Configuración VPN OpenSwan

Imagen de Night_23

Forums: 

Luego de haber tomado algunos comentarios de todos Uds. y leer un poco en algunos sitios de internet, he configurado la VPN entre las dos sucursales UIO - GYE de la Empresa en donde trabajo, la opción fue openswan-2.4.5 con un WBEL 4.0, bien todo funciona perfectamente y ya tengo el túnel de mi primera VPN , ahora levantare otro para CUE. para aquellos que necesiten alguna información esto es básicamente lo que hice.

1.- Instalación el los dos servers (WBEL ) - OpenSwan
2.- Verificar las conexiones del punto de salida y llegada ( traceroute ).
3.- IP pública y Router ( ifconfig - route -n )
2.- Desabilitar opciones NETKEY ICMP /proc/sys/net/ipv4/conf/*/send_redirects
for i in /proc/sys/net/ipv4/conf/*/send_redirects; do echo 0 > $i; done
3.- Desabilitar opciones NETKEY ICMP /proc/sys/net/ipv4/conf/*/accept_redirects
for i in /proc/sys/net/ipv4/conf/*/accept_redirects; do echo 0 > $i; done
4.- cp /etc/ipsec.conf /etc/ipsec.conf.orig
5.- cp /etc/ipsec.secrets /etc/ipsec.secrets.orig
6.- Generar certificados de lado (left) y lado (Right)
ipsec showhostkey --left > left
ipsec showhostkey --right > right
scp host1:/etc/left .
scp host2:/etc/right .
7.- Configurar ipsec.conf y copias en el otro equipo pera en forma inversa.
config setup
# plutodebug / klipsdebug = "all", "none" or a combation from below:
# "raw crypt parsing emitting control klips pfkey natt x509 private"
# eg:
interfaces=%defaultroute
#klipsdebug=none
#plutodebug=none
#plutoload=%search
#plutostart=%search
#uniqueids=yes
#
# Only enable klipsdebug=all if you are a developer
#
# NAT-TRAVERSAL support, see README.NAT-Traversal
#nat_traversal=yes
#virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%4:172.16.0.0/12
conn tunnel-uno
# Left security gateway, subnet behind it, nexthop toward right.
compress=yes
left=IP pública
leftsubnet=192.168.1.0/24
leftnexthop=Ruteador
leftid=@hostname1
# RSA 2192 bits hostname1 Wed May 3 09:43:02 2006
leftrsasigkey=< aqui el certificado left )
# Right security gateway, subnet behind it, nexthop toward left.
right=IP pública
rightid=@hostname2
rightsubnet=192.168.2.0/24
rightnexthop=%defaultroute
# RSA 2192 bits hostname2 Wed May 3 09:43:02 2006
rightrsasigkey=< aqui el cerficado right )
# To authorize this connection, but not actually start it,
# at startup, uncomment this.
authby=rsasig
auto=start

8.- iptables para VPN

iptables -A INPUT -p udp --sport 500 --dport 500 -j ACCEPT
iptables -A OUTPUT -p udp --sport 500 --dport 500 -j ACCEPT

iptables -A INPUT -p udp --sport 50 --dport 50 -j ACCEPT
iptables -A OUTPUT -p udp --sport 50 --dport 50 -j ACCEPT

iptables -A INPUT -p 50 -j ACCEPT
iptables -A OUTPUT -p 50 -j ACCEPT

iptables -A FORWARD -s eth1 -d eth0 -j ACCEPT
iptables -A FORWARD -s eth0 -d eht1 -j ACCEPT

9.- service ipsec start
10.- tail -f /var/log/secure

listo ya tienes tu VPN. como un tip en recomendable hacer que el MTU sea 1440 en las interfaces de la red.

ifconfig eth1 mtu 1440
ifconfig eth0 mtu 1440

Saludos.

Asumo que en otra distro

Imagen de devilsoulblack

Asumo que en otra distro sera igual

® { No HopE & No FeaR } ®
Be part of the change, because We are the change..
Projects:
Orenses.org: http://www.orenses.org
DeVilSoulBlacK WebLog: http://www.devilsoulblack.com
DeVilSoulBlacK Channel: #Siliconvalley *!*@DAL.net

® { No HopE & No FeaR } ®
Be part of the change, because We are the change..
Projects:
Orenses.org: http://www.orenses.org

Esto es lo bonito, que

Imagen de Epe

Esto es lo bonito, que estamos trabajando en linux, sin importar el instalador. Conque tengas el openswan instalado, seguramente será muy similar. Posiblemente varíen los caminos de la configuración, posiblemente tengas una versión más o menos moderna, pero es openswan corriendo sobre linux
--
EcuaLinux.com
Ecuador: (02)3412402 - (09)9246504
USA: + 1 404 795 0321

Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre

Gracias por compartir la

Imagen de RazaMetaL

Gracias por compartir la información, a muchos nos será bastante útil. :)

-------------------------

Antes de preguntar visita esta dirección :evil:

 

-----

Visita este [url=http://www.sindominio.net/ayuda/preguntas-inteligentes.html]link[/url] :evil:

[img]http://www.bbspot.com/Images/News_Features/2003/01/os_quiz/debian.jpg[/img]

(adsbygoogle = window.adsbygoogle || []).push({});

como comprobar correcto funcionamiento de vpn

Hola a todos

Llevo muy poco tiempo en el mundo de linux y ahora que ya me he hecho con el suse 9.2 mi intencion es crear una VPN.He hecho la instalacion y configuracion pero ahora no se muy bien como comprobar que todo funciona correctamente.

Podrias poner una configuracion completa y correcta de ipsec.conf

MUCHAS GRACIAS

Comprabar la VPN

Imagen de Night_23

Hola tendrías que realizar simplemente un ping desde una pc de tu lan hacia otra pc del otro lado de la VPN es decir si tienes una máquina con 192.168.1.10 y al otro lado tienes una máquina con 192.168.2.10 las dos deberían verse.

verificar con ipsec verify si todo esta correcto. ipsec auto status para chequear el canal que hayas establecido y mirar en /var/log/secure si al VPN se levanto.

saludos

/etc/ipsec.secrets.

Que hay que poner exactamente en esta archivo????

/etc/ipsec.secrets.

Hay que modificarlo o algo??

me da el siguiente fallo

Checking your system to see if IPsec got installed and started correctly:
Version check and ipsec on-path [OK]
Linux Openswan U2.4.0rc5/K2.6.13-15-default (netkey)
Checking for IPsec support in kernel [OK]
Checking for RSA private key (/etc/ipsec.secrets) [OK]
Checking that pluto is running [OK]
Two or more interfaces found, checking IP forwarding [FAILED]
Checking for 'ip' command [OK]
Checking for 'iptables' command [OK]
Checking for 'curl' command for CRL fetching [OK]
Checking for 'setkey' command for NETKEY IPsec stack support [OK]
Opportunistic Encryption Support [DISABLED]

MUCHAS GRACIAS

RTFM

Imagen de deathUser

http://www.natecarlson.com/linux/ipsec-x509.php

STWF
http://www.google.com.ec/search?hl=es&q=openswan+%2Fetc%2Fipsec.secrets.&btnG=B%C3%BAsqueda+en+Google&meta=

bye
:)

Two or more interfaces

Es compatibles openswan en un suse con un chekpoint??? en concreto con este http://www.fw-1.de/aerasec/

Me estoy volviendo loco con la configuracion de esta VPN, hay algun parametro especial que haya que poner en el archivo de configuracion ????

Llego a conectarme con su firewall pero no me deja entrar por un problema de certificados

"" Information:
IKE: Main Mode Failed to match proposal: Transform: AES-256, SHA1, RSA Signature, Group 2 (1024 bit)
Reason: Missing attribute: Key Length ""

Es culpa mia?? o de lo otros????

Gracias por cualquier consejo

Hay un buen manual en

Imagen de RazaMetaL

Hay un buen manual en espanol en:
http://eureka-linux.com.ar/docs/openvpn.html

;)

-------------------------

Antes de preguntar visita esta dirección :evil:

 

-----

Visita este [url=http://www.sindominio.net/ayuda/preguntas-inteligentes.html]link[/url] :evil:

[img]http://www.bbspot.com/Images/News_Features/2003/01/os_quiz/debian.jpg[/img]

(adsbygoogle = window.adsbygoogle || []).push({});

Páginas