, link-type NULL (BSD loopback), capture size 96 bytes 15:22:26.880999 IP 192.168.0.1 > 192.168.4.1: icmp 64: echo request seq 37 15:22:26.881026 IP 192.168.4.1 > 192.168.0.1: icmp 64: echo reply seq 37 15:22:27.882922 IP 192.168.0.1 > 192.168.4.1: icmp 64: echo request seq 38 Bom, acho que essa é a última vez que encho o saco sobre este assunto, desculpem a insistência... :( Obrigado -- Tiago Cruz http://linuxrapido.org Linux User #282636 "The box said: Requires MS Windows or better, so I installed Linux" ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Ajuda com IPsec - parte II :)
On Fri, 2005-10-21 at 08:52 -0200, irado furioso com tudo wrote: > meu rc.conf é assim: > ifconfig_gif0="192.168.20.2 netmask 255.255.255.0 192.168.30.2 netmask > 255.255.255.0" > gifconfig_gif0="293.293.297.298 netmask 255.255.255.192 294.294.298.299 > netmask 255.255.255.192" Dahora! Ele realmente criou a interface gif0, mas só "pegou" o tunel 192 -> 192 o 200 -> 200 não foi criado, acredito que o comando gifconfig_gif0 foi ignorado. Mas no script abaixo ele irá criar :) > e, em /usr/local/etc/rc.d eu tenho o seguinte script: > e funciona MUITO BEM. O ipsec.conf.DAQUI (ou DE_LAH) segue o padrão, mas até > posso manda-lo, se julgar necessário. Cara, muito "irado" seu script velho, estou usando ele de base para o meu e depois eu mando para a lista, visto que tenho que resolver outros pepinos agora 8( Bom, se minha criptografia não funcionar eu volto a escrever para a lista. Obrigado por tudo até agora! -- Tiago Cruz http://linuxrapido.org Linux User #282636 "The box said: Requires MS Windows or better, so I installed Linux" ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Ajuda com IPsec - parte II :)
Em Thu, 20 Oct 2005 11:01:30 -0200 Tiago Cruz <[EMAIL PROTECTED]> escreveu: > Isso abaixo não funciona: > (.. snip.. ) > Além de tudo, durante o boot ele não cria a interface gif0 e o firewall > dá pau por não encontrar a mesma. > meu rc.conf é assim: : ipsec_enable="YES" ipsec_file="/etc/ipsec.conf.DAQUI" gif_interfaces="gif0" ifconfig_gif0="192.168.20.2 netmask 255.255.255.0 192.168.30.2 netmask 255.255.255.0" gifconfig_gif0="293.293.297.298 netmask 255.255.255.192 294.294.298.299 netmask 255.255.255.192" : e, em /usr/local/etc/rc.d eu tenho o seguinte script: #/bin/sh ip_DAQUI="293.293.297.298" ip_DE_LAH="294.294.298.299" gateway_DAQUI="192.168.20.2" gateway_DE_LAH="192.168.30.2" rede_DAQUI="192.168.20.0" rede_DE_LAH="192.168.30.0" mascara="0x" case ${1} in start) echo "inicializando" /sbin/ifconfig gif0 create /sbin/ifconfig gif0 tunnel ${ip_DAQUI} ${ip_DE_LAH} /sbin/ifconfig gif0 inet ${gateway_DAQUI} ${gateway_DE_LAH} netmask ${mascara} /sbin/route add ${rede_DAQUI}/24 ${rede_DE_LAH}/24 /usr/sbin/setkey -f /etc/ipsec.conf.DAQUI #/usr/local/sbin/racoon ;; stop) echo "terminando" /sbin/ifconfig gif0 destroy ;; esac exit 0 :=== e funciona MUITO BEM. O ipsec.conf.DAQUI (ou DE_LAH) segue o padrão, mas até posso manda-lo, se julgar necessário. divirta-se flames > /dev/null --- saudações, Irado Furioso com Tudo Linux User 179402/FreeBSD BSD50853 (100% Microsoft Free) Nunca bote a mão no fogo por u'a mulher porque você está se arriscando a ficar com o apelido de Maneta. (apud Stanislaw Ponte Preta - Sergio Porto - in "maximas inéditas da Tia Zulmira") ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Ajuda com IPsec - parte II :)
Pessoal, boas notícias! Seguindo o handbook (e usando um montão de intuição feminina :-P) consegui fazer a primeira parte da VPN, sem criptografia!!! Ebbaa!!! Agora, antes de partir para a segunda parte, gostaria de deixar arrumado o /etc/rc.conf, que não está documentado na versão 5.4 do FreeBSD. Isso abaixo não funciona: gifconfig_gif0="A.B.C.D W.X.Y.Z" ifconfig_gif0="inet 192.168.2.1 192.168.0.1 netmask 255.255.252.0" static_routes="vpn" route_vpn="192.168.0.0 192.168.0.1 netmask 255.255.252.0" Além de tudo, durante o boot ele não cria a interface gif0 e o firewall dá pau por não encontrar a mesma. Amigos, como vocês resolveram esse pequeno empecilho? Obrigado pelas dicas, estão sendo de grande valia! -- Tiago Cruz http://linuxrapido.org Linux User #282636 "The box said: Requires MS Windows or better, so I installed Linux" ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br