[FUG-BR] Ajuda com IPsec - parte II :)

Tiago Cruz tiagocruz em forumgdh.net
Sex Out 21 15:36:52 BRST 2005 

On Fri, 2005-10-21 at 08:52 -0200, irado furioso com tudo wrote:

>         /usr/sbin/setkey -f /etc/ipsec.conf.DAQUI

> e funciona MUITO BEM. O ipsec.conf.DAQUI (ou DE_LAH) segue o padrão, mas até posso manda-lo, se julgar necessário.

Na verdade, eu acho que ainda não está funcionando direito aqui esta
parte..

[root em BENDER: rc.d]# setkey -f /etc/ipsec.conf
The result of line 2: File exists.
The result of line 4: File exists.

[root em BENDER: rc.d]# setkey -D
No SAD entries.

Está correto isso? Fiz seguindo o handbook:
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/ipsec.html

--------------------------------------------------------
Create an /etc/ipsec.conf on each host that contains the necessary
spdadd lines. On gateway host #1 this would be:

spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P out ipsec
  esp/tunnel/A.B.C.D-W.X.Y.Z/require;
spdadd W.X.Y.Z/32 A.B.C.D/32 ipencap -P in ipsec
  esp/tunnel/W.X.Y.Z-A.B.C.D/require;
--------------------------------------------------------

Outra parte que não entendi muito bem é esta:

  * Add firewall rules to allow IKE, ESP, and IPENCAP traffic to both
    hosts:

ipfw add 1 allow udp from A.B.C.D to W.X.Y.Z isakmp
ipfw add 1 allow udp from W.X.Y.Z to A.B.C.D isakmp
ipfw add 1 allow esp from A.B.C.D to W.X.Y.Z
ipfw add 1 allow esp from W.X.Y.Z to A.B.C.D
ipfw add 1 allow ipencap from A.B.C.D to W.X.Y.Z
ipfw add 1 allow ipencap from W.X.Y.Z to A.B.C.D
         
Como ficaria as regras no PF? 
Pingando de um host para o outro e olhando com o tcpdump parece normal:

[root em BENDER: rc.d]# tcpdump -i gif0
tcpdump: verbose output suppressed, use -v or -vv for full protocol
decode
listening on gif0, link-type NULL (BSD loopback), capture size 96 bytes
15:22:26.880999 IP 192.168.0.1 > 192.168.4.1: icmp 64: echo request seq
37
15:22:26.881026 IP 192.168.4.1 > 192.168.0.1: icmp 64: echo reply seq 37
15:22:27.882922 IP 192.168.0.1 > 192.168.4.1: icmp 64: echo request seq
38

Bom, acho que essa é a última vez que encho o saco sobre este assunto,
desculpem a insistência... :(

Obrigado

-- 
Tiago Cruz
http://linuxrapido.org
Linux User #282636

"The box said: Requires MS Windows or better, so I installed Linux"


_______________________________________________
Freebsd mailing list
Freebsd em fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br

Mais detalhes sobre a lista de discussão freebsd