vpn con strongswan e ipsec

Forums: 

}:)

Estoy intentando hacer una vpn con strongswan e ipsec en dos servidores los cuales tienen internet infitum (modem 2wire) ya habri los puertos en ambos modems el 500, 50 y 51 y probe que estubieran abiertos de la siguiente manera: nc -l -p ip, los dos servidores tienen no-ip, la ip la tome del no-ip, en ambos servidores me pude comunicar por esos puertos, el modem si me permitio comunicarme por los 3 puertos. La configuracion del ipsec.conf es la siguiente:

nodo A
config setup
interfaces ="ipsec0=eth0"

conn vpnprueba
left=192.168.1.64 ---ip del eth0
leftnexthop=192.168.1.254 ---ip del router (modem)
leftcert=011cert.pem
right=192.168.2.86 --ip del eth0 nodo B
rightnexthop=192.168.2.254 --ip del router (modem) nodo B
rightid= "/C=mx/ST=sinaloa/O=patito/OU=administracion/CN=tienda011/emailAddress=tienda011@patito.com"
auto=start
ike=3des-md5
esp=3des-md5
pfs=no

nodo B

config setup
interfaces ="ipsec0=eth0"

conn vpnprueba
left=192.168.2.86 --- ip del eth0 nodo B
leftnexthop=192.168.2.254 --ip del router (modem) nodo B
leftcert=502cert.pem
right=192.168.1.64 --ip del eth0 nodo A
rightnexthop=192.168.1.254 --ip del router (modem) nodo A
rightid= "/C=mx/ST=sinaloa/O=patito/OU=administracion/CN=tienda502/emailAddress=tienda502@patito.com"
auto= start
ike=3des-md5
esp=3des-md5
pfs=no

al darle ipsec start me marca lo siguiente en el log /var/log/secure :

Mar 22 10:37:34 micarinito pluto[11134]: listening for IKE messages
Mar 22 10:37:34 micarinito pluto[11134]: adding interface lo/lo 127.0.0.1:500
Mar 22 10:37:34 micarinito pluto[11134]: adding interface eth0/eth0 192.168.1.64:500
Mar 22 10:37:34 micarinito pluto[11134]: adding interface lo/lo ::1:500
Mar 22 10:37:34 micarinito pluto[11134]: loading secrets from "/etc/ipsec.secrets"
Mar 22 10:37:34 micarinito pluto[11134]: loaded private key file '/etc/ipsec.d/private/011502key.pem' (1751 bytes)
Mar 22 10:37:34 micarinito pluto[11134]: loaded host cert file '/etc/ipsec.d/certs/011cert.pem' (1533 bytes)
Mar 22 10:37:34 micarinito pluto[11134]: added connection description "vpnprueba"
Mar 22 10:37:34 micarinito pluto[11134]: "vpnprueba" #1: initiating Main Mode
Mar 22 10:38:44 micarinito pluto[11134]: "vpnprueba" #1: max number of retransmissions (2) reached STATE_MAIN_I1. No response (or no acceptable response) to our first IKE message
Mar 22 10:38:44 micarinito pluto[11134]: "vpnprueba" #1: starting keying attempt 2 of at most 3
Mar 22 10:38:44 micarinito pluto[11134]: "vpnprueba" #2: initiating Main Mode to replace #1

La version del strongswan que manejo es la 2.7.3 y la distro de linux es slackware 10.2, kernel 2.6.18 ...

Espero y me puedan ayudar, reciban un cordian saludo..

la mayoría de los

Imagen de Epe

la mayoría de los proveedores bloquean esos puertos, no importa entonces que los tengas abierto el proveedor delante tuyo lo bloquea.

Verifica con el proveedor, te dirán que no hay problemas (cuando te dicen que hay?) pero insísteles.

Eso es uno de los problemas de las VPN con ipsec, que muchos la bloqeuan. Por eso te sugiero usar openvpn que le puedes cambiar el puerto y usa el protocolo udp (ipsec usa un protocolo llamado ... se me olvidó).

Saludos
epe
--
EcuaLinux.com
Ecuador: +(593) 9 9246504, +(593) 2 3412402
USA: +1 404 795 0321, España: +34 917617884

Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre

Cita: (ipsec usa un

Imagen de RazaMetaL

[quote](ipsec usa un protocolo llamado ... se me olvidó).[/quote]

Usa los protocolos ESP, IKE y AH. IKE usa el puerto 500 udp.

------------

Antes de preguntar visita el [url=http://www.sindominio.net/ayuda/preguntas-inteligentes.html]link[/url] :evil:

 

[img]http://www.bbspot.com/Images/News_Features/2003/01/os_quiz/debian.jpg[/img]

-----

Visita este [url=http://www.sindominio.net/ayuda/preguntas-inteligentes.html]link[/url] :evil:

[img]http://www.bbspot.com/Images/News_Features/2003/01/os_quiz/debian.jpg[/img]

(adsbygoogle = window.adsbygoogle || []).push({});

vpn strongswan

Imagen de acl

Ojo, fijate que lo que tienes que abrir es el puerto 500 de udp y permitir el paso de los *protocolos* 50(esp) y 51(ah). ESP y AH son protocolos (insisto, no puertos) que hacen uso de IP y pueden encapsular IP. Abrir el puerto 50 y 51 no te sirve de nada.

Busca en google sobre estos protocolos y veras en donde encajan en la pila de TCP/IP. No tienen nada que ver con tcp ni udp, excepto que pueden encapsularles.

vpn + ipsec

Imagen de acl

Los mensajes que nos mostraste en el log indican que el otro lado no ha enviado una respuesta a la llamada del protocolo de intercambio de claves (primera fase de creacion de la asociacion, puerto 500/udp). Verifica que el otro lado este recibiendo los mensajes que le estas mandando.

Si el otro lado es un linux puedes usar tcpdump o ethereal para ver que paquetes te estan llegando desde el origen, o mejor aun puedes revisar sus logs... Si la otra maquina no esta bajo tu control tienes que comunicarte mas con quien este en control.

Cuando uno hace vpns hay que trabajar de a pares.

Ademas hay un problema con la configuracion. Los ip left y right deben ser consistentes para ambos lados. Es decir, si tienes que left es 192.168.1.64 y right es 192.168.2.86, entonces ambos deben aparecer como tal en ambos archivos, lo cual no es tu caso segun lo que nos mostraste...

y además comunícate con tu

Imagen de Epe

y además comunícate con tu proveedor y el del lado remoto, verás que te ayudarán mucho a verificar que los protocolos esp y ah estén permitidos.

Saludos
epe
--
EcuaLinux.com
Ecuador: +(593) 9 9246504, +(593) 2 3412402
USA: +1 404 795 0321, España: +34 917617884

Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre

vpn con strongswan e ipsec

Los dos servidores son linux y estan detras de un modem(router) el cual les asigna una ip local y para poder conectarme de uno hacia otro no puedo usar la ip local que asigna el modem si no que entro a ellos por una ip publica asignada por no-ip.org.

si esta es la configuracion:
nodo a:
ip local: 192.168.1.64
ip publica: 189.174.159.140
nodo b:
ip local: 192.168.2.86
ip publica: 189.174.8.125

nota : si uso las ip publicas en el left me marca un error de que esa ip no esta asignada
Entonces cual seria la configuracion del ipsec.conf?

estas configuraciones tengo ahorita y si se conectan pero todavia marca un error en el nodo "A" de que no tiene respuesta:

nodo A:

conn vpnprueba
left=192.168.1.64
leftnexthop=192.168.1.254
leftcert=011cert.pem
right=189.174.8.125
rightnexthop=192.168.2.254
rightid= "/C=mx/ST=sinaloa/O=patito/OU=administracion/CN=tienda502/emailAddress=tienda502@patito.com"
auto=start
ike=3des-md5
esp=3des-md5
pfs=no

nodo B:

conn vpnprueba
left=192.168.2.86
leftnexthop=192.168.2.254
leftcert=502cert.pem
right=189.174.159.140
rightnexthop=192.168.1.254
rightid= "/C=mx/ST=sinaloa/O=patito/OU=administracion/CN=tienda011/emailAddress=tienda011@patito.com"
auto= start
ike=3des-md5
esp=3des-md5
pfs=no

ok, modifique el ipsec.conf y abri el puerto 500 udp y el log me arroja los siguiente:
nodo A:

Mar 23 17:59:25 micarinito pluto[13326]: packet from 189.174.7.124:500: ignoring Vendor ID payload [strongSwan 2.7.3]
Mar 23 17:59:25 micarinito pluto[13326]: packet from 189.174.7.124:500: received Vendor ID payload [Dead Peer Detection]
Mar 23 17:59:25 micarinito pluto[13326]: "vpnprueba" #2: responding to Main Mode
Mar 23 17:59:26 micarinito pluto[13326]: "vpnprueba" #2: Peer ID is ID_DER_ASN1_ DN: 'C=mx, ST=sinaloa, O=patito, OU=administracion, CN=tienda502, E=tienda502@patito.com'
Mar 23 17:59:26 micarinito pluto[13326]: "vpnprueba" #2: crl not found
Mar 23 17:59:26 micarinito pluto[13326]: "vpnprueba" #2: certificate status unkn own
Mar 23 17:59:26 micarinito pluto[13326]: "vpnprueba" #2: we have a cert and are sending it
Mar 23 17:59:26 micarinito pluto[13326]: "vpnprueba" #2: sent MR3, ISAKMP SA est ablished
Mar 23 17:59:26 micarinito pluto[13326]: "vpnprueba" #3: responding to Quick Mod e
Mar 23 17:59:26 micarinito pluto[13326]: "vpnprueba" #3: IPsec SA established {E SP=>0x15cab968 <0x65dd8ba6}
Mar 23 18:00:31 micarinito pluto[13326]: "vpnprueba" #1: max number of retransmi ssions (2) reached STATE_MAIN_I1. No response (or no acceptable response) to ou r first IKE message
Mar 23 18:00:31 micarinito pluto[13326]: "vpnprueba" #1: starting keying attempt 2 of at most 3
Mar 23 18:00:31 micarinito pluto[13326]: "vpnprueba" #4: initiating Main Mode to replace #1
Mar 23 18:01:41 micarinito pluto[13326]: "vpnprueba" #4: max number of retransmi ssions (2) reached STATE_MAIN_I1. No response (or no acceptable response) to ou r first IKE message

nodo B:

Mar 23 17:59:31 micarinitoII pluto[9345]: "vpnprueba" #1: initiating Main Mode
Mar 23 17:59:31 micarinitoII pluto[9345]: "vpnprueba" #1: ignoring Vendor ID payload [strongSwan 2.7.3]
Mar 23 17:59:31 micarinitoII pluto[9345]: "vpnprueba" #1: received Vendor ID payload [Dead Peer Detection]
Mar 23 17:59:32 micarinitoII pluto[9345]: "vpnprueba" #1: we have a cert and are sending it
Mar 23 17:59:32 micarinitoII pluto[9345]: "vpnprueba" #1: Peer ID is ID_DER_ASN1_DN: 'C=mx, ST=sinaloa, O=patito, OU=administracion, CN=tienda011, E=tienda011@patito.com'
Mar 23 17:59:32 micarinitoII pluto[9345]: "vpnprueba" #1: crl not found
Mar 23 17:59:32 micarinitoII pluto[9345]: "vpnprueba" #1: certificate status unknown
Mar 23 17:59:32 micarinitoII pluto[9345]: "vpnprueba" #1: ISAKMP SA established
Mar 23 17:59:32 micarinitoII pluto[9345]: "vpnprueba" #2: initiating Quick Mode RSASIG+ENCRYPT+TUNNEL+UP {using isakmp#1}
Mar 23 17:59:32 micarinitoII pluto[9345]: "vpnprueba" #2: sent QI2, IPsec SA established {ESP=>0x65dd8ba6 <0x15cab968}

De antemano muchisimas gracias, me ayudan mucho sus comentarios...

De B hacia A se establece la

Imagen de RazaMetaL

De B hacia A se establece la conectividad:

[quote]
Mar 23 17:59:32 micarinitoII pluto[9345]: "vpnprueba" #2: sent QI2, IPsec SA established {ESP=>0x65dd8ba6 <0x15cab968}
[/quote]

Prueba la conección bajando el firewall en A y B. Cuéntanos si funciona.

iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat

------------

Antes de preguntar visita el [url=http://www.sindominio.net/ayuda/preguntas-inteligentes.html]link[/url] :evil:

 

[img]http://www.bbspot.com/Images/News_Features/2003/01/os_quiz/debian.jpg[/img]

-----

Visita este [url=http://www.sindominio.net/ayuda/preguntas-inteligentes.html]link[/url] :evil:

[img]http://www.bbspot.com/Images/News_Features/2003/01/os_quiz/debian.jpg[/img]

(adsbygoogle = window.adsbygoogle || []).push({});

cheque con tcpdump en los

cheque con tcpdump en los nodos y me arrojo lo siguiente:

nodo A:
16:59:44.705176 IP dsl-189-174-8-125.prod-infinitum.com.mx.isakmp > 192.168.1.64.isakmp: isakmp: phase 1 I ident[E]
16:59:44.708195 IP 192.168.1.64.isakmp > dsl-189-174-8-125.prod-infinitum.com.mx.isakmp: isakmp: phase 1 R ident[E]
16:59:44.986515 IP dsl-189-174-8-125.prod-infinitum.com.mx.isakmp > 192.168.1.64.isakmp: isakmp: phase 2/others I oakley-quick[E]
16:59:44.986946 IP 192.168.1.64.isakmp > dsl-189-174-8-125.prod-infinitum.com.mx.isakmp: isakmp: phase 2/others R oakley-quick[E]
16:59:45.223099 IP dsl-189-174-8-125.prod-infinitum.com.mx.isakmp > 192.168.1.64.isakmp: isakmp: phase 2/others I oakley-quick[E]
16:59:47.311032 IP 192.168.1.64.isakmp > dsl-189-174-8-125.prod-infinitum.com.mx.isakmp: isakmp: phase 1 I ident
17:00:07.316981 IP 192.168.1.64.isakmp > dsl-189-174-8-125.prod-infinitum.com.mx.isakmp: isakmp: phase 1 I ident
17:00:47.313407 IP 192.168.1.64.isakmp > dsl-189-174-8-125.prod-infinitum.com.mx.isakmp: isakmp: phase 1 I ident
17:00:57.312149 IP 192.168.1.64.isakmp > dsl-189-174-8-125.prod-infinitum.com.mx.isakmp: isakmp: phase 1 I ident
17:01:17.310211 IP 192.168.1.64.isakmp > dsl-189-174-8-125.prod-infinitum.com.mx.isakmp: isakmp: phase 1 I ident

nodo B:

16:59:55.573634 IP dsl-189-174-159-140.prod-infinitum.com.mx.isakmp > 192.168.2.86.isakmp: isakmp: phase 1 R ident
16:59:55.577803 IP 192.168.2.86.isakmp > dsl-189-174-159-140.prod-infinitum.com.mx.isakmp: isakmp: phase 1 I ident[E]
16:59:55.960315 IP dsl-189-174-159-140.prod-infinitum.com.mx.isakmp > 192.168.2.86.isakmp: isakmp: phase 1 R ident[E]
16:59:55.962132 IP 192.168.2.86.isakmp > dsl-189-174-159-140.prod-infinitum.com.mx.isakmp: isakmp: phase 2/others I oakley-quick[E]
16:59:56.147184 IP dsl-189-174-159-140.prod-infinitum.com.mx.isakmp > 192.168.2.86.isakmp: isakmp: phase 2/others R oakley-quick[E]
16:59:56.226372 IP 192.168.2.86.isakmp > dsl-189-174-159-140.prod-infinitum.com.mx.isakmp: isakmp: phase 2/others I oakley-quick[E]

Que podra ser? , por que no se establecera en el otro nodo?, no tengo firewall activado en ninguno de los dos puntos...
Saludos !!!

Páginas