[1] Comentário enviado por y2h4ck em 04/11/2004 - 12:09h:

Fernando blz ?
Gostaria de dizer que não sei se vc sabe mas o projeto FreeSWAN está parado, e que a continuação dele é o OpenSWAN ... acho bom dizer isso ao pessoal, porque é melhor seguir usando um projeto que vai ter atualizações e continuação.

Blz ?

Falow

[2] Comentário enviado por engos em 04/11/2004 - 13:12h:

Muito bom o artigo, o unico problema foi a distro usada, não consigou achar uma pior? :)

Brincadeiras a parte, sou exigente e gosto de tudo bem feito, ou que a pessoa não faça e deixe para outra. Seu artigo conseguiu me agradar totalmente (o que não é fácil).

Parabéns pelo artigo.

[3] Comentário enviado por __FERNANDO__ em 04/11/2004 - 13:22h:

Valeu engos!

Fala serio ai... você utiliza Mandrake cara ..hehe...para né... nada a ver... sou mais o Conectiva mesmo..hehehe...

Brincadeira hein...eu pra ser sincero nunca nem vi como é o Mandrake (e nem quero...kkkkk....brincadeira novamente...rssss)

Mandei um e-mail para você comentando sobre o seu comentário...heheeh.

Valeu,

Fernando.

[4] Comentário enviado por __FERNANDO__ em 04/11/2004 - 14:34h:

Tudo beleza y2h4ck !!!.

Cara sinceramente não sabia desta informação que passou... excelente cara.. valeu pela informação.

Obrigado,

Fernando.

[5] Comentário enviado por androle em 04/11/2004 - 15:48h:

Que rufem os tambores!!!!

O engos gostou totalmente de um artigo!!!

:))) brincadeirinha

[6] Comentário enviado por __FERNANDO__ em 04/11/2004 - 17:01h:

Kkkkkkkkk.... quer dizer que é dificil o engos gostar totalmente de um artigo ? rsss... Poxa, que honra.

Valeu H-lera.

Fernando.

[7] Comentário enviado por rbn_jesus em 04/11/2004 - 17:30h:


Este artigo que vc fez pode ser aplicado em qualquer distro ou só no CL?

[8] Comentário enviado por __FERNANDO__ em 04/11/2004 - 17:36h:

Boa tarde!

Então cara, eu fiz no CL... pode ser aplicado a outras distribuições sim.
Como eu disse, no CL9 ela (VPN) está como nativa, então é tranquilo a sua instalação... mas em algumas distribuições, você precisa de outro pacote, senão me engano é um pacote que é aplicado no Kernel. É algo como:
freeswan-kernelpatch (mais ou menos isto).

Abraços,

Fernando.

[9] Comentário enviado por cedrimendes em 05/11/2004 - 11:20h:

valeu cara muito legal este artigo tem muitos detalhes nele que eu nao encontrei em outros porem como voce disse e uma pena que NAT nao funcione muito legal


se voce tiver um comentario a respeito do assunto por favor me passe

cedrimendes@netsite.com.br

[10] Comentário enviado por lacierdias em 06/11/2004 - 12:45h:

maneiro o artigo mas este projeto já náo esta parado a um tempão???

[11] Comentário enviado por __FERNANDO__ em 07/11/2004 - 14:11h:

Boa tarde!

Então, como o amigo y2h4ck disse acima, o projeto FreeSWan está parado, porém tem a sua continuação com o OpenSWan.

Porem, FreeSWan ainda é muito utilizado hoje... eu particularmente acho muito boa a VPN com o FreeSWan.

Abraços e até mais,

Fernando.

[12] Comentário enviado por carl em 10/11/2004 - 05:47h:

Caro fernando, quando tento instalar o freeswan, ele me pede uma lib, que não consigo achar em lugar nenhum, vc tem ela ai pra me dar, a lib é a libpcap.so.0
Carlos Cesar
carlos@gruporoyal.com.br

[13] Comentário enviado por __FERNANDO__ em 10/11/2004 - 06:22h:

Fala ai carl !

Estou te mandando por e-mail.

Valeu,


Fernando.

[14] Comentário enviado por judabenhur em 09/12/2004 - 11:27h:

Olá Fernando,

Eu segui seu roteiro, mas passando para o openswan....

Ocorreu a seguinte mensagem no /var/log/messages:
---------
Dec 9 11:05:30 belohorizonte-mg ipsec__plutorun: 003 ERROR "/etc/ipsec.secrets" line 1: index ":RSA" illegal leading `:' in IPv6 numeric address
Dec 9 11:05:30 belohorizonte-mg ipsec__plutorun: 003 ERROR "/etc/ipsec.secrets" line 1: index "{" illegal (non-DNS-name) character in name
Dec 9 11:05:30 belorizonte-mg ipsec__plutorun: 003 ERROR "/etc/ipsec.secrets" line 5: index "Modulus" does not look numeric and name lookup failed
Dec 9 11:05:30 belorizonte-mg ipsec__plutorun: 003 "/etc/ipsec.secrets" line 5: unrecognized key format: 0x78a.........
-------

O que pode ser ?

[]s,
Anderson.

[15] Comentário enviado por judabenhur em 09/12/2004 - 11:56h:

Olá Fernando....

Eu removi a primeira e a última linha que vc orientaa colcoar no /etc/ipsec.secrets , agora, a mensagem no log é diferente....
------
Dec 9 11:48:28 belohorizonte-mg ipsec_setup: ...Openswan IPsec started
Dec 9 11:48:28 belohorizonte-mg ipsec_setup: Starting Openswan IPsec U2.2.0/K2.6.5-1.358...
Dec 9 11:48:29 belohorizonte-mg ipsec__plutorun: 003 "/etc/ipsec.secrets" line 4: file starts with indentation (continuation notation)
-----

Mas o serviço inicializa normalmente....
A linha 4 dentro do /etc/ipsec.secrets começa com "Modulus: 0x...."

É isso mesmo ?

[]s,
Anderson.

[16] Comentário enviado por __FERNANDO__ em 09/12/2004 - 13:20h:

Boa tarde!

Cara, infelizmente ainda nem vi o Openswan... ultimamente tá fogo viu.. bem que eu queria dar uma olhada nele....mas agora tá cruel..hehe..meio corrido.

Então, a unica coisa que posso afirmar é que você não pode tirar as linhas que tirou naum... ao menos no Freeswan... e é Modulus sim...

Outra coisinha...dá uma olhada no arquivo de configuração... se na parte:
conn %default
keyingtries=0
disablearrivalcheck=no
authby=rsasig
leftrsasigkey=%dnsondemand
rightrsasigkey=%dnsondemand

Na parte authby=rsasig ...se está assim mesmo..

Espero ter ajudado,

Fernando.

[17] Comentário enviado por judabenhur em 09/12/2004 - 15:17h:

Fernando.....

Legal.... vou tentar então, mexer com o freeswan...... Eu havia optado pelo Openswan, pq houve o comentário de que era a continuação do mesmo projeto.

No entanto, ao rodar insmod ipsec, tenho a triste notícia de que o arquivo não existe.... pior é que tá lá na configuração dor kernel.... mas não no path..... tenho apenas o ipsec.h ......

Alguma dica ?

[]s,
Anderson.

[18] Comentário enviado por __FERNANDO__ em 11/12/2004 - 13:15h:

Boa tarde!

Que distribuição está usando ? Putz...se não tá no Kernel... tem alguns pacotinhos que são exatamente isto ai que está faltando... o nome agora eu não me lembro direito...é algo como: kernel-patch-freeswan...algo do tipo.

Fernando.

[19] Comentário enviado por aprendiz_ce em 25/01/2005 - 20:40h:


Estou precisando conectar a minha rede com a rede de uma
outra empresa via VPN. Mas não obtive ajuda do pessoal
técnico da empresa em questão, só sei que o protocolo é PPTP
e o IP do servidor. A minha rede tem um servidor (PDC) CL 9
compartilhando internet (IP MASCARADO + NAT) com estações
Win98 (atualizadas com Dial Up Networking 1.4).

No momento as estações só conectam, um por vez, mas gostaria
que todas se conectassem simultaneamente. Quando um já esta
conectada e a outra tenta conectar tambem, a conexão é
rejeitada. O que devo fazer para por isto em pratica? tenho
que instalar um servidor de VPN também, ou só um regra no
IPTABLES resolveria?

Grato pela atenção.

Mardônio Cavalcante

[20] Comentário enviado por __FERNANDO__ em 26/01/2005 - 09:28h:

Bom dia, Cara sobre o PPTP eu num manjo naum viu... mas aqui no site tem varios artigos referente a ele.

Te mandei um e-mail com um link sobre PPTP..da uma olhadinha.

Até mais,

Qualquer coisa é só dizer,

Abraços,

Fernando.

[21] Comentário enviado por antoniaze em 01/02/2005 - 14:03h:

cara valeu mesmo finalmente encotrei alguem que deu umas dicas para conectiva.....

[22] Comentário enviado por linuxbeginner em 10/02/2005 - 15:40h:

Caro Fenando,

Soh lembrando quanto as regras no Firewall.........alem da porta 500 UDP que deve ser liberado, o que também deve ser liberado são os PROTOCOLOS 50(ESP) e 51(AH), e não as portas 50 e 51 como foi dito.

Fica ai a dica.

Parabens pelo artigo.......muito bom mesmo!

[23] Comentário enviado por __FERNANDO__ em 10/02/2005 - 16:16h:

Opá... agradeço hein.

Muito obrigado pela correção...valeu mesmo hein.


Fernando.

[24] Comentário enviado por nobregasz em 02/06/2005 - 06:37h:

Aiai... eu devia ter lido que devia estar logado antes de escrever algo :) bom. .agora vou resumir mais.

Existem dois forks do FreeSwan: OpenSwan (www.openswan.org) e o StrongSwan (www.strongswan.org). Eu particularmente gostei mais do StrongSwan (tentei configurar criptografia AES 256 no Openswan e nao consegui. No Strong foi mole) além de que, achei a documentação do site do Strong mais completa.

O OpenSwan ja esta vindo junto com algumas distros (Fedora 3, Suse..) no Fedora Core 3 a instalação émoleza (yum install openswan..)

Os dois projetos ja têm, em suas versões mais novas, o patch para NAT-T que "dribla" o problema com a passagem por NAT.

Bem, caso alguem se aventure e tiver problemas, ficarei feliz em tentar ajudar.

Espero ter contribuido com todos.

[]s

Rodrigo

[25] Comentário enviado por Papafigo em 01/06/2006 - 17:22h:

Parabéns pelo artigo.

[26] Comentário enviado por Gilfran em 13/10/2006 - 12:26h:

Amigo, estou com um TRENDnet TW100-BRV204, ele só gera uma chave (e não duas que você configura a right e left), sendo assim pergunto, é possivel fazer um IPSec Trend se comunicar com um IPSec Linux?
Eu preciso disso porque vou ter um servidor com IPSec e terei 5 TRENDnet desses em 5 filiais espalhadas pelo país, outra dúvida me surte, posso fazer vários IPSec para a mesma máquina como é o caso que pretendo fazer?
Desde já agradeço.
Abraços,
"Gil"

[27] Comentário enviado por aluisiogouveia em 22/11/2006 - 23:48h:

Comigo aconteceu o seguinte problema no momento do start so ipsec:

Dec 9 11:05:30 vpn ipsec__plutorun: 003 ERROR "/etc/ipsec.secrets" line 1: index ":RSA" illegal leading `:' in IPv6 numeric address

Resolvi assim:

Na primeira linha do ipsec.secrets

@my.com: rsa { ....
ultima linha identei o } com tab

[28] Comentário enviado por FireBird em 25/01/2007 - 15:18h:

Mano...Deixa eu te perguntar...Antes de mais nada, parabens pra voce pelo artigo..ficou mtob em feito... so uam coisa... O OpenSwan e nem o FreeSwan rodam debaixo de nat...Voce saberia algum que poderia fazer isso? Sabe se o OpenVPN tem suporte a ipsec? talvez o kame?
Se tiver como mandar resposta por email...ficaria agradecido

fernandino.silva@gmail.com

valeu...

[29] Comentário enviado por zapp em 22/03/2007 - 10:34h:

Pessoal, sempre vejo comentarios e nao conseguem rodar nat em vpn, tenho uma vpn aki com cl9 uns 5 anos rodando nat nas duas pontas, e funciona xik, isso eh facil soh mudar uma regra no iptables
aki vai a configuração do Iptables

internet=eth1
redeA=192.168.0.0/255.255.255.0
redeB=192.168.1.0/255.255.255.0
iptables -t nat -A POSTROUTING -s $redeA -d ! $redeB -o $internet -j MASQUERADE

com isso somente a redeA tem o nat a redeB q vai entrar no servidor nao precisa de nat.

a mesma coisa se faz na redeB invertendo e ficando assim:

internet=eth1
redeA=192.168.0.0/255.255.255.0
redeB=192.168.1.0/255.255.255.0
iptables -t nat -A POSTROUTING -s $redeB -d ! $redeA -o $internet -j MASQUERADE

Pronto... esta resolvido o problema da duas NAT na duas redes..

Espero ter contibuido com a Comunidade.

Futuramente quero montar um artigo para fazer o IPSEC funcionar em slackware 11 com kernel 2.6, já estou trabalhando este projeto com slackware uma distro que eu particularmente AMO.

[30] Comentário enviado por cassioseffrin em 30/03/2008 - 16:34h:

Olá Fernando,

Gostaria de saber se o freeswan permite diversas filiais ligadas a uma matriz. Por exemplo tenho 5 distribuidoras que deveraiam ser conectadas a um único sistema que esta hospedado na matriz. Pelo que vi o artigo trata bastante de right e left, porém não fica claro se isto é possível utilizando o freeswan?

[31] Comentário enviado por ferjun01 em 30/08/2008 - 10:01h:

Salve galera, peço ajuda para resolver este problema..

Estou com problemas para fechar uma vpn com Freeswan no Slackware, esta configuração já existia e alterei apenas os ip's, a chave PSK e inclui o 3-DES, quando subo a vpn aparentemente está fechada, mas quando mando um telnet para o destino ele vai por fora da vpn, abaixo vou colocar os arquivos de configuraçâo, se possível peço sua ajuda neste caso, muito obrigado :

IPSEC.CONF

# /etc/ipsec.conf - FreeS/WAN IPsec configuration file
# RCSID $Id: ipsec.conf.in,v 1.11 2003/06/13 23:28:41 sam Exp $

# This file: /usr/local/share/doc/freeswan/ipsec.conf-sample
#
# Manual: ipsec.conf.5
#
# Help:
# http://www.strongsec.com/freeswan/install.htm

version 2.0 # conforms to second version of ipsec.conf specification

# basic configuration
config setup
interfaces="ipsec0=eth0"
klipsdebug=none
plutodebug=none
# plutoload=%search
# plutostart=%search
# plutowait=no

# Debug-logging controls: "none" for (almost) none, "all" for lots.
# klipsdebug=all
# plutodebug=all
# crlcheckinterval=600
# strictcrlpolicy=yes

conn %default
auto=add
type=tunnel
left=
right=
authby=secret
keyexchange=ike
esp=3des-md5-96i
keylife=24h

# OE policy groups are disabled by default
conn block
auto=ignore

conn clear
auto=ignore

conn private
auto=ignore

conn private-or-clear
auto=ignore

conn clear-or-private
auto=ignore

conn packetdefault
auto=ignore

# Add connections here.

# sample VPN connection
#sample# conn sample
#sample# # Left security gateway, subnet behind it, next hop toward right.
#sample# left=%defaultroute
#sample# leftcert=myCert.pem
#sample# leftsubnet=172.16.0.0/24
#sample# # Right security gateway, subnet behind it, next hop toward left.
#sample# right=10.12.12.1
#sample# rightid="<Distinguished name of right security gateway>"
#sample# rightsubnet=192.168.0.0/24
#sample# # To authorize this connection, but not actually start it, at startup,
#sample# # uncomment this.
#sample# #auto=start
conn vpn
auto=add
type=tunnel
left=200.X.X.11
leftsubnet=200.X.X.51/32
leftnexthop=
right=201.X.X.2
rightsubnet=192.168.1.0/24
rightnexthop=201.X.X.1
authby=secret
esp=3des-md5-96i
keylife=24h
pfs=yes
rekeymargin=9m
rekeyfuzz=25%

No ipsec.secret, tem apenas uma linha contendo a chave, substitui uma pela outra :

ipsec.secret

:PSK "CHAVE"


Dando um ipsec auto --status :
ipsec auto --status
000 interface ipsec0/eth0 201.X.X.2
000 %myid = (none)
000 debug none
000
000 "vpn": 192.168.1.0/24===201.X.X.2---201.X.X.1...200.X.X.11===200.X.X.51/32; erouted; eroute owner: #4
000 "vpn": ike_life: 3600s; ipsec_life: 86400s; rekey_margin: 540s; rekey_fuzz: 25%; keyingtries: 0
000 "vpn": policy: PSK+ENCRYPT+TUNNEL+PFS+UP; prio: 32,24; interface: eth0;
000 "vpn": newest ISAKMP SA: #3; newest IPsec SA: #4;
000
000 #4: "vpn" STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 85714s; newest IPSEC; eroute owner
000 #4: "vpn" esp.243f75c5@200.X.X.11 esp.bbaf1782@201.X.X.2 tun.1004@200.X.X.11 tun.1003@201.X.X.2
000 #3: "vpn" STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in 3042s; newest ISAKMP
000


No var/log/secure apresenta um erro na 1ª linha do ipsec.secrets :
/var/log/secure
6378 Aug 28 22:27:13 servervpn pluto[15662]: Starting Pluto (FreeS/WAN Version 2.05 X.509-1.5.3 PLUTO_ USES_KEYRR)
6379 Aug 28 22:27:13 servervpn pluto[15662]: Using KLIPS IPsec interface code
6383 Aug 28 22:27:13 servervpn pluto[15662]: Changing to directory '/etc/ipsec.d/crls'
6384 Aug 28 22:27:13 servervpn pluto[15662]: added connection description "vpn"
6385 Aug 28 22:27:13 servervpn pluto[15662]: listening for IKE messages
6386 Aug 28 22:27:13 servervpn pluto[15662]: adding interface ipsec0/eth0 201.X.X.2
6387 Aug 28 22:27:13 servervpn pluto[15662]: loading secrets from "/etc/ipsec.secrets"
6388 Aug 28 22:27:13 servervpn pluto[15662]: ERROR "/etc/ipsec.secrets" line 1: index ":PSK" illegal l eading `:' in IPv6 numeric address
6389 Aug 28 22:27:16 servervpn pluto[15662]: "vpn" #1: initiating Main Mode
6390 Aug 28 22:27:16 servervpn pluto[15662]: "vpn" #1: received Vendor ID Payload; ASCII hash: tm{COMENTARIO}31` A{COMENTARIO}24kQo*,{COMENTARIO}16c}/({COMENTARIO}0748{COMENTARIO}37
6391 Aug 28 22:27:16 servervpn pluto[15662]: "vpn" #1: Peer ID is ID_IPV4_ADDR: '200.X.X.11'
6392 Aug 28 22:27:16 servervpn pluto[15662]: "vpn" #1: ISAKMP SA established
6393 Aug 28 22:27:16 servervpn pluto[15662]: "vpn" #2: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP {using isakmp#1}
6394 Aug 28 22:27:16 servervpn pluto[15662]: "vpn" #2: ignoring informational payload, type IPSEC_RESP ONDER_LIFETIME
6395 Aug 28 22:27:16 servervpn pluto[15662]: "vpn" #2: sent QI2, IPsec SA established {ESP=>0xd6e0a488 <0x92ec5888}
6396 Aug 28 22:28:11 servervpn pluto[15662]: shutting down
6397 Aug 28 22:28:11 servervpn pluto[15662]: forgetting secrets
6398 Aug 28 22:28:11 servervpn pluto[15662]: "vpn": deleting connection
6399 Aug 28 22:28:11 servervpn pluto[15662]: "vpn" #2: deleting state (STATE_QUICK_I2)
6400 Aug 28 22:28:11 servervpn pluto[15662]: "vpn" #1: deleting state (STATE_MAIN_I4)
6401 Aug 28 22:28:11 servervpn pluto[15662]: shutting down interface ipsec0/eth0 201.X.X.2

[32] Comentário enviado por ferjun01 em 30/08/2008 - 13:57h:

Estes são os requerimentos para fechar a vpn :

Fase I – Protocolo IKE – Não será aceito outro protocolo senão IKE
Fase I – Algoritmos de criptografia e integridade &#61551; 3DES com MD5
Fase I – Grupo Diffie-Hellman Grupo 2 (1024 bits)
Fase I – Renegociar IKE Security Associations a cada 1440 minutos
Fase I – Aggressive Mode (DESABILITADO)
Fase I – Método de autenticação Shared Secret
Fase II - Protocolo IPSEC
Fase II – Algoritmos de criptografia e integridade
A Fase II seguirá os mesmos algoritmos da Fase I.
Fase II –PFS (Perfect Forward Secrecy) Grupo Diffie-Helmann 2 (1024 bits)
Fase II – Renegociar IPSEC Security Association a cada 3600 segundos
Fase II – Compressão de dados IPSEC (DESABILITADO)

[33] Comentário enviado por xcyclops em 12/01/2010 - 09:49h:

Olá Fernando e Galera do Forum,

Estou com o seguinte problema:
LOG do meu FIREWALL

====>>>>

fw:/var/log # tail -f /var/log/messages | grep vpn
Jan 12 10:36:54 fw pluto[13188]: "vpn" #5: max number of retransmissions (2) reached STATE_MAIN_I1. No response (or no acceptable response) to our first IKE message
Jan 12 10:36:54 fw pluto[13188]: "vpn" #5: starting keying attempt 2 of at most 3, but releasing whack
Jan 12 10:36:54 fw pluto[13188]: "vpn" #6: initiating Main Mode to replace #5
Jan 12 10:36:54 fw ipsec__plutorun: 104 "vpn" #5: STATE_MAIN_I1: initiate
Jan 12 10:36:54 fw ipsec__plutorun: 010 "vpn" #5: STATE_MAIN_I1: retransmission; will wait 20s for response
Jan 12 10:36:54 fw ipsec__plutorun: 010 "vpn" #5: STATE_MAIN_I1: retransmission; will wait 40s for response
Jan 12 10:36:54 fw ipsec__plutorun: 031 "vpn" #5: max number of retransmissions (2) reached STATE_MAIN_I1. No response (or no acceptable response) to our first IKE message
Jan 12 10:36:54 fw ipsec__plutorun: 000 "vpn" #5: starting keying attempt 2 of at most 3, but releasing whack
Jan 12 10:36:54 fw ipsec__plutorun: ...could not start conn "vpn"
Jan 12 10:38:04 fw pluto[13188]: "vpn" #6: max number of retransmissions (2) reached STATE_MAIN_I1. No response (or no acceptable response) to our first IKE message
Jan 12 10:38:04 fw pluto[13188]: "vpn" #6: starting keying attempt 3 of at most 3
Jan 12 10:38:04 fw pluto[13188]: "vpn" #9: initiating Main Mode to replace #6
Jan 12 10:39:14 fw pluto[13188]: "vpn" #9: max number of retransmissions (2) reached STATE_MAIN_I1. No response (or no acceptable response) to our first IKE message


<<<<======


MEU AMBIENTE É:
MATRIZ: Firewall OpenSuse (IPSEC/Freeswan)
FILIAL: Router Planet MH-2001 VPN ( http://www.planet.com.tw/en/product/product_ov.php?id=7708 )

Ja fiz muitas alteraçoes e testes e nao sobe a VPN.

SERÁ QUE ALGUÉM PODE ME AJUDAR?
Obrigado.

Att. xcyclops

_

[34] Comentário enviado por montovani em 12/02/2010 - 08:33h:

Olá xcyclops....


Cara estou com o mesmo problema que você.... então se você achou a solução ou alguem souber como resolver por favor me de um toque por favor....


Att. Montovani