VPN BANCO DO BRASIL

Thiede
(usa Outra)

Enviado em 07/08/2015 - 13:40h

Galera boa tarde, estou tentando levantar uma vpn com o banco do brasil.

Para isso utilizei o ipsec + openswan

A vpn sobe deboa, o problema e que nao consigo fazer telnet no banco e nem ping, a requisição nem bate no banco do brasil..

Minha placa de rede que recebe a internet (ETH1), esta com ip 192.168.1.2 (router esta com DMZ)

Tenho outra placa(ETH0) onde faço o DHCP 192.168.0.0/24.

minha conf do ipsec:

config setup
nat_traversal=nyes
virtual_private=%v4:170.66.50.0/24,%v4:192.168.0.0/24
oe=off
plutodebug=all
plutostderrlog=/var/log/pluto.log
interfaces=%defaultroute
protostack=netkey

conn banco-do-brasil
keyexchange=ike
auth=esp
authby=secret
pfs=yes
auto=start
keyingtries=0
type=tunnel
ike=aes128-sha1;modp1024!
ikelifetime=86400
phase2alg=aes128-sha1;modp1024
keylife=4608000s

#MY ADDRS
left=192.168.1.2 #my ip addr eth1 (WAN)
leftid=186.218.x.x #my external ip ADDR (Valid IP)
leftsubnet=192.168.0.0/24 #my subnet eth0&&eth1 (full access)

#BB ADDRS
right=170.66.6.31 # BB IP
rightsubnet=170.66.50.0/24 # BB subnet


Agradeço a atenção de todos, abracos!

R3nan
(usa Debian)

Enviado em 07/08/2015 - 16:29h

talvez o problema nao seja esse, mas na sua linha configuração nat_traversal=nyes tem um "n" na frente do "yes".

usainbold21
(usa Red Hat)

Enviado em 07/08/2015 - 21:40h

Roberto,
conseguiu avançar em algo?
Estou configurando a mesma conexão e estou com problemas também.

Agradeço.

Abraço

Thiede
(usa Outra)

Enviado em 07/08/2015 - 21:59h

Opa,

acredito que consegui um avanco agora, porem acredito nao ser uma das melhores solucoes , porem creio que vai funcionar...

Para isso peguei um cliente meu (cli) e utilizei um servidor meu (srv), nesse meio o cliente seria o banco do brasil.

Parâmetros

SRV
ip placa eth0 (WAN) = 192.168.25.100
ip placa eth1 (DHCP) = 192.168.25.50 - 192.168.25.55
subnet para vpn = 192.168.25.0/24
Computador embaixo da eth1 = 192.168.25.51

CLI -
ip placa eth0 (WAN) = 10.0.100.1
subnet para vpn = 10.0.0.0/24

ambos estão se pingando, acessando normalmente... Percebi o seguinte no SRV se eu colocar eth1 com qualquer outro ip fora de 192.168.25.0/24 , nao consigo pingar ninguém, e ninguém consegue me pingar, por isso decidi criar o dhcp na mesma margem do eth0, e agora esta tudo funcionando, amanha irei ai cliente para fazer as configurações e testar direto com banco do brasil.

Caso alguem que trocar mais ideias so add whatsapp 22 998426354.

Quando eu conseguir irei postar um tuto mais completo.

digitalx
(usa Debian)

Enviado em 07/08/2015 - 22:19h

Não posso ajudar, mas uma coisa me chamou atenção, porque está usando telnet ao invés de SSH?

Thiede
(usa Outra)

Enviado em 07/08/2015 - 22:24h

Opa,
Porque banco nao tem nenhum servico aberto para ssh, unico teste possivel e telnet ou ping, resto filtra no fw.

usainbold21
(usa Red Hat)

Enviado em 12/08/2015 - 00:04h

Boa noite,
se alguém puder dar uma dica.
Estou com problema semelhante.

A conexão fecha o tunel mas não navega. Não consigo fazer ping nem telnet.

telnet 170.66.50.50 9023 (não responde)



a topologia é esta

eth0 - 192.168.100.90
eth1 - 192.168.0.5
modem/router - 192.168.0.1
ip real - modem/router - 177.82.171.x


Minhas configurações são estas:

/etc/ipsec.conf
version 2.0
config setup
nat_traversal=yes
virtual_private=%v4:170.66.50.0/24,%v4:192.168.0.0/24,%v4:192.168.100.0/24
oe=off
plutodebug=all
plutostderrlog=/var/log/pluto.log
interfaces=%defaultroute
protostack=netkey
#
conn bb
keyexchange=ike
auth=esp
authby=secret
pfs=yes
auto=start
keyingtries=0
type=tunnel
ike=aes128-sha1;modp1024!
ikelifetime=86400s
phase2alg=aes128-sha1;modp1024
keylife=4608000s
#minharede
left=192.168.0.5
leftid=177.82.171.x
leftsubnet=177.82.171.x/32
#bb
right=170.66.6.31
rightsubnet=170.66.50.0/24


/etc/ipsec.d/bb.secrets
177.82.171.x 170.66.6.31: PSK "teste123"


Status:

[root@lnxfw ~]# /etc/init.d/ipsec status
IPsec running - pluto pid: 3073
pluto pid 3073
1 tunnels up
some eroutes exist

rotas
[root@lnxfw ~]# route
Tabela de Roteamento IP do Kernel
Destino Roteador MáscaraGen. Opções Métrica Ref Uso Iface
192.168.100.0 * 255.255.255.0 U 0 0 0 eth0
172.66.50.0 192.168.0.5 255.255.255.0 UG 0 0 0 eth1
192.168.0.0 * 255.255.255.0 U 0 0 0 eth1
172.16.0.0 * 255.255.0.0 U 0 0 0 eth0
default 192.168.0.1 0.0.0.0 UG 0 0 0 eth1
[root@lnxfw ~]#




um trecho do log:

tail -f /var/log/pluto.log -n200

| route_and_eroute: instance "bb", setting eroute_owner {spd=0x2b24b3b5ff60,sr=0x2b24b3b5ff60} to #2 (was #0) (newest_ipsec_sa=#0)
| encrypting:
| 00 00 00 18 6d f6 68 08 39 8a 6c 1b 2b 13 48 36
| e7 9c 7d f3 e8 b2 cd de
| IV:
| 28 6a ee ce ce 7d c4 9d 68 cf 99 84 d1 1d be ff
| unpadded size is: 24
| emitting 8 zero bytes of encryption padding into ISAKMP Message
| encrypting 32 using OAKLEY_AES_CBC
| NSS do_aes: enter
| NSS do_aes: exit
| next IV: d6 fd bc 09 76 8d 49 25 14 c6 9d 1c c7 16 39 d7
| emitting length of ISAKMP Message: 60
| inR1_outI2: instance bb[0], setting newest_ipsec_sa to #2 (was #0) (spd.eroute=#2)
| complete state transition with STF_OK
"bb" #2: transition from state STATE_QUICK_I1 to state STATE_QUICK_I2
| deleting event for #2
| sending reply packet to 170.66.6.31:500 (from port 500)
| sending 60 bytes for STATE_QUICK_I1 through eth1:500 to 170.66.6.31:500 (using #2)
| a1 69 1f 80 a1 c4 46 48 38 16 20 e4 ff 86 2e e2
| 08 10 20 01 3b 85 bb 11 00 00 00 3c be e8 2a 9d
| a2 2a 74 23 17 ea 2a a2 a3 c0 0f 80 d6 fd bc 09
| 76 8d 49 25 14 c6 9d 1c c7 16 39 d7
| inserting event EVENT_SA_REPLACE, timeout in 85648 seconds for #2
| event added after event EVENT_SA_REPLACE for #1
"bb" #2: STATE_QUICK_I2: sent QI2, IPsec SA established tunnel mode {ESP=>0x336229e6 <0x16fabc2c xfrm=AES_128-HMAC_SHA1 NATOA=none NATD=none DPD=none}
| modecfg pull: noquirk policy:push not-client
| phase 1 is done, looking for phase 2 to unpend
| * processed 1 messages from cryptographic helpers
| next event EVENT_PENDING_DDNS in 59 seconds
| next event EVENT_PENDING_DDNS in 59 seconds
|
| *received whack message
| kernel_alg_esp_enc_ok(12,0): alg_id=12, alg_ivlen=8, alg_minbits=128, alg_maxbits=256, res=0, ret=1
| kernel_alg_esp_auth_keylen(auth=2, sadb_aalg=3): a_keylen=20
| get esp.336229e6@170.66.6.31
| get esp.16fabc2c@192.168.0.5
| * processed 0 messages from cryptographic helpers
| next event EVENT_PENDING_DDNS in 53 seconds
| next event EVENT_PENDING_DDNS in 53 seconds
|
| next event EVENT_PENDING_DDNS in 0 seconds
| *time to handle event
| handling event EVENT_PENDING_DDNS
| event after this is EVENT_PENDING_PHASE2 in 60 seconds
| inserting event EVENT_PENDING_DDNS, timeout in 60 seconds
| event added at head of queue
| next event EVENT_PENDING_DDNS in 60 seconds
|
| next event EVENT_PENDING_DDNS in 0 seconds
| *time to handle event
| handling event EVENT_PENDING_DDNS
| event after this is EVENT_PENDING_PHASE2 in 0 seconds
| inserting event EVENT_PENDING_DDNS, timeout in 60 seconds
| event added after event EVENT_PENDING_PHASE2
| handling event EVENT_PENDING_PHASE2
| event after this is EVENT_PENDING_DDNS in 60 seconds
| inserting event EVENT_PENDING_PHASE2, timeout in 120 seconds
| event added after event EVENT_PENDING_DDNS
| pending review: connection "bb" checked
| next event EVENT_PENDING_DDNS in 60 seconds
|
| next event EVENT_PENDING_DDNS in 0 seconds
| *time to handle event
| handling event EVENT_PENDING_DDNS
| event after this is EVENT_PENDING_PHASE2 in 60 seconds
| inserting event EVENT_PENDING_DDNS, timeout in 60 seconds
| event added at head of queue
| next event EVENT_PENDING_DDNS in 60 seconds
|
| next event EVENT_PENDING_DDNS in 0 seconds
| *time to handle event
| handling event EVENT_PENDING_DDNS
| event after this is EVENT_PENDING_PHASE2 in 0 seconds
| inserting event EVENT_PENDING_DDNS, timeout in 60 seconds
| event added after event EVENT_PENDING_PHASE2
| handling event EVENT_PENDING_PHASE2
| event after this is EVENT_PENDING_DDNS in 60 seconds
| inserting event EVENT_PENDING_PHASE2, timeout in 120 seconds
| event added after event EVENT_PENDING_DDNS
| pending review: connection "bb" checked
| next event EVENT_PENDING_DDNS in 60 seconds
|
| next event EVENT_PENDING_DDNS in 0 seconds
| *time to handle event
| handling event EVENT_PENDING_DDNS
| event after this is EVENT_PENDING_PHASE2 in 60 seconds
| inserting event EVENT_PENDING_DDNS, timeout in 60 seconds
| event added at head of queue
| next event EVENT_PENDING_DDNS in 60 seconds
|
| next event EVENT_PENDING_DDNS in 0 seconds
| *time to handle event
| handling event EVENT_PENDING_DDNS
| event after this is EVENT_PENDING_PHASE2 in 0 seconds
| inserting event EVENT_PENDING_DDNS, timeout in 60 seconds
| event added after event EVENT_PENDING_PHASE2
| handling event EVENT_PENDING_PHASE2
| event after this is EVENT_PENDING_DDNS in 60 seconds
| inserting event EVENT_PENDING_PHASE2, timeout in 120 seconds
| event added after event EVENT_PENDING_DDNS
| pending review: connection "bb" checked
| next event EVENT_PENDING_DDNS in 60 seconds
|
| *received whack message
| kernel_alg_esp_enc_ok(12,0): alg_id=12, alg_ivlen=8, alg_minbits=128, alg_maxbits=256, res=0, ret=1
| kernel_alg_esp_auth_keylen(auth=2, sadb_aalg=3): a_keylen=20
| get esp.336229e6@170.66.6.31
| get esp.16fabc2c@192.168.0.5
| * processed 0 messages from cryptographic helpers
| next event EVENT_PENDING_DDNS in 54 seconds
| next event EVENT_PENDING_DDNS in 54 seconds
|
| next event EVENT_PENDING_DDNS in 0 seconds
| *time to handle event
| handling event EVENT_PENDING_DDNS
| event after this is EVENT_PENDING_PHASE2 in 60 seconds
| inserting event EVENT_PENDING_DDNS, timeout in 60 seconds
| event added at head of queue
| next event EVENT_PENDING_DDNS in 60 seconds


Se alguém puder contribuir, agradeço qualquer ajuda.
Obrigado
Abraço;

leooliosi
(usa Debian)

Enviado em 12/08/2015 - 08:51h

Bom dia usainbold21,

estou com o problema IDENTICO ao teu, caso consiga alguma evolução nos comunique por favor.

jlcwb2015
(usa Debian)

Enviado em 12/08/2015 - 12:00h

Essa é aquela VPN pra usar com o emulador de terminal PW3270?

Caso sim, já te adianto que as configurações do ipsec tem que ser feitas na máquina com o IP fixo, não dá pra usar um modem autenticado.

usainbold21
(usa Red Hat)

Enviado em 12/08/2015 - 12:12h

Entendi,
tem alguma alternativa que tu saiba?
Alguém mais está com essa situação?

Obrigado

jlcwb2015
(usa Debian)

Enviado em 12/08/2015 - 12:28h

A alternativa é você colocar teu modem em bridge e autenticar com teu provedor direto no teu firewall, onde está instalado o Openswan.

O Banco do Brasil encaminhou um formulário (xls) tempos atrás, onde você passou os dados de sua rede, certo? Os pontos importantes são os itens 2.1 e 2.2 onde você informou teus ips e o BB configurou teu acesso baseado nisso.

Se você informou algo assim:

2.1 PEER: 172.172.150.150
2.2 REDE: 192.168.0.1/24

Então teu ipsec.conf tem que refletir isso, senão não vai trafegar. Ex.:

left=172.172.150.150
leftsubnet=192.168.0.0/24
leftsourceip=192.168.0.1

Att.

leooliosi
(usa Debian)

Enviado em 12/08/2015 - 14:13h

Boa tarde jlcwb2015 ,

estou com este problema, a VPN conecta o tunnel levanta porém não trafega, meui ip valido esta configurado na minha interface externa do firewall, utilizo sistema operacional Debian.

consegue me dar alguma ideia do que possa ser?