Re: [FUG-BR] Ajuda com IPsec - parte II :)
On Fri, 2005-10-21 at 08:52 -0200, irado furioso com tudo wrote: > /usr/sbin/setkey -f /etc/ipsec.conf.DAQUI > e funciona MUITO BEM. O ipsec.conf.DAQUI (ou DE_LAH) segue o padrão, mas até > posso manda-lo, se julgar necessário. Na verdade, eu acho que ainda não está funcionando direito aqui esta parte.. [EMAIL PROTECTED]: rc.d]# setkey -f /etc/ipsec.conf The result of line 2: File exists. The result of line 4: File exists. [EMAIL PROTECTED]: rc.d]# setkey -D No SAD entries. Está correto isso? Fiz seguindo o handbook: http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/ipsec.html Create an /etc/ipsec.conf on each host that contains the necessary spdadd lines. On gateway host #1 this would be: spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P out ipsec esp/tunnel/A.B.C.D-W.X.Y.Z/require; spdadd W.X.Y.Z/32 A.B.C.D/32 ipencap -P in ipsec esp/tunnel/W.X.Y.Z-A.B.C.D/require; Outra parte que não entendi muito bem é esta: * Add firewall rules to allow IKE, ESP, and IPENCAP traffic to both hosts: ipfw add 1 allow udp from A.B.C.D to W.X.Y.Z isakmp ipfw add 1 allow udp from W.X.Y.Z to A.B.C.D isakmp ipfw add 1 allow esp from A.B.C.D to W.X.Y.Z ipfw add 1 allow esp from W.X.Y.Z to A.B.C.D ipfw add 1 allow ipencap from A.B.C.D to W.X.Y.Z ipfw add 1 allow ipencap from W.X.Y.Z to A.B.C.D Como ficaria as regras no PF? Pingando de um host para o outro e olhando com o tcpdump parece normal: [EMAIL PROTECTED]: rc.d]# tcpdump -i gif0 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on gif0, link-type NULL (BSD loopback), capture size 96 bytes 15:22:26.880999 IP 192.168.0.1 > 192.168.4.1: icmp 64: echo request seq 37 15:22:26.881026 IP 192.168.4.1 > 192.168.0.1: icmp 64: echo reply seq 37 15:22:27.882922 IP 192.168.0.1 > 192.168.4.1: icmp 64: echo request seq 38 Bom, acho que essa é a última vez que encho o saco sobre este assunto, desculpem a insistência... :( Obrigado -- Tiago Cruz http://linuxrapido.org Linux User #282636 "The box said: Requires MS Windows or better, so I installed Linux" ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Ajuda com IPsec - parte II :)
On Fri, 2005-10-21 at 08:52 -0200, irado furioso com tudo wrote: > meu rc.conf é assim: > ifconfig_gif0="192.168.20.2 netmask 255.255.255.0 192.168.30.2 netmask > 255.255.255.0" > gifconfig_gif0="293.293.297.298 netmask 255.255.255.192 294.294.298.299 > netmask 255.255.255.192" Dahora! Ele realmente criou a interface gif0, mas só "pegou" o tunel 192 -> 192 o 200 -> 200 não foi criado, acredito que o comando gifconfig_gif0 foi ignorado. Mas no script abaixo ele irá criar :) > e, em /usr/local/etc/rc.d eu tenho o seguinte script: > e funciona MUITO BEM. O ipsec.conf.DAQUI (ou DE_LAH) segue o padrão, mas até > posso manda-lo, se julgar necessário. Cara, muito "irado" seu script velho, estou usando ele de base para o meu e depois eu mando para a lista, visto que tenho que resolver outros pepinos agora 8( Bom, se minha criptografia não funcionar eu volto a escrever para a lista. Obrigado por tudo até agora! -- Tiago Cruz http://linuxrapido.org Linux User #282636 "The box said: Requires MS Windows or better, so I installed Linux" ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Ajuda com IPsec - parte II :)
Em Thu, 20 Oct 2005 11:01:30 -0200
Tiago Cruz <[EMAIL PROTECTED]> escreveu:
> Isso abaixo não funciona:
>
(.. snip.. )
> Além de tudo, durante o boot ele não cria a interface gif0 e o firewall
> dá pau por não encontrar a mesma.
>
meu rc.conf é assim:
:
ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf.DAQUI"
gif_interfaces="gif0"
ifconfig_gif0="192.168.20.2 netmask 255.255.255.0 192.168.30.2 netmask
255.255.255.0"
gifconfig_gif0="293.293.297.298 netmask 255.255.255.192 294.294.298.299 netmask
255.255.255.192"
:
e, em /usr/local/etc/rc.d eu tenho o seguinte script:
#/bin/sh
ip_DAQUI="293.293.297.298"
ip_DE_LAH="294.294.298.299"
gateway_DAQUI="192.168.20.2"
gateway_DE_LAH="192.168.30.2"
rede_DAQUI="192.168.20.0"
rede_DE_LAH="192.168.30.0"
mascara="0x"
case ${1} in
start)
echo "inicializando"
/sbin/ifconfig gif0 create
/sbin/ifconfig gif0 tunnel ${ip_DAQUI} ${ip_DE_LAH}
/sbin/ifconfig gif0 inet ${gateway_DAQUI} ${gateway_DE_LAH} netmask
${mascara}
/sbin/route add ${rede_DAQUI}/24 ${rede_DE_LAH}/24
/usr/sbin/setkey -f /etc/ipsec.conf.DAQUI
#/usr/local/sbin/racoon
;;
stop)
echo "terminando"
/sbin/ifconfig gif0 destroy
;;
esac
exit 0
:===
e funciona MUITO BEM. O ipsec.conf.DAQUI (ou DE_LAH) segue o padrão, mas até
posso manda-lo, se julgar necessário.
divirta-se
flames > /dev/null
---
saudações,
Irado Furioso com Tudo
Linux User 179402/FreeBSD BSD50853 (100% Microsoft Free)
Nunca bote a mão no fogo por u'a mulher porque você está se arriscando a ficar
com o apelido de Maneta.
(apud Stanislaw Ponte Preta - Sergio Porto - in "maximas inéditas da Tia
Zulmira")
___
Freebsd mailing list
Freebsd@fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Ajuda com IPsec - parte II :)
Pessoal, boas notícias! Seguindo o handbook (e usando um montão de intuição feminina :-P) consegui fazer a primeira parte da VPN, sem criptografia!!! Ebbaa!!! Agora, antes de partir para a segunda parte, gostaria de deixar arrumado o /etc/rc.conf, que não está documentado na versão 5.4 do FreeBSD. Isso abaixo não funciona: gifconfig_gif0="A.B.C.D W.X.Y.Z" ifconfig_gif0="inet 192.168.2.1 192.168.0.1 netmask 255.255.252.0" static_routes="vpn" route_vpn="192.168.0.0 192.168.0.1 netmask 255.255.252.0" Além de tudo, durante o boot ele não cria a interface gif0 e o firewall dá pau por não encontrar a mesma. Amigos, como vocês resolveram esse pequeno empecilho? Obrigado pelas dicas, estão sendo de grande valia! -- Tiago Cruz http://linuxrapido.org Linux User #282636 "The box said: Requires MS Windows or better, so I installed Linux" ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
