[FUG-BR] problema com 7.0-RC1 e IPSec/VPN

Luiz Gustavo luizgustavo em yahoo.com
Quarta Janeiro 16 09:09:27 BRST 2008 

Eai, blz

Em relação ao IPSEC, não posso te ajudar muito, não
tenho muita experiência com o mesmo, mas se for
openvpn posso te ajudar melhor :)

Se for somente 2 pontos, use o esquema ponto-a-ponto
do openvpn, vou passar o comando via para parâmetros,
mas você pode colocar esses parâmetros dentro do
.conf, o que eu quero demonstrar é como é simples
configurar um túnel com o openvpn.

Estarei usando o esquema de chave estática (como um
ssh sem senha)

Ponto 1(200.x.x.1):

Gere a chave:
# openvpn --genkey --secret chave.key
Levante o tunel no ponto 1:
# openvpn --dev tun --proto udp --port 1194 --ifconfig
172.16.1.1 172.16.1.2 --secret chave.key --comp-lzo

Ponto 2(200.x.x.2):

copie a chave (do jeito que você achar melhor, scp,
ctrl+c/ctrl+v, etc):
Levante o tunel no ponto 2:
# openvpn --dev tun --proto udp --port 1194 --ifconfig
172.16.1.2 172.16.1.1 --secret chave.key --comp-lzo
--remote 200.x.x.1 1194

pronto, dessa forma você já estabelece o túnel usando
uma criptografia padrão dele (BF-CBC 128 bit), você
pode alterar a criptografia com o parâmetro
(--cipher), para saber qual usar, liste-as com o
comando (openvpn --show-ciphers)

depois disso é só adicionar as rotas das redes
internas de cada uma:

# route add 192.168.1.0/24 -iface tun0

PS: Isso que eu passei pra você são só exemplos de
forma bem simples, claro que existem mais opções para
você implementar, jogar tudo para um .conf, etc... mas
é muito mais fácil mostrar em exemplos do que ficar
explicando algo.

Espero que ajude

Abraços,



--- Nenhum_de_Nos <matheusber em gmail.com> wrote:

> hail ;)
> 
> preciso fazer uma VPN para dar mais segurança a um
> link wifi e queria
> usar um túnel com IPSec. tentei como tem no handbook
> e só apanho :(
> 
> agora meio que consegui com openvpn e o tutorial de
> matheus cucoloto,
> mas só consigo conexão cliente->servidor de vpn.
> preciso que funcione
> ida e volta. o problema é que no trabalho num tenho
> como acessar
> gmail, e num tenho os logs aqui (é, sei que isso
> atrapalha muito)
> 
> ao fazer os dois, gostei mais do IPSec, mas tendo
> criptografia e tudo
> rodando blz tá bom. é que o cliente vai precisar
> usar a conexão com o
> serv para ter saída para internet e demais rotas.
> 
> são dois FreeBSD 7.0-RC1, mas posso usar 6.3 se
> necessário. vi muita
> gente falar que fez o que tinha no handbook e foi
> blz. comigo parava o
> racoon no X_SPDDUMP algo com no such file or dir.
> 
> o setkey -D nunca cuspia nada :(
> 
> o primeiro passo que era ter o túnel com gif0 ficou
> blz.
> 
> achei um tutorial para usar o IPSec mas mesmo assim
> não tive êxito.
> 
> se alguém puder indicar algo para que eu entenda o
> racoon. li pouco
> sobre ele pq a pressa foi maior, mas uma vez
> funcionando me informe
> mais sobre e refino a solução.
> 
> desde já agradeço,
> 
> matheus
> 
> -- 
> We will call you cygnus,
> The God of balance you shall be
> -------------------------
> Histórico:
> http://www.fug.com.br/historico/html/freebsd/
> Sair da lista:
> https://www.fug.com.br/mailman/listinfo/freebsd
> 


Luiz Gustavo - BSD/Linux User
<=======\
<=======|=== www.luizgustavo.pro.br ===
<=======/
ICQ: 2890831 / MSN: gustavo.bsd em gmail.com


      ____________________________________________________________________________________
Never miss a thing.  Make Yahoo your home page. 
http://www.yahoo.com/r/hs

Mais detalhes sobre a lista de discussão freebsd