VPN FreeSWan IPSec

Fernando blz ?
Gostaria de dizer que não sei se vc sabe mas o projeto FreeSWAN está parado, e que a continuação dele é o OpenSWAN ... acho bom dizer isso ao pessoal, porque é melhor seguir usando um projeto que vai ter atualizações e continuação.

Blz ?

Falow

Muito bom o artigo, o unico problema foi a distro usada, não consigou achar uma pior? :)

Brincadeiras a parte, sou exigente e gosto de tudo bem feito, ou que a pessoa não faça e deixe para outra. Seu artigo conseguiu me agradar totalmente (o que não é fácil).

Parabéns pelo artigo.

Valeu engos!

Fala serio ai... você utiliza Mandrake cara ..hehe...para né... nada a ver... sou mais o Conectiva mesmo..hehehe...

Brincadeira hein...eu pra ser sincero nunca nem vi como é o Mandrake (e nem quero...kkkkk....brincadeira novamente...rssss)

Mandei um e-mail para você comentando sobre o seu comentário...heheeh.

Valeu,

Fernando.

Tudo beleza y2h4ck !!!.

Cara sinceramente não sabia desta informação que passou... excelente cara.. valeu pela informação.

Obrigado,

Fernando.

Que rufem os tambores!!!!

O engos gostou totalmente de um artigo!!!

:))) brincadeirinha

Kkkkkkkkk.... quer dizer que é dificil o engos gostar totalmente de um artigo ? rsss... Poxa, que honra.

Valeu H-lera.

Fernando.

Este artigo que vc fez pode ser aplicado em qualquer distro ou só no CL?

Boa tarde!

Então cara, eu fiz no CL... pode ser aplicado a outras distribuições sim.
Como eu disse, no CL9 ela (VPN) está como nativa, então é tranquilo a sua instalação... mas em algumas distribuições, você precisa de outro pacote, senão me engano é um pacote que é aplicado no Kernel. É algo como:
freeswan-kernelpatch (mais ou menos isto).

Abraços,

Fernando.

valeu cara muito legal este artigo tem muitos detalhes nele que eu nao encontrei em outros porem como voce disse e uma pena que NAT nao funcione muito legal


se voce tiver um comentario a respeito do assunto por favor me passe

cedrimendes@netsite.com.br

maneiro o artigo mas este projeto já náo esta parado a um tempão???

Boa tarde!

Então, como o amigo y2h4ck disse acima, o projeto FreeSWan está parado, porém tem a sua continuação com o OpenSWan.

Porem, FreeSWan ainda é muito utilizado hoje... eu particularmente acho muito boa a VPN com o FreeSWan.

Abraços e até mais,

Fernando.

Caro fernando, quando tento instalar o freeswan, ele me pede uma lib, que não consigo achar em lugar nenhum, vc tem ela ai pra me dar, a lib é a libpcap.so.0
Carlos Cesar
carlos@gruporoyal.com.br

Fala ai carl !

Estou te mandando por e-mail.

Valeu,


Fernando.

Olá Fernando,

Eu segui seu roteiro, mas passando para o openswan....

Ocorreu a seguinte mensagem no /var/log/messages:
---------
Dec 9 11:05:30 belohorizonte-mg ipsec__plutorun: 003 ERROR "/etc/ipsec.secrets" line 1: index ":RSA" illegal leading `:' in IPv6 numeric address
Dec 9 11:05:30 belohorizonte-mg ipsec__plutorun: 003 ERROR "/etc/ipsec.secrets" line 1: index "{" illegal (non-DNS-name) character in name
Dec 9 11:05:30 belorizonte-mg ipsec__plutorun: 003 ERROR "/etc/ipsec.secrets" line 5: index "Modulus" does not look numeric and name lookup failed
Dec 9 11:05:30 belorizonte-mg ipsec__plutorun: 003 "/etc/ipsec.secrets" line 5: unrecognized key format: 0x78a.........
-------

O que pode ser ?

[]s,
Anderson.

Olá Fernando....

Eu removi a primeira e a última linha que vc orientaa colcoar no /etc/ipsec.secrets , agora, a mensagem no log é diferente....
------
Dec 9 11:48:28 belohorizonte-mg ipsec_setup: ...Openswan IPsec started
Dec 9 11:48:28 belohorizonte-mg ipsec_setup: Starting Openswan IPsec U2.2.0/K2.6.5-1.358...
Dec 9 11:48:29 belohorizonte-mg ipsec__plutorun: 003 "/etc/ipsec.secrets" line 4: file starts with indentation (continuation notation)
-----

Mas o serviço inicializa normalmente....
A linha 4 dentro do /etc/ipsec.secrets começa com "Modulus: 0x...."

É isso mesmo ?

[]s,
Anderson.

Boa tarde!

Cara, infelizmente ainda nem vi o Openswan... ultimamente tá fogo viu.. bem que eu queria dar uma olhada nele....mas agora tá cruel..hehe..meio corrido.

Então, a unica coisa que posso afirmar é que você não pode tirar as linhas que tirou naum... ao menos no Freeswan... e é Modulus sim...

Outra coisinha...dá uma olhada no arquivo de configuração... se na parte:
conn %default
keyingtries=0
disablearrivalcheck=no
authby=rsasig
leftrsasigkey=%dnsondemand
rightrsasigkey=%dnsondemand

Na parte authby=rsasig ...se está assim mesmo..

Espero ter ajudado,

Fernando.

Fernando.....

Legal.... vou tentar então, mexer com o freeswan...... Eu havia optado pelo Openswan, pq houve o comentário de que era a continuação do mesmo projeto.

No entanto, ao rodar insmod ipsec, tenho a triste notícia de que o arquivo não existe.... pior é que tá lá na configuração dor kernel.... mas não no path..... tenho apenas o ipsec.h ......

Alguma dica ?

[]s,
Anderson.

Boa tarde!

Que distribuição está usando ? Putz...se não tá no Kernel... tem alguns pacotinhos que são exatamente isto ai que está faltando... o nome agora eu não me lembro direito...é algo como: kernel-patch-freeswan...algo do tipo.

Fernando.

Estou precisando conectar a minha rede com a rede de uma
outra empresa via VPN. Mas não obtive ajuda do pessoal
técnico da empresa em questão, só sei que o protocolo é PPTP
e o IP do servidor. A minha rede tem um servidor (PDC) CL 9
compartilhando internet (IP MASCARADO + NAT) com estações
Win98 (atualizadas com Dial Up Networking 1.4).

No momento as estações só conectam, um por vez, mas gostaria
que todas se conectassem simultaneamente. Quando um já esta
conectada e a outra tenta conectar tambem, a conexão é
rejeitada. O que devo fazer para por isto em pratica? tenho
que instalar um servidor de VPN também, ou só um regra no
IPTABLES resolveria?

Grato pela atenção.

Mardônio Cavalcante

Bom dia, Cara sobre o PPTP eu num manjo naum viu... mas aqui no site tem varios artigos referente a ele.

Te mandei um e-mail com um link sobre PPTP..da uma olhadinha.

Até mais,

Qualquer coisa é só dizer,

Abraços,

Fernando.

cara valeu mesmo finalmente encotrei alguem que deu umas dicas para conectiva.....

Caro Fenando,

Soh lembrando quanto as regras no Firewall.........alem da porta 500 UDP que deve ser liberado, o que também deve ser liberado são os PROTOCOLOS 50(ESP) e 51(AH), e não as portas 50 e 51 como foi dito.

Fica ai a dica.

Parabens pelo artigo.......muito bom mesmo!

Opá... agradeço hein.

Muito obrigado pela correção...valeu mesmo hein.


Fernando.

Aiai... eu devia ter lido que devia estar logado antes de escrever algo :) bom. .agora vou resumir mais.

Existem dois forks do FreeSwan: OpenSwan (www.openswan.org) e o StrongSwan (www.strongswan.org). Eu particularmente gostei mais do StrongSwan (tentei configurar criptografia AES 256 no Openswan e nao consegui. No Strong foi mole) além de que, achei a documentação do site do Strong mais completa.

O OpenSwan ja esta vindo junto com algumas distros (Fedora 3, Suse..) no Fedora Core 3 a instalação émoleza (yum install openswan..)

Os dois projetos ja têm, em suas versões mais novas, o patch para NAT-T que "dribla" o problema com a passagem por NAT.

Bem, caso alguem se aventure e tiver problemas, ficarei feliz em tentar ajudar.

Espero ter contribuido com todos.

[]s

Rodrigo

Parabéns pelo artigo.

Amigo, estou com um TRENDnet TW100-BRV204, ele só gera uma chave (e não duas que você configura a right e left), sendo assim pergunto, é possivel fazer um IPSec Trend se comunicar com um IPSec Linux?
Eu preciso disso porque vou ter um servidor com IPSec e terei 5 TRENDnet desses em 5 filiais espalhadas pelo país, outra dúvida me surte, posso fazer vários IPSec para a mesma máquina como é o caso que pretendo fazer?
Desde já agradeço.
Abraços,
"Gil"

Comigo aconteceu o seguinte problema no momento do start so ipsec:

Dec 9 11:05:30 vpn ipsec__plutorun: 003 ERROR "/etc/ipsec.secrets" line 1: index ":RSA" illegal leading `:' in IPv6 numeric address

Resolvi assim:

Na primeira linha do ipsec.secrets

@my.com: rsa { ....
ultima linha identei o } com tab

Mano...Deixa eu te perguntar...Antes de mais nada, parabens pra voce pelo artigo..ficou mtob em feito... so uam coisa... O OpenSwan e nem o FreeSwan rodam debaixo de nat...Voce saberia algum que poderia fazer isso? Sabe se o OpenVPN tem suporte a ipsec? talvez o kame?
Se tiver como mandar resposta por email...ficaria agradecido

fernandino.silva@gmail.com

valeu...

Pessoal, sempre vejo comentarios e nao conseguem rodar nat em vpn, tenho uma vpn aki com cl9 uns 5 anos rodando nat nas duas pontas, e funciona xik, isso eh facil soh mudar uma regra no iptables
aki vai a configuração do Iptables

internet=eth1
redeA=192.168.0.0/255.255.255.0
redeB=192.168.1.0/255.255.255.0
iptables -t nat -A POSTROUTING -s $redeA -d ! $redeB -o $internet -j MASQUERADE

com isso somente a redeA tem o nat a redeB q vai entrar no servidor nao precisa de nat.

a mesma coisa se faz na redeB invertendo e ficando assim:

internet=eth1
redeA=192.168.0.0/255.255.255.0
redeB=192.168.1.0/255.255.255.0
iptables -t nat -A POSTROUTING -s $redeB -d ! $redeA -o $internet -j MASQUERADE

Pronto... esta resolvido o problema da duas NAT na duas redes..

Espero ter contibuido com a Comunidade.

Futuramente quero montar um artigo para fazer o IPSEC funcionar em slackware 11 com kernel 2.6, já estou trabalhando este projeto com slackware uma distro que eu particularmente AMO.

Olá Fernando,

Gostaria de saber se o freeswan permite diversas filiais ligadas a uma matriz. Por exemplo tenho 5 distribuidoras que deveraiam ser conectadas a um único sistema que esta hospedado na matriz. Pelo que vi o artigo trata bastante de right e left, porém não fica claro se isto é possível utilizando o freeswan?

Salve galera, peço ajuda para resolver este problema..

Estou com problemas para fechar uma vpn com Freeswan no Slackware, esta configuração já existia e alterei apenas os ip's, a chave PSK e inclui o 3-DES, quando subo a vpn aparentemente está fechada, mas quando mando um telnet para o destino ele vai por fora da vpn, abaixo vou colocar os arquivos de configuraçâo, se possível peço sua ajuda neste caso, muito obrigado :

IPSEC.CONF

# /etc/ipsec.conf - FreeS/WAN IPsec configuration file
# RCSID $Id: ipsec.conf.in,v 1.11 2003/06/13 23:28:41 sam Exp $

# This file: /usr/local/share/doc/freeswan/ipsec.conf-sample
#
# Manual: ipsec.conf.5
#
# Help:
# http://www.strongsec.com/freeswan/install.htm

version 2.0 # conforms to second version of ipsec.conf specification

# basic configuration
config setup
interfaces="ipsec0=eth0"
klipsdebug=none
plutodebug=none
# plutoload=%search
# plutostart=%search
# plutowait=no

# Debug-logging controls: "none" for (almost) none, "all" for lots.
# klipsdebug=all
# plutodebug=all
# crlcheckinterval=600
# strictcrlpolicy=yes

conn %default
auto=add
type=tunnel
left=
right=
authby=secret
keyexchange=ike
esp=3des-md5-96i
keylife=24h

# OE policy groups are disabled by default
conn block
auto=ignore

conn clear
auto=ignore

conn private
auto=ignore

conn private-or-clear
auto=ignore

conn clear-or-private
auto=ignore

conn packetdefault
auto=ignore

# Add connections here.

# sample VPN connection
#sample# conn sample
#sample# # Left security gateway, subnet behind it, next hop toward right.
#sample# left=%defaultroute
#sample# leftcert=myCert.pem
#sample# leftsubnet=172.16.0.0/24
#sample# # Right security gateway, subnet behind it, next hop toward left.
#sample# right=10.12.12.1
#sample# rightid="<Distinguished name of right security gateway>"
#sample# rightsubnet=192.168.0.0/24
#sample# # To authorize this connection, but not actually start it, at startup,
#sample# # uncomment this.
#sample# #auto=start
conn vpn
auto=add
type=tunnel
left=200.X.X.11
leftsubnet=200.X.X.51/32
leftnexthop=
right=201.X.X.2
rightsubnet=192.168.1.0/24
rightnexthop=201.X.X.1
authby=secret
esp=3des-md5-96i
keylife=24h
pfs=yes
rekeymargin=9m
rekeyfuzz=25%

No ipsec.secret, tem apenas uma linha contendo a chave, substitui uma pela outra :

ipsec.secret

:PSK "CHAVE"


Dando um ipsec auto --status :
ipsec auto --status
000 interface ipsec0/eth0 201.X.X.2
000 %myid = (none)
000 debug none
000
000 "vpn": 192.168.1.0/24===201.X.X.2---201.X.X.1...200.X.X.11===200.X.X.51/32; erouted; eroute owner: #4
000 "vpn": ike_life: 3600s; ipsec_life: 86400s; rekey_margin: 540s; rekey_fuzz: 25%; keyingtries: 0
000 "vpn": policy: PSK+ENCRYPT+TUNNEL+PFS+UP; prio: 32,24; interface: eth0;
000 "vpn": newest ISAKMP SA: #3; newest IPsec SA: #4;
000
000 #4: "vpn" STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 85714s; newest IPSEC; eroute owner
000 #4: "vpn" esp.243f75c5@200.X.X.11 esp.bbaf1782@201.X.X.2 tun.1004@200.X.X.11 tun.1003@201.X.X.2
000 #3: "vpn" STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in 3042s; newest ISAKMP
000


No var/log/secure apresenta um erro na 1ª linha do ipsec.secrets :
/var/log/secure
6378 Aug 28 22:27:13 servervpn pluto[15662]: Starting Pluto (FreeS/WAN Version 2.05 X.509-1.5.3 PLUTO_ USES_KEYRR)
6379 Aug 28 22:27:13 servervpn pluto[15662]: Using KLIPS IPsec interface code
6383 Aug 28 22:27:13 servervpn pluto[15662]: Changing to directory '/etc/ipsec.d/crls'
6384 Aug 28 22:27:13 servervpn pluto[15662]: added connection description "vpn"
6385 Aug 28 22:27:13 servervpn pluto[15662]: listening for IKE messages
6386 Aug 28 22:27:13 servervpn pluto[15662]: adding interface ipsec0/eth0 201.X.X.2
6387 Aug 28 22:27:13 servervpn pluto[15662]: loading secrets from "/etc/ipsec.secrets"
6388 Aug 28 22:27:13 servervpn pluto[15662]: ERROR "/etc/ipsec.secrets" line 1: index ":PSK" illegal l eading `:' in IPv6 numeric address
6389 Aug 28 22:27:16 servervpn pluto[15662]: "vpn" #1: initiating Main Mode
6390 Aug 28 22:27:16 servervpn pluto[15662]: "vpn" #1: received Vendor ID Payload; ASCII hash: tm\031` A\024kQo*,\016c}/(\00748\037
6391 Aug 28 22:27:16 servervpn pluto[15662]: "vpn" #1: Peer ID is ID_IPV4_ADDR: '200.X.X.11'
6392 Aug 28 22:27:16 servervpn pluto[15662]: "vpn" #1: ISAKMP SA established
6393 Aug 28 22:27:16 servervpn pluto[15662]: "vpn" #2: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP {using isakmp#1}
6394 Aug 28 22:27:16 servervpn pluto[15662]: "vpn" #2: ignoring informational payload, type IPSEC_RESP ONDER_LIFETIME
6395 Aug 28 22:27:16 servervpn pluto[15662]: "vpn" #2: sent QI2, IPsec SA established {ESP=>0xd6e0a488 <0x92ec5888}
6396 Aug 28 22:28:11 servervpn pluto[15662]: shutting down
6397 Aug 28 22:28:11 servervpn pluto[15662]: forgetting secrets
6398 Aug 28 22:28:11 servervpn pluto[15662]: "vpn": deleting connection
6399 Aug 28 22:28:11 servervpn pluto[15662]: "vpn" #2: deleting state (STATE_QUICK_I2)
6400 Aug 28 22:28:11 servervpn pluto[15662]: "vpn" #1: deleting state (STATE_MAIN_I4)
6401 Aug 28 22:28:11 servervpn pluto[15662]: shutting down interface ipsec0/eth0 201.X.X.2

Estes são os requerimentos para fechar a vpn :

Fase I – Protocolo IKE – Não será aceito outro protocolo senão IKE
Fase I – Algoritmos de criptografia e integridade  3DES com MD5
Fase I – Grupo Diffie-Hellman Grupo 2 (1024 bits)
Fase I – Renegociar IKE Security Associations a cada 1440 minutos
Fase I – Aggressive Mode (DESABILITADO)
Fase I – Método de autenticação Shared Secret
Fase II - Protocolo IPSEC
Fase II – Algoritmos de criptografia e integridade
A Fase II seguirá os mesmos algoritmos da Fase I.
Fase II –PFS (Perfect Forward Secrecy) Grupo Diffie-Helmann 2 (1024 bits)
Fase II – Renegociar IPSEC Security Association a cada 3600 segundos
Fase II – Compressão de dados IPSEC (DESABILITADO)

Olá Fernando e Galera do Forum,

Estou com o seguinte problema:
LOG do meu FIREWALL

====>>>>

fw:/var/log # tail -f /var/log/messages | grep vpn
Jan 12 10:36:54 fw pluto[13188]: "vpn" #5: max number of retransmissions (2) reached STATE_MAIN_I1. No response (or no acceptable response) to our first IKE message
Jan 12 10:36:54 fw pluto[13188]: "vpn" #5: starting keying attempt 2 of at most 3, but releasing whack
Jan 12 10:36:54 fw pluto[13188]: "vpn" #6: initiating Main Mode to replace #5
Jan 12 10:36:54 fw ipsec__plutorun: 104 "vpn" #5: STATE_MAIN_I1: initiate
Jan 12 10:36:54 fw ipsec__plutorun: 010 "vpn" #5: STATE_MAIN_I1: retransmission; will wait 20s for response
Jan 12 10:36:54 fw ipsec__plutorun: 010 "vpn" #5: STATE_MAIN_I1: retransmission; will wait 40s for response
Jan 12 10:36:54 fw ipsec__plutorun: 031 "vpn" #5: max number of retransmissions (2) reached STATE_MAIN_I1. No response (or no acceptable response) to our first IKE message
Jan 12 10:36:54 fw ipsec__plutorun: 000 "vpn" #5: starting keying attempt 2 of at most 3, but releasing whack
Jan 12 10:36:54 fw ipsec__plutorun: ...could not start conn "vpn"
Jan 12 10:38:04 fw pluto[13188]: "vpn" #6: max number of retransmissions (2) reached STATE_MAIN_I1. No response (or no acceptable response) to our first IKE message
Jan 12 10:38:04 fw pluto[13188]: "vpn" #6: starting keying attempt 3 of at most 3
Jan 12 10:38:04 fw pluto[13188]: "vpn" #9: initiating Main Mode to replace #6
Jan 12 10:39:14 fw pluto[13188]: "vpn" #9: max number of retransmissions (2) reached STATE_MAIN_I1. No response (or no acceptable response) to our first IKE message


<<<<======


MEU AMBIENTE É:
MATRIZ: Firewall OpenSuse (IPSEC/Freeswan)
FILIAL: Router Planet MH-2001 VPN ( http://www.planet.com.tw/en/product/product_ov.php?id=7708 )

Ja fiz muitas alteraçoes e testes e nao sobe a VPN.

SERÁ QUE ALGUÉM PODE ME AJUDAR?
Obrigado.

Att. xcyclops

_

Olá xcyclops....


Cara estou com o mesmo problema que você.... então se você achou a solução ou alguem souber como resolver por favor me de um toque por favor....


Att. Montovani