[FUGSPBR] VPN - IPSEC sem GIF
Christopher Giese <SkyWarrior>
chris em irapida.com.br
Qui Dez 9 11:56:08 BRST 2004
acho que nao me expressei bem
vou explicar
utilizo gif,gre,vtun,etc..etc..etc a alguns anos em FreeBSD,OpenBSD
com setkey.... sem setkey.... com racoon.... sem racoon.....
blz.....
Acontece que tenho que fechar uma vpn entre um FreeBSD 4.10 e um linux
kernel 2.6
Eu farei o lado do FreeBSD e uma outra pessoa fara o lado do linux
Pois bem... perguntei que tunnel utilizarias (gif... gre.... openvpn...
ou o que fosse).....
ele falou que nao tinha necessidade..... que o kernel 2.6 do linux vem
com o padrao ISEC da KAME (mesmo do freebsd)
e que entaum nao tem necessidade de usar um tunnel (gif,gre,etc)... que
isto apenas aumenta o overhead....
que da para fazer tudo apenas com IPSEC (setkey) e IKE (racoon)
ok......
me mostrou algumas confs...... mas nao concordei muito
ai encontrei a seguinte documentação:
http://www.freebsd.org/doc/en_US.ISO8859-1/articles/checkpoint/index.html
Esta documentação mostra como fazer E NAO FALA NADA DE GIF OU QQ OUTRO
TIPO DE TUNNEL
entao imaginei que fosse isto.... testei... implementei... nao
funcionou.... fiz algumas alterações e tb nao funcionou
ai pergunto... alguem ja montou alguma vpn em FreeBSD usando apenas
IPSEC.... sem tunnel tipow gif ou gre ???
grato
Christopher Giese
William Armstrong escreveu:
>bom a questao do gif ou nao é simples
>
> vc tem ip valido 200. xxx.yyy.zzz na sua placa de rede e no
>outro micro tb se vc tem isso nao é pq nao comunicar teste com
>2 freebsd é só usar o setkey e ter ele implementado no kernel
>
>
>faça testes som set key ante de ir pra racoon
>
>
> se estabelecer o ping depois vc tenta tunnel
>
>
>
>
>On Thu, 09 Dec 2004 10:03:56 -0200, Christopher Giese <SkyWarrior>
><chris em irapida.com.br> wrote:
>
>
>>Bom dia
>>
>>VC usou GIF
>>
>>com GIF eh facil :) ou com GRE ou com qq outro tunnel
>>
>>o que me refiro EH USANDO APENAS IPSEC... SEM GIF
>>
>>William Armstrong escreveu:
>>
>>
>>
>>
>>
>>>ja fiz uma vpn entre 2 freebsd 5.2.1 seguindo setkey manual
>>>entre 2 ip da virtua cable.
>>>
>>>só usei ipsec ESP nao usei AH pois fiquei com medo de tem algum
>>>nat no meio e dar pau.
>>>
>>>
>>>segue a config do script
>>>
>>>ifconfig gif0 destroy
>>>route delete 192.168.17.0 192.168.16.2
>>>ipfw del 101
>>>
>>>ifconfig gif0 create tunnel $1 200.250.220.xx
>>>ifconfig gif0 inet 192.168.16.2 192.168.17.2 netmask 0xffffffff
>>>route add 192.168.17.0 192.168.17.2
>>>
>>>
>>>ipfw add 101 allow all from any to any via gif0
>>>
>>>
>>>ipfw sh 101
>>>netstar -rn | grep 192.168.17
>>>ifconfig gif0
>>>
>>>setkey -F
>>>setkey -FP
>>>
>>>setkey -D && setkey -DP
>>>
>>>setkey -c <<EOF
>>>add $1 200.250.220.xx esp 1011 -E rijndael-cbc
>>>"0446ce1fd257b7d69bf46341e8938810";
>>>add 200.250.220.xx$1 esp 1012 -E rijndael-cbc
>>>"914c392565727197ad884afdbe563c47";
>>>
>>>spdadd $1 200.250.220.xx any -P out ipsec \
>>>esp/tunnel/$1-200.250.220.xx/require ;
>>>
>>>spdadd 200.250.220.xx $1 any -P in ipsec \
>>>esp/tunnel/200.250.220.xx-$1/require ;
>>>
>>>
>>>
>>>---
>>>-=-=-=-=-=-=-=-=-=-
>>>William David Armstrong
>>>Bio Systems Security.
>>>ICQ 10253747 MSN bio__wolf em hotmail.com
>>>_______________________________________________________________
>>>Para enviar um novo email para a lista: fugspbr em fugspbr.org
>>>Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
>>>Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
>>>
>>>
>>>
>>>
>>_______________________________________________________________
>>Para enviar um novo email para a lista: fugspbr em fugspbr.org
>>Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
>>Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
>>
>>
>>
>
>
>
>
_______________________________________________________________
Para enviar um novo email para a lista: fugspbr em fugspbr.org
Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
Mais detalhes sobre a lista de discussão freebsd