Duvida IPSEC

rodrigo.a.sc
(usa Debian)

Enviado em 26/11/2011 - 10:21h

Estava configurando uma VPN em um servidor que nao fui eu que montei e me deparei com o IPSEC no qual eu não saco absolutamente "necas de kitibiriba" Bem, me deparei com o seguinte cenario.

VPN site-to-site

Parte que eu sei :
conn tunel_1
type=tunnel
left=192.168.1.1
leftsubnet=10.10.10.0/21
leftnexthop=%defaultroute
right=192.168.2.1
rightsubnet=192.168.3.0/24
rightnexthop=%defaultroute
type=tubel= tipo de conf
left= o firewall onde estou
leftsubnet= a rede do site interno no qual a rede da outra ponta irá conectar-se
leftnexthop = Não faço ideia
right = a ponta do outro firewall
rightsubnet = a rede do lado de la que irei me conectar.
rightnexthop=Não faço ideia

Parte que eu não sei :

rightnexthop=Não faço ideia
leftnexthop = Não faço ideia

Parte que eu não entendo :

keyexchange=ike
auth=esp
ike=aes256-sha1-modp1024
esp=aes256-sha1;modp1024
pfs=yes
ikelifetime=60s
keylife=60s
auto=start
authby=secret

Tenho o arquivo ipsec.secrets e li que lá ficam as senhas mas na verdade quando conecto a uma vpn de teste ele me pede login e senha e quando fui no conf desse cara so tinha senha e nao tinha login.

renato_pacheco
(usa Debian)

Enviado em 26/11/2011 - 15:38h

Kra, vamos lá! O q vc não entendeu:

        leftnexthop=%defaultroute <-- é o caminho da próxima rota do seu firewall. Se é defaultroute (rota padrão), a VPN vai utilizar d forma automática, utilizando o protocolo d roteamento para isso (q não lembro qual é). Aki vc pode estipular uma rota fixa para o caminho dos pacotes

        rightnexthop=%defaultroute <-- o msm dae d cima, mas da outra ponta

 

Os parâmetros abaixo referem-se às negociações d como ambas as partes vão trocar as chaves (ike), autenticar (esp) e criptografar o túnel (aes256+sha1).

        keyexchange=ike <-- troca das chaves

        auth=esp <-- autenticação

        ike=aes256-sha1-modp1024 <-- criptografia do túnel no momento da troca das chaves

        esp=aes256-sha1;modp1024 <-- criptografia do túnel no momento da autenticação

        pfs=yes

        ikelifetime=60s <-- tempo d vida da troca das chaves

        keylife=60s <-- tempo d vida das chaves

        auto=start

        authby=secret

 

O restante dos parâmetros eu teria q olhar com mais calma pq eu não conheço a fundo o OpenVPN.

Agora q vc sabe mais ou menos o q é kda um, dá pra vc t uma noção do q tá fazendo e adaptar para o seu fim.

rodrigo.a.sc
(usa Debian)

Enviado em 26/11/2011 - 16:24h

To acabando de montar um ambiente no meu Virtual Box para testar um site to site.
Quado eu fechar o ambiente faço um teste e posto aqui!

:)...Ha, na verdade é ipsec este cara não é openvpn, mas os conceitos me deram uma ajuda, so preciso deixar legal!

Obrigado!