[opensuse-es] Otra de cisco VPN 3000 + ipsec linux
Me he quedado en esta situacion. site to site entre un linux y Cisco VPN 3000 Configuracion : ------------------------------------------------------------------------ version 2 config setup forwardcontrol=yes interfaces="ipsec0=eth1" klipsdebug=all nat_traversal=yes plutodebug=all plutostderrlog=/ipsec.log conn %default authby=secret type=tunnel keyingtries=1 #keylife=1200s #ikelifetime=1200s conn conexion auth=esp authby=secret auto=add keyexchange=ike left=mi publica leftnexthop=%direct leftrsasigkey=clave leftsubnet=mi subnet/24 pfs=no right=su publica rightnexthop=%direct rightsubnet=su subnet/24 type=tunnel ike=3des ------------------------------------------------------------------------------------------------------------------- 104 "Conexion" #2: STATE_MAIN_I1: initiate 003 "Conexion" #2: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03] method set to=108 003 "Conexion" #2: ignoring unknown Vendor ID payload [4048b7d56756757bce885250000000] 106 "Conexion" #2: STATE_MAIN_I2: sent MI2, expecting MR2 003 "Conexion" #2: ignoring Vendor ID payload [Cisco-Unity] 003 "Conexion" #2: ignoring Vendor ID payload [XAUTH] 003 "Conexion" #2: ignoring unknown Vendor ID payload [51a4f0dd246cbdfyht8hgja8ff122093277] 003 "Conexion" #2: ignoring Vendor ID payload [Cisco VPN 3000 Series] 003 "REE" #2: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-02/03: peer is NATed 108 "Conexion" #2: STATE_MAIN_I3: sent MI3, expecting MR3 010 "Conexion" #2: STATE_MAIN_I3: retransmission; will wait 20s for response 003 "Conexion" #2: discarding duplicate packet; already STATE_MAIN_I3 003 "Conexion" #2: discarding duplicate packet; already STATE_MAIN_I3 003 "Conexion" #2: discarding duplicate packet; already STATE_MAIN_I3 010 "Conexion" #2: STATE_MAIN_I3: retransmission; will wait 40s for response 003 "Conexion" #2: next payload type of ISAKMP Hash Payload has an unknown value: 156 003 "Conexion" #2: malformed payload in packet 031 "Conexion" #2: max number of retransmissions (2) reached STATE_MAIN_I3. Possible authentication failure: no acceptable response to our first encrypted message ¿alguna idea esclarecedora? saludos -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El Tue, 07 Dec 2010 12:24:08 +0100, francisco f escribió:
Me he quedado en esta situacion. site to site entre un linux y Cisco VPN 3000 Configuracion :
(...)
010 "Conexion" #2: STATE_MAIN_I3: retransmission; will wait 40s for response 003 "Conexion" #2: next payload type of ISAKMP Hash Payload has an unknown value: 156 003 "Conexion" #2: malformed payload in packet 031 "Conexion" #2: max number of retransmissions (2) reached STATE_MAIN_I3. Possible authentication failure: no acceptable response to our first encrypted message
¿alguna idea esclarecedora?
Pooos he buscado por ese último mensaje y he encontrado ese doc: *** "Invalid Key" Messages http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch35_:_Confi... *** Sugiere que ese mensaje de error podría venir por un problema con las claves :-? Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On Miércoles 08 Diciembre 2010 23:10:39 Camaleón escribió:
El Tue, 07 Dec 2010 12:24:08 +0100, francisco f escribió:
Me he quedado en esta situacion.
site to site entre un linux y Cisco VPN 3000 Configuracion : (...)
010 "Conexion" #2: STATE_MAIN_I3: retransmission; will wait 40s for response 003 "Conexion" #2: next payload type of ISAKMP Hash Payload has an unknown value: 156 003 "Conexion" #2: malformed payload in packet 031 "Conexion" #2: max number of retransmissions (2) reached STATE_MAIN_I3. Possible authentication failure: no acceptable response to our first encrypted message
¿alguna idea esclarecedora?
Pooos he buscado por ese último mensaje y he encontrado ese doc:
*** "Invalid Key" Messages http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch35_:_Conf iguring_Linux_VPNs ***
Sugiere que ese mensaje de error podría venir por un problema con las claves :-?
Podria pero siempre me pasa que desde el otro lado no me responde nadie y hay que hacerlo a ojo. El linux esta con strongSwan esto es lo que tiene un cisco 1841 encr 3des authentication pre-share group 2 crypto isakmp key "clave" ip-publica-del otro crypto ipsec transform-set transform1 esp-3des esp-sha-hmac crypto ipsec fragmentation after-encryption crypto ipsec df-bit clear crypto map "nombre" 10 ipsec-isakmp esto es lo que pongo yo conn nombre keyexchange=ike authby=secret auto=add ike=3des-sha ; problema aqui? esp=3des ; y aqui? leftsourceip=%config left=mi-publica leftsubnet=10.45.5.0/24 right=ip-publica-del-otro rightsubnet=10.34.187.0/24 rightsourceip=%config type=tunnel compress=no leftfirewall=yes pfs=no Se admiten sugerencias saludos -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
que nada que ya llego a STATE_QUICK_I2: sent QI2, IPsec SA established pero se me comen las rutas On Martes 07 Diciembre 2010 12:24:08 francisco f escribió:
Me he quedado en esta situacion. site to site entre un linux y Cisco VPN 3000 Configuracion :
------------------------------------------------------------------------ version 2 config setup forwardcontrol=yes interfaces="ipsec0=eth1" klipsdebug=all nat_traversal=yes plutodebug=all plutostderrlog=/ipsec.log
conn %default authby=secret type=tunnel keyingtries=1 #keylife=1200s #ikelifetime=1200s
conn conexion auth=esp authby=secret auto=add keyexchange=ike left=mi publica leftnexthop=%direct leftrsasigkey=clave leftsubnet=mi subnet/24 pfs=no right=su publica rightnexthop=%direct rightsubnet=su subnet/24 type=tunnel ike=3des ---------------------------------------------------------------------------
¿alguna idea esclarecedora?
saludos -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On Martes 07 Diciembre 2010 12:24:08 francisco f escribió:
Me he quedado en esta situacion. site to site entre un linux y Cisco VPN 3000 Configuracion :
Bueno ya conecta. Por lo menos el ipsec status da como conectado y validos todos los protocolos de cifrado y contraseñas. Pero no me añade ninguna ruta a ningun sitio Seguiremos con el tema -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On 02/16/2011 08:33 AM, francisco f wrote:
On Martes 07 Diciembre 2010 12:24:08 francisco f escribió:
Me he quedado en esta situacion. site to site entre un linux y Cisco VPN 3000 Configuracion :
Bueno ya conecta. Por lo menos el ipsec status da como conectado y validos todos los protocolos de cifrado y contraseñas.
Pero no me añade ninguna ruta a ningun sitio
Seguiremos con el tema
refrescame el tema: la parte linux ipsec es ¿openswan u otra implementación?? .. Por cierto, existe el cliente linux para vpns cisco. ¿No has probado a usarlo antes que lo demás?? Saludos. -- CL Martinez carlopmart {at} gmail {d0t} com -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On Miércoles 16 Febrero 2011 10:00:43 carlopmart escribió:
On 02/16/2011 08:33 AM, francisco f wrote:
On Martes 07 Diciembre 2010 12:24:08 francisco f escribió:
Me he quedado en esta situacion. site to site entre un linux y Cisco VPN 3000
Configuracion : Bueno ya conecta. Por lo menos el ipsec status da como conectado y validos todos los protocolos de cifrado y contraseñas.
Pero no me añade ninguna ruta a ningun sitio
Seguiremos con el tema
refrescame el tema: la parte linux ipsec es ¿openswan u otra implementación?? .. Por cierto, existe el cliente linux para vpns cisco. ¿No has probado a usarlo antes que lo demás??
Saludos.
Es una conexion entre un linux y un router cisco VPN 3000 El cliente cisco vpn para linux no sirve porque es solo para clientes individuales y pide usuario y contraseña. En la configuracion que tengo no hay usuario de conexion. Estos son los datos con los que conecta version 2 config setup klipsdebug=all nat_traversal=no plutodebug=all plutostderrlog=/ipsec.log interfaces="ipsec0=eth0" conn %default authby=secret type=tunnel keyingtries=%forever keylife=3600s ikelifetime=8200s # disable opportunistic encryption conn block auto=ignore conn private auto=ignore conn private-or-clear auto=ignore conn clear-or-private auto=ignore conn clear auto=ignore conn packetdefault auto=ignore conn CONEX keyexchange=ike auto=add ike=3des-sha1-modp1024 esp=3des-sha1 left=87.0.0.1 (ip fija internet mia, no es la real por supuesto) leftsubnet=192.168.1.0/24 (mi red interna, mas abajo caracteristica) leftnexthop=on right= (ip fija internet otro punto) rightid=10.125.125.125 (supuestamente la subred del otro punto, aunque en teoria la saque a ojo porque me dicen que no hace falta que me digan cual es, eso no lo entiendo) rightnexthop=on type=tunnel compress=no pfs=no auth=esp Con todo esto el ipsec status da : 000 "CONEX": 192.168.1.0/24===87.0.0.1[87.0.0.1]...ip-delotro[10.125.125.125]; erouted; eroute owner: #2 000 "REE": newest ISAKMP SA: #1; newest IPsec SA: #2; 000 000 #2: "CONEX" STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 2828s; newest IPSEC; eroute owner 000 #2: "CONEX" esp.d5c83a@ipdelotro (0 bytes) esp.aabb907c@87.0.0.1 (0 bytes); tunnel 000 #1: "CONEX" STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in 7187s; newest ISAKMP 000 Security Associations: none en leftsubnet puse mi subredinterna pero el cliente me dio un rango 10.12.0.0 privado para conectar con ellos una vez establecida la conexion. El caso es que si lo pongo y configuro ese rango no conecta. A parte de eso no se crea ninguna ruta ni nada, ¿hay que crearlas a pedal, pero de donde a donde? Bueno esto es un rollo que no se ni lo que pongo. Si alguien lo entiende me lo explique, seguro tendra ganado el cielo, nirvana,walhalla o algo asi. -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On 02/16/2011 10:42 AM, francisco f wrote:
On Miércoles 16 Febrero 2011 10:00:43 carlopmart escribió:
en leftsubnet puse mi subredinterna pero el cliente me dio un rango 10.12.0.0 privado para conectar con ellos una vez establecida la conexion. El caso es que si lo pongo y configuro ese rango no conecta.
A parte de eso no se crea ninguna ruta ni nada, ¿hay que crearlas a pedal, pero de donde a donde?
Bueno esto es un rollo que no se ni lo que pongo. Si alguien lo entiende me lo explique, seguro tendra ganado el cielo, nirvana,walhalla o algo asi.
Bueno antes de nada. No he configurado nunca un Cisco VPN Concentrator 3000 y openswan solo lo he utilizado en contadas ocasiones para conectar clientes roadwarriors hacia firewalls tipo BSD, CheckPoint y StoneGate. Y en los tres casos funciona de forma perfecta. Eso sí, me he pegado de tortas muchos años con temas VPN que necesitaban ser establecidas con concentradores Cisco utilizando firewalls BSD, CheckPoint y StoneGate. Y el tema funciona, pero teniendo en cuenta una serie de premisas. A fin de cuentas, montes una VPN con linux, con Windows, con MacOS o con lo que sea, todo debe ser configurado de la misma manera. Lo primero que necesitamos saber es: tu servidor openSuSE es un cliente VPN o actua como gateway VPN? (Como gateway VPN me refiero a que si es el firewall encargado de establecer las VPNs). En el caso de que se trate del gateway VPN, entonces vas a tener que hablar de nuevo con los administradores del Cisco. ¿Por que? Porque a que viene que te asignen un rango dhcp de una lan de encriptación que no és la lan que necesitas acceder?. Es típico de los administradores Cisco: se inventan este tipo de "tonterias" porque se las han explicado en el cursito de CCNA o CCNE (no recuerdo exactamente la nomenclatura). Y cuidado: aplica psicología de lo más avanzada que conozcas, porque tienen una forma muy particular de ver las cosas. O sea que actúa con guante de seda. ¿Por que te comento esto? Porque dices en una parte del correo: "supuestamente la subred del otro punto, aunque en teoria la saque a ojo porque me dicen que no hace falta que me digan cual es, eso no lo entiendo". Pues sencillamente, esto es inadmisible. DEBES (no grito, remarco) conocer por narices la otra lan de encriptación. Si no la sabes, no configurarás nunca la VPN. Y eso reafirma lo dicho antes: los administradores Cisco son peculiares. ¿Que es eso de que no necesitas conocer la lan del otro extremo?? Si es que .... Por lo tanto si la VPN que necesitas configurar es lan-to-lan via gateways es impepinable que conozcas la lan del otro extremo. Y la configuración es inmediata. Si por el contrario estás configurando un cliente VPN (roadwarrior), entonces lo que debes hacer es: - Configurar en openswan que cuando la Phase1 sea completada (y eso deduzco que te funciona), se te asigne una ip por dhcp. Esto openswan lo hace. - Configurar la lan de encriptación destino. ¡Ojo!, la de ellos. Esa que te dicen que no necesitas conocer. Una vez hecho esto, lo tienes listo ya que las rutas las configurará openswan de forma automática. Lo cierto es que openswan es un pelín liadito hasta que le coges el tranquillo. Si se te complica, te recomiendo que hagas una prueba con pfSense si tienes oportunidad. No te llevará más de media hora en configurar y testear a fondo la VPN (claro está, si los "iluminati" de los administradores Cisco te dan los datos que necesitan, porque a ojo de buen cubero no conseguirás nada). Saludos. -- CL Martinez carlopmart {at} gmail {d0t} com -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On Miércoles 16 Febrero 2011 11:48:55 carlopmart escribió:
On 02/16/2011 10:42 AM, francisco f wrote:
On Miércoles 16 Febrero 2011 10:00:43 carlopmart escribió:
en leftsubnet puse mi subredinterna pero el cliente me dio un rango 10.12.0.0 privado para conectar con ellos una vez establecida la conexion. El caso es que si lo pongo y configuro ese rango no conecta.
A parte de eso no se crea ninguna ruta ni nada, ¿hay que crearlas a pedal, pero de donde a donde?
Bueno esto es un rollo que no se ni lo que pongo. Si alguien lo entiende me lo explique, seguro tendra ganado el cielo, nirvana,walhalla o algo asi.
Bueno antes de nada. No he configurado nunca un Cisco VPN Concentrator 3000 y openswan solo lo he utilizado en contadas ocasiones para conectar clientes roadwarriors hacia firewalls tipo BSD, CheckPoint y StoneGate. Y en los tres casos funciona de forma perfecta.
Bueno en realidad es strongwan (no hay mucha diferencia, solo algun tonteria diferente, la que mas me fastidia es que no funciona con webmin)
Lo primero que necesitamos saber es: tu servidor openSuSE es un cliente VPN o actua como gateway VPN? (Como gateway VPN me refiero a que si es el firewall encargado de establecer las VPNs).
lan to lan Asi a lo bruto para probar no uso fire. :) Como tampoco entiendo mucho pues hago pruebas absurdas a veces. No te des mucho mal, mas que nada era para comprobar que se podia
En el caso de que se trate del gateway VPN, entonces vas a tener que hablar de nuevo con los administradores del Cisco. ¿Por que? Porque a que viene que te asignen un rango dhcp de una lan de encriptación que no és la lan que necesitas acceder?. Es típico de los administradores Cisco: se inventan este tipo de "tonterias" porque se las han explicado en el cursito de CCNA o CCNE (no recuerdo exactamente la nomenclatura). Y cuidado: aplica psicología de lo más avanzada que conozcas, porque tienen una forma muy particular de ver las cosas. O sea que actúa con guante de seda.
Nada, no se puede hablar con ellos, eso ya esta descartado. El tamaño de empresas no da para exigir
¿Por que te comento esto? Porque dices en una parte del correo: "supuestamente la subred del otro punto, aunque en teoria la saque a ojo porque me dicen que no hace falta que me digan cual es, eso no lo entiendo". Pues sencillamente, esto es inadmisible.
Eso pienso yo, pero como no se puede protestar y hay que hacer lo que dicen no queda mas remedio que j...........
Por lo tanto si la VPN que necesitas configurar es lan-to-lan via gateways es impepinable que conozcas la lan del otro extremo. Y la configuración es inmediata.
Lo de siempre. Solo me dieron la subred que tenia que tener yo y dos direciones del otro lado que son el servidor web para las paginas y que curiosamente la subred no coincide con la que yo mas o menos he averiguado para la conexion.
Lo cierto es que openswan es un pelín liadito hasta que le coges el tranquillo. Si se te complica, te recomiendo que hagas una prueba con pfSense si tienes oportunidad.
Lo probe y nasti de plasti, hay que meterle mano al fichero de configuracion, para eso prefiero seguir con suse
No te llevará más de media hora en configurar y testear a fondo la VPN (claro está, si los "iluminati" de los administradores Cisco te dan los datos que necesitan, porque a ojo de buen cubero no conseguirás nada).
Si ya me volvi loco para configurar un cisco a cisco (al final les tube que dar acceso remoto porque no iba la cosa y no sabian que hacer), como para probar con linux. Saludos y gracias -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On 02/16/2011 02:07 PM, francisco f wrote:
Bueno antes de nada. No he configurado nunca un Cisco VPN Concentrator 3000 y openswan solo lo he utilizado en contadas ocasiones para conectar clientes roadwarriors hacia firewalls tipo BSD, CheckPoint y StoneGate. Y en los tres casos funciona de forma perfecta.
Bueno en realidad es strongwan (no hay mucha diferencia, solo algun tonteria diferente, la que mas me fastidia es que no funciona con webmin)
Hombre, HAY muchas diferencias más que nada porque creo que strongswan está discontinuado y creo que contra un concentrador VPN de Cisco de los de hoy en dia no te vas a salir si no usas openswan. ¿No lleva ese paquete opensuse?? Raro porque SLES si lo trae ..
En el caso de que se trate del gateway VPN, entonces vas a tener que hablar de nuevo con los administradores del Cisco. ¿Por que? Porque a que viene que te asignen un rango dhcp de una lan de encriptación que no és la lan que necesitas acceder?. Es típico de los administradores Cisco: se inventan este tipo de "tonterias" porque se las han explicado en el cursito de CCNA o CCNE (no recuerdo exactamente la nomenclatura). Y cuidado: aplica psicología de lo más avanzada que conozcas, porque tienen una forma muy particular de ver las cosas. O sea que actúa con guante de seda.
Nada, no se puede hablar con ellos, eso ya esta descartado. El tamaño de empresas no da para exigir
No te queda otra que hablar con ellos. Si no, no te saldrás ...
¿Por que te comento esto? Porque dices en una parte del correo: "supuestamente la subred del otro punto, aunque en teoria la saque a ojo porque me dicen que no hace falta que me digan cual es, eso no lo entiendo". Pues sencillamente, esto es inadmisible.
Eso pienso yo, pero como no se puede protestar y hay que hacer lo que dicen no queda mas remedio que j...........
Repito: eso no es posible por muy pequeño cliente que seas. Teneis que llegar a un entente, sí o sí, o no hay VPN ..
Por lo tanto si la VPN que necesitas configurar es lan-to-lan via gateways es impepinable que conozcas la lan del otro extremo. Y la configuración es inmediata.
Lo de siempre. Solo me dieron la subred que tenia que tener yo y dos direciones del otro lado que son el servidor web para las paginas y que curiosamente la subred no coincide con la que yo mas o menos he averiguado para la conexion.
Acabáramos ... Te han dado todos los datos necesarios. Vamos a ver. Ellos te piden que solo pueden llegar desde un dominio de encriptación dado (esa subred de la que hablas que debes tener tú) y que solo dispondrás de acceso a dos servidores, ¿correcto?. Pues tienes todos los datos necesarios. El único porblema aquí es, ¿dispones de ese direccionamiento en tu red interna? Si no hay formas de generarlo.
Lo cierto es que openswan es un pelín liadito hasta que le coges el tranquillo. Si se te complica, te recomiendo que hagas una prueba con pfSense si tienes oportunidad.
Lo probe y nasti de plasti, hay que meterle mano al fichero de configuracion, para eso prefiero seguir con suse
Eich?? Estás seguro?? pfSense se configura via web y es muy rápido. Saludos. -- CL Martinez carlopmart {at} gmail {d0t} com -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On Miércoles 16 Febrero 2011 14:17:24 carlopmart escribió:
On 02/16/2011 02:07 PM, francisco f wrote:
Bueno antes de nada. No he configurado nunca un Cisco VPN Concentrator 3000 y openswan solo lo he utilizado en contadas ocasiones para conectar clientes roadwarriors hacia firewalls tipo BSD, CheckPoint y StoneGate. Y en los tres casos funciona de forma perfecta.
Bueno en realidad es strongwan (no hay mucha diferencia, solo algun tonteria diferente, la que mas me fastidia es que no funciona con webmin)
Hombre, HAY muchas diferencias más que nada porque creo que strongswan está discontinuado y creo que contra un concentrador VPN de Cisco de los de hoy en dia no te vas a salir si no usas openswan. ¿No lleva ese paquete opensuse?? Raro porque SLES si lo trae ..
Hombre, hay una actualizacion del 11-2-2011 ver 4.5.1 Han tardado un año en sacarla, pero parece que siguen. Y si, Opensuse 11.3 solo trae esa Acabo de actualizar a la 4.5.0 y tachannn, ,ha dejado de funcionar. Es lo malo del strong cambian cosas de una version a otra demasiado y te joroban la configuracion
Repito: eso no es posible por muy pequeño cliente que seas. Teneis que llegar a un entente, sí o sí, o no hay VPN ..
Si hay vpn, pero con lo que ellos quieren, otro cisco (menos mal que tenia uno viejillo y vale)
Por lo tanto si la VPN que necesitas configurar es lan-to-lan via gateways es impepinable que conozcas la lan del otro extremo. Y la configuración es inmediata.
Lo de siempre. Solo me dieron la subred que tenia que tener yo y dos direciones del otro lado que son el servidor web para las paginas y que curiosamente la subred no coincide con la que yo mas o menos he averiguado para la conexion.
Acabáramos ... Te han dado todos los datos necesarios. Vamos a ver. Ellos te piden que solo pueden llegar desde un dominio de encriptación dado (esa subred de la que hablas que debes tener tú) y que solo dispondrás de acceso a dos servidores, ¿correcto?. Pues tienes todos los datos necesarios.
Si vale, pero si en la configuracion del strong pongo la subred que ellos me dan no funciona (conecta) solo conecta si pongo la otra subred que averiguo por los log de error.
El único porblema aquí es, ¿dispones de ese direccionamiento en tu red interna? Si no hay formas de generarlo.
por aqui puedenir los tiros
Lo cierto es que openswan es un pelín liadito hasta que le coges el
tranquillo. Si se te complica, te recomiendo que hagas una prueba con pfSense si tienes oportunidad.
Lo probe y nasti de plasti, hay que meterle mano al fichero de configuracion, para eso prefiero seguir con suse
Eich?? Estás seguro?? pfSense se configura via web y es muy rápido.
Pues si, porque me pedia un parametro que no se podia meter por la pagina web y sin ese no pasaba del 2 Bueno ahora me toca averiguar como va la nueva version Ya os contare Saludos. -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On 02/16/2011 05:23 PM, francisco f wrote:
Eich?? Estás seguro?? pfSense se configura via web y es muy rápido.
Pues si, porque me pedia un parametro que no se podia meter por la pagina web y sin ese no pasaba del 2
Bueno ahora me toca averiguar como va la nueva version Ya os contare
Saludos.
La solución es relativamente sencilla. Supongamos que, y todo lo que comento a partir de ahora solo es válido para la Phase2 de IPSec, ellos te han dado la siguiente configuración: - Dominio de encriptación (la subred desde la que tú debes acceder): 10.1.1.0/24 - Red de encriptación destino (la del cliente): 192.168.1.0/24 Dada esta configuración, tienes estas tres opciones (si a alguien se le ocurre algo más que lo comente) a) Cambiar el direccionamiento de tu red interna a una 10.1.1.0/24 b) Añadir una interfaz (o una VLan) a tu firewall actual con una IP perteneciente al rango 10.1.1,0/24 c) Instalar una segunda máquina que sea la que se encargue de establecer las VPNs donde la intefaz que comunica con tu red interna ha de ser del rango 10.1.1.0/24. La solución a) supongo que está clara y solo tú sabes si es factible o no (yo no lo haria dependiendo de servidores, estaciones y aplicativos que dispongas en tu red). Sobre la opción b) y c) vienen a ser lo mismo, solo que la opción c) te permite mayor escalabilidad y te evita problemas futuros. Se trata de que tengas un gateway con el rango de encriptación que te pide el cliente de tal forma que en el archivo ipsec.conf quedaria algo parecido a esto: conn CONEX keyexchange=ike auto=add ike=3des-sha1-modp1024 esp=3des-sha1 left=tu_ip_publica leftsubnet=10.1.1.0/24 (es la red de encriptación que te ha asignado el cliente) leftnexthop=on right=ip_publica_del_cliente rightid=192.168.1.0/24 Una vez hecho esto te queda un paso más: NATear toda tu red interna para que salgan las peticones a través de la VPN hacia la red del cliente 192.168.1.0/24 con IPs del rango 10.1.1.0/24. Existe un pequeño problema: si tu cliente es listo verá que siempre accedes con una única IP (la que asignes al firewall o al servidor de VPNs), por ejemplo la IP 10.1.1.1. Aquí tienes que ser un poco "vivo" y decirle a iptables que cuando natee lo haga de forma dinámica con un rango de IPs perteneciente a la subred 10.1.1.0/24, por ejemplo desde la 10.1.1.10 a la 10.1.1.25. Y con esto y una caña lo tienes listo. Saludos. -- CL Martinez carlopmart {at} gmail {d0t} com -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
participants (3)
-
Camaleón -
carlopmart -
francisco f