Problemas com VPN Libreswan e Banco do Brasil

teoyemal
(usa Debian)

Enviado em 30/08/2017 - 10:38h

Bom dia a todos !!!!

Estou com a tarefa de ativar uma VPN entre minha empresa e o Banco do Brasil, já tenho em funcionamento com o Banco do Brasil uma VPN com Link em fibra da Embratel e outro Link com serviço Speedy Vivo, tudo OK. Adquirimos um Link dedicado da Vivo para criar uma nova VPN, estou utilizando Debian 8.8 e para VPN Libreswan, opções devido a DH 2 = Diffie-Hellman -1024 bits que o BB esta usando agora e não aceita nas versões anteriores do Debian.

Instalei tanto CentOS 6.5 como o 7.2 com Libreswan e o Debian 8.8 com o StrongSwan e Libreswan, a VPN fecha com o BB mas não consigo trafegar nela. Entrei em contato com o responsável do BB que se certificou que a VPN esta fechada com eles mas não consigo telnet e nem ping.

Alguem já consegui essa tarefa ou alguma ideia para me ajudar ????

LSSilva
(usa Outra)

Enviado em 30/08/2017 - 13:56h

Boa tarde!
Poste mais detalhes sobre a conexão e como está tentando fazer esses testes.
Se possível poste sua tabela de roteamento, mesmo que fictícia (por ser uma situação banco -> empresa) e o que precisa acessar/trafegar (mesmo que fictício também).

teoyemal
(usa Debian)

Enviado em 30/08/2017 - 14:15h

IPSEC.CONF

###--- Configuracoes Gerais

config setup
nat_traversal=yes
plutostderrlog=/var/log/pluto.log
protostack=netkey
oe=off

###--- Definicao da(s) VPN(s)
conn VPN_BBrasil
authby=secret
auto=start
## phase 1 ##
ike=aes256-sha2_256;modp1024
keylife=3600s
# phase 2 ##
phase2=esp
phase2alg=aes256-sha2_256;modp1024
ikelifetime=86400s
pfs=yes
type=tunnel

left=200.159.XX.XXX
leftsubnet=10.25.51.0/24
leftsourceip=10.25.51.254

right=170.66.X.XX
rightsubnet=170.66.50.0/24


Tabela de Roteamento IP do Kernel
Destino Roteador MáscaraGen. Opções Métrica Ref Uso Iface
0.0.0.0 200.159.XX.XXX 0.0.0.0 UG 0 0 0 eth1
10.25.51.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
170.66.50.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
200.159.XX.XX 0.0.0.0 255.255.255.248 U 0 0 0 eth1

root@:/etc# ipsec status
000 using kernel interface: netkey
000 interface lo/lo ::1@500
000 interface lo/lo 127.0.0.1@4500
000 interface lo/lo 127.0.0.1@500
000 interface eth0/eth0 10.25.51.254@4500
000 interface eth0/eth0 10.25.51.254@500
000 interface eth1/eth1 200.159.xx.xxx@4500
000 interface eth1/eth1 200.159.xx.xxx@500
000 interface eth1/eth1 10.25.51.250@4500
000 interface eth1/eth1 10.25.51.250@500
000
000
000 fips mode=disabled;
000 SElinux=disabled
000
000 config setup options:
000
000 configdir=/etc, configfile=/etc/ipsec.conf, secrets=/etc/ipsec.secrets, ipsecdir=/etc/ipsec.d, dumpdir=/var/run/pluto, statsbin=unset
000 sbindir=/usr/sbin, libexecdir=/usr/lib/ipsec
000 pluto_version=3.15, pluto_vendorid=OE-Libreswan-3.15
000 nhelpers=-1, uniqueids=yes, perpeerlog=no, shuntlifetime=900s, xfrmlifetime=300s
000 ddos-cookies-treshold=50000, ddos-max-halfopen=25000, ddos-mode=auto
000 ikeport=500, strictcrlpolicy=no, crlcheckinterval=0, listen=<any>, nflog-all=0
000 secctx-attr-type=<unsupported>
000 myid = (none)
000 debug none
000
000 nat-traversal=yes, keep-alive=20, nat-ikeport=4500
000 virtual-private (%priv):
000
000 ESP algorithms supported:
000
000 algorithm ESP encrypt: id=3, name=ESP_3DES, ivlen=8, keysizemin=192, keysizemax=192
000 algorithm ESP encrypt: id=6, name=ESP_CAST, ivlen=8, keysizemin=128, keysizemax=128
000 algorithm ESP encrypt: id=11, name=ESP_NULL, ivlen=0, keysizemin=0, keysizemax=0
000 algorithm ESP encrypt: id=12, name=ESP_AES, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=13, name=ESP_AES_CTR, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=14, name=ESP_AES_CCM_A, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=15, name=ESP_AES_CCM_B, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=16, name=ESP_AES_CCM_C, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=18, name=ESP_AES_GCM_A, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=19, name=ESP_AES_GCM_B, ivlen=12, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=20, name=ESP_AES_GCM_C, ivlen=16, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=22, name=ESP_CAMELLIA, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=252, name=ESP_SERPENT, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=253, name=ESP_TWOFISH, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm AH/ESP auth: id=1, name=AUTH_ALGORITHM_HMAC_MD5, keysizemin=128, keysizemax=128
000 algorithm AH/ESP auth: id=2, name=AUTH_ALGORITHM_HMAC_SHA1, keysizemin=160, keysizemax=160
000 algorithm AH/ESP auth: id=5, name=AUTH_ALGORITHM_HMAC_SHA2_256, keysizemin=256, keysizemax=256
000 algorithm AH/ESP auth: id=6, name=AUTH_ALGORITHM_HMAC_SHA2_384, keysizemin=384, keysizemax=384
000 algorithm AH/ESP auth: id=7, name=AUTH_ALGORITHM_HMAC_SHA2_512, keysizemin=512, keysizemax=512
000 algorithm AH/ESP auth: id=8, name=AUTH_ALGORITHM_HMAC_RIPEMD, keysizemin=160, keysizemax=160
000 algorithm AH/ESP auth: id=9, name=AUTH_ALGORITHM_AES_XCBC, keysizemin=128, keysizemax=128
000 algorithm AH/ESP auth: id=251, name=AUTH_ALGORITHM_NULL_KAME, keysizemin=0, keysizemax=0
000
000 IKE algorithms supported:
000
000 algorithm IKE encrypt: v1id=0, v1name=0??, v2id=16, v2name=AES_CCM_C, blocksize=16, keydeflen=128
000 algorithm IKE encrypt: v1id=0, v1name=0??, v2id=15, v2name=AES_CCM_B, blocksize=16, keydeflen=128
000 algorithm IKE encrypt: v1id=0, v1name=0??, v2id=14, v2name=AES_CCM_A, blocksize=16, keydeflen=128
000 algorithm IKE encrypt: v1id=5, v1name=OAKLEY_3DES_CBC, v2id=3, v2name=3DES, blocksize=8, keydeflen=192
000 algorithm IKE encrypt: v1id=24, v1name=OAKLEY_CAMELLIA_CTR, v2id=24, v2name=CAMELLIA_CTR, blocksize=16, keydeflen=128
000 algorithm IKE encrypt: v1id=8, v1name=OAKLEY_CAMELLIA_CBC, v2id=23, v2name=CAMELLIA_CBC, blocksize=16, keydeflen=128
000 algorithm IKE encrypt: v1id=20, v1name=OAKLEY_AES_GCM_C, v2id=20, v2name=AES_GCM_C, blocksize=16, keydeflen=128
000 algorithm IKE encrypt: v1id=19, v1name=OAKLEY_AES_GCM_B, v2id=19, v2name=AES_GCM_B, blocksize=16, keydeflen=128
000 algorithm IKE encrypt: v1id=18, v1name=OAKLEY_AES_GCM_A, v2id=18, v2name=AES_GCM_A, blocksize=16, keydeflen=128
000 algorithm IKE encrypt: v1id=13, v1name=OAKLEY_AES_CTR, v2id=13, v2name=AES_CTR, blocksize=16, keydeflen=128
000 algorithm IKE encrypt: v1id=7, v1name=OAKLEY_AES_CBC, v2id=12, v2name=AES_CBC, blocksize=16, keydeflen=128
000 algorithm IKE encrypt: v1id=65004, v1name=OAKLEY_SERPENT_CBC, v2id=65004, v2name=SERPENT_CBC, blocksize=16, keydeflen=128
000 algorithm IKE encrypt: v1id=65005, v1name=OAKLEY_TWOFISH_CBC, v2id=65005, v2name=TWOFISH_CBC, blocksize=16, keydeflen=128
000 algorithm IKE encrypt: v1id=65289, v1name=OAKLEY_TWOFISH_CBC_SSH, v2id=65289, v2name=TWOFISH_CBC_SSH, blocksize=16, keydeflen=128
000 algorithm IKE hash: id=1, name=OAKLEY_MD5, hashlen=16
000 algorithm IKE hash: id=2, name=OAKLEY_SHA1, hashlen=20
000 algorithm IKE hash: id=4, name=OAKLEY_SHA2_256, hashlen=32
000 algorithm IKE hash: id=5, name=OAKLEY_SHA2_384, hashlen=48
000 algorithm IKE hash: id=6, name=OAKLEY_SHA2_512, hashlen=64
000 algorithm IKE hash: id=9, name=DISABLED-OAKLEY_AES_XCBC, hashlen=16
000 algorithm IKE dh group: id=2, name=OAKLEY_GROUP_MODP1024, bits=1024
000 algorithm IKE dh group: id=5, name=OAKLEY_GROUP_MODP1536, bits=1536
000 algorithm IKE dh group: id=14, name=OAKLEY_GROUP_MODP2048, bits=2048
000 algorithm IKE dh group: id=15, name=OAKLEY_GROUP_MODP3072, bits=3072
000 algorithm IKE dh group: id=16, name=OAKLEY_GROUP_MODP4096, bits=4096
000 algorithm IKE dh group: id=17, name=OAKLEY_GROUP_MODP6144, bits=6144
000 algorithm IKE dh group: id=18, name=OAKLEY_GROUP_MODP8192, bits=8192
000 algorithm IKE dh group: id=22, name=OAKLEY_GROUP_DH22, bits=1024
000 algorithm IKE dh group: id=23, name=OAKLEY_GROUP_DH23, bits=2048
000 algorithm IKE dh group: id=24, name=OAKLEY_GROUP_DH24, bits=2048
000
000 stats db_ops: {curr_cnt, total_cnt, maxsz} :context={0,26,64} trans={0,26,6144} attrs={0,26,4096}
000
000 Connection list:
000
000 "VPN_BBrasil": 10.25.51.0/24===200.159.xx.xxx<200.159.xx.xxx>...170.66.1.85<170.66.1.85>===170.66.50.0/24; erouted; eroute owner: #26
000 "VPN_BBrasil": oriented; my_ip=10.25.51.254; their_ip=unset
000 "VPN_BBrasil": xauth info: us:none, them:none, my_xauthuser=[any]; their_xauthuser=[any]
000 "VPN_BBrasil": modecfg info: us:none, them:none, modecfg policy:push, dns1:unset, dns2:unset, domain:unset, banner:unset;
000 "VPN_BBrasil": labeled_ipsec:no;
000 "VPN_BBrasil": policy_label:unset;
000 "VPN_BBrasil": ike_life: 86400s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0;
000 "VPN_BBrasil": retransmit-interval: 500ms; retransmit-timeout: 60s;
000 "VPN_BBrasil": sha2_truncbug:no; initial_contact:no; cisco_unity:no; send_vendorid:no;
000 "VPN_BBrasil": policy: PSK+ENCRYPT+TUNNEL+PFS+UP+IKEV1_ALLOW+IKEV2_ALLOW+SAREF_TRACK+IKE_FRAG_ALLOW;
000 "VPN_BBrasil": conn_prio: 24,24; interface: eth1; metric: 0; mtu: unset; sa_prio:auto; nflog-group: unset;
000 "VPN_BBrasil": newest ISAKMP SA: #1; newest IPsec SA: #26;
000 "VPN_BBrasil": IKE algorithms wanted: AES_CBC(7)_256-SHA2_256(4)_000-MODP1024(2)
000 "VPN_BBrasil": IKE algorithms found: AES_CBC(7)_256-SHA2_256(4)_256-MODP1024(2)
000 "VPN_BBrasil": IKE algorithm newest: AES_CBC_256-SHA2_256-MODP1024
000 "VPN_BBrasil": ESP algorithms wanted: AES(12)_256-SHA2_256(5)_000; pfsgroup=MODP1024(2)
000 "VPN_BBrasil": ESP algorithms loaded: AES(12)_256-SHA2_256(5)_000
000 "VPN_BBrasil": ESP algorithm newest: AES_256-HMAC_SHA2_256; pfsgroup=MODP1024
000
000 Total IPsec connections: loaded 1, active 1
000
000 State Information: DDoS cookies not required, Accepting new IKE connections
000 IKE SAs: total(1), half-open(0), open(0), authenticated(1), anonymous(0)
000 IPsec SAs: total(1), authenticated(1), anonymous(0)
000
000 #26: "VPN_BBrasil":500 STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 1972s; newest IPSEC; eroute owner; isakmp#1; idle; import:admin initiate
000 #26: "VPN_BBrasil" esp.4b9c6bd9@170.66.1.85 esp.5f03a26d@200.159.70.170 tun.0@170.66.1.85 tun.0@200.159.70.170 ref=0 refhim=4294901761 Traffic: ESPin=0B ESPout=0B! ESPmax=4194303B
000 #1: "VPN_BBrasil":500 STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in 17741s; newest ISAKMP; nodpd; idle; import:admin initiate
000
000 Bare Shunt list:
000

root@:/etc# telnet 170.66.xx.xx 80
Trying 170.66.xx.xx...
telnet: Unable to connect to remote host: No route to host


root@:/etc# ping 170.66.xx.xx
PING 170.66.xx.xx (170.66.xx.xx) 56(84) bytes of data.
From 200.159.xx.xxx icmp_seq=1 Destination Host Unreachable
From 200.159.xx.xxx icmp_seq=2 Destination Host Unreachable

LSSilva
(usa Outra)

Enviado em 31/08/2017 - 13:56h

Te aconselho a verificar melhor as informações que postou e "esconder" algumas que estão aparentes nos logs da VPN.
Está pingando o host na faixa: 170.66.50.0?
Se sim, tente apagar a rota:
200.159.XX.XX 0.0.0.0 255.255.255.248 U 0 0 0 eth1
É claro, se tiver colocado ela manualmente e se houver contato físico com o host. Não faça isso "de longe". Pois se der algum erro, você refaz. Está meio confuso pra mim, porém pelo que entendi, ele está tentando chegar a este endereço utilizando outra faixa, já que tem duas rotas nesta interface.

teoyemal
(usa Debian)

Enviado em 07/09/2017 - 19:21h

Gente boa noite, alguém com alguma ideia para tentar resolver este problema ???