OPENSWAN [RESOLVIDO]

1. OPENSWAN [RESOLVIDO]

Luiz Alberto Rocha Bueno
luizbueno

(usa CentOS)

Enviado em 30/11/2012 - 15:39h

Galera
Sou iniciante em servidores VPN e estou precisando de uma ajuda para configurar o arquivo ipsec.conf para fechar um tunel com uma prestadora de serviço.

A empresa na qual precisa fechar um tunel comigo passou as seguintes informações

VPN Product Stone Gate

IKE Policy
Message Encryption algorithm 3DES
Message integrity algorithm MD5
Peer Authentication Method Preshared Key
DH-Group Group 2 (1024 Bit)
Perfect Forward Secrecy No
IKE Lifetime 1440 Minutos
Supports Aggressive Mode 1 no

IPSec Parameters
Mechanism for payload encryption ESP

ESP Transform 3DES

Data Integrity MD5
Security Association (SA) Lifetime 60 Minutos


Alguem poderia me ajudar a montar o arquivo ipsec.conf para receber essa conexão?
Desde ja agradeço



  


2. Re: OPENSWAN [RESOLVIDO]

Perfil removido
removido

(usa Nenhuma)

Enviado em 30/11/2012 - 16:35h

Boa tarde amigo,

Nunca estabeleci uma conexão VPN usando o openswan. no entando creio que os links abaixo podem vir a ajudar ou pelo menos a "clarear" suas dúvidas sobre as informações passadas pra você estabelecer a VPN.

http://leaf.sourceforge.net/doc/bucu-openswan.html



aproveite e faça uma pesquisa também aqui no VOL, tenho certeza que vai encontrar material sobre o software.

espero ter ajudado.


3. Re: OPENSWAN [RESOLVIDO]

Luiz Alberto Rocha Bueno
luizbueno

(usa CentOS)

Enviado em 30/11/2012 - 16:54h

Valeu pela ajuda....


4. Re: OPENSWAN [RESOLVIDO]

Perfil removido
removido

(usa Nenhuma)

Enviado em 30/11/2012 - 17:35h

Por nada!

sei que não é a resposta para seu problema, mas de alguma forma já colabora. no mais o que estiver com dúvida vai postando nesse tópico.


5. Re: OPENSWAN [RESOLVIDO]

Vitor Alves
vitorta

(usa Ubuntu)

Enviado em 30/11/2012 - 18:20h

teu arquivo vai ficar mais ou menos assim

vim /etc/ipsec.conf

conn nome da conexão
keyexchange=ike
aggrmode=no
type=tunnel
ike=3des-md5-modp1024
phase2=esp
phase2alg=3des-md5
pfs=no
ikelifetime=24h
keylife=1h
left=endereço do teu host
leftsubnet=endereço da rede interna(192.168.0.10/24)
leftnexthop=%defaultroute
right=endereço do hosta da operadora
rightsubnet=endereço da rede interna da operador(172.16.2.10/24)
rightnexthop=%defaultroute
authby=secret
auto=add

depois vai no vim /etc/ipsec.secrets

adiciona a seguinte linha

ip do teu host ip do hosta da operadora : PSK "digite a pre shared key"

:wq!

service ipsec restart

ipsec auto --up nome da conexão (digita no ipsec.conf)

veja o que vai dar qualquer coisa posta aqui.

Abraços.


6. OPENSWAN

Luiz Alberto Rocha Bueno
luizbueno

(usa CentOS)

Enviado em 03/12/2012 - 08:29h

Galera...queria agradecer imensamente pela ajuda...
Hoje as 10h vamos iniciar os testes com a VPN.
Se funcionar eu posto como ficou meu arquivo de configuração.


7. Re: OPENSWAN [RESOLVIDO]

Luiz Alberto Rocha Bueno
luizbueno

(usa CentOS)

Enviado em 11/12/2012 - 13:39h

Abaixo segue o arquivo de configuração


# /etc/ipsec.conf - Openswan IPsec configuration file
# RCSID $Id: ipsec.conf.in,v 1.15.2.6 2006-10-19 03:49:46 paul Exp $

# This file: /usr/share/doc/openswan/ipsec.conf-sample
#
# Manual: ipsec.conf.5


version 2.0 # conforms to second version of ipsec.conf specification

# basic configuration
config setup
# plutodebug / klipsdebug = "all", "none" or a combation from below:
# "raw crypt parsing emitting control klips pfkey natt x509 private"
# eg: plutodebug="control parsing"
#
# ONLY enable plutodebug=all or klipsdebug=all if you are a developer !!
#
# NAT-TRAVERSAL support, see README.NAT-Traversal
#nat_traversal=yes
# virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/24,%v4:172.16.0.0/12
#
#
# enable this if you see "failed to find any available worker"
#nhelpers=0
#klipsdebug=all
#plutodebug=all
protostack=netkey
nat_traversal=yes
virtual_private=
oe=off
# Enable this if you see "failed to find any available worker"
nhelpers=0

# Add connections here
conn nome da conexao
auth=esp
authby=secret
auto=start
esp=3des-md5-128
ikelifetime=86400s
keyexchange=ike
keylife=86400s
left=200.x.x.x
leftnexthop=200.x.x.x
leftsubnet=192.168.0.0/24
pfs=no
right=200.x.x.x
#rightsubnet=172.28.170.16/28
rightsubnets={172.28.170.16/28,172.28.171.96/28}
type=tunnel


# sample VPN connections, see /etc/ipsec.d/examples/


#Disable Opportunistic Encryption
#include /etc/ipsec.d/examples/no_oe.conf


abaixo segue as regras de firewall

#$iptables -t nat -I PREROUTING -s 172.28.170.16/28 -j ACCEPT
#$iptables -t nat -I POSTROUTING -d 172.28.170.16/28 -j ACCEPT
#$iptables -I FORWARD -s 172.28.170.16/28 -j ACCEPT
#$iptables -I FORWARD -d 172.28.170.16/28 -j ACCEPT
#$iptables -I INPUT -s 172.28.170.16/28 -j ACCEPT
#$iptables -I FORWARD -d 172.28.171.96/28 -j ACCEPT
#$iptables -I FORWARD -s 172.28.171.96/28 -j ACCEPT
#$iptables -I FORWARD -d 172.28.171.96/28 -j ACCEPT
#$iptables -t nat -I POSTROUTING -d 172.28.171.96/28 -j ACCEPT
#$iptables -t nat -I PREROUTING -s 172.28.171.96/28 -j ACCEPT




8. Re: OPENSWAN [RESOLVIDO]

Perfil removido
removido

(usa Nenhuma)

Enviado em 11/12/2012 - 13:56h

Você conseguiu montar sua VPN ?


9. Re: OPENSWAN [RESOLVIDO]

Luiz Alberto Rocha Bueno
luizbueno

(usa CentOS)

Enviado em 11/12/2012 - 22:35h

Sim....com as configurações postadas acima funcionou blz....agradeço a todos que me ajudaram...e fica ai os arquivos para consultas..


10. Re: OPENSWAN [RESOLVIDO]

Perfil removido
removido

(usa Nenhuma)

Enviado em 11/12/2012 - 22:39h

Não esquece de marcar como resolvido. ité mais.