VPN FreeSWan IPSec
Apresento neste artigo a configuração de uma VPN (Virtual Private Network) utilizando-se da ferramenta FreeS/Wan (freeswan). Toda a configuração foi feita baseada em um Conectiva Linux 9.
Parte 7: Detalhes/Recomendações
Um detalhe importante, as máquinas gateways não conseguem acessar as máquinas que estão atrás do outro gateway, ou seja, a máquina gateway da RedeA não conseguirá acessar os hosts (estações) da RedeB e vice-versa. Isto é uma impossibilidade técnica. Então para testar vá de uma estação, por exemplo na RedeB e dê um ping em uma máquina estação da RedeA.
Sempre que uma ponta possui auto=start, ela irá travar durante o boot até conseguir conexão com a outra ponta. Em um ambiente em que as duas máquinas sejam ligadas apenas eventualmente, coloque auto=add na ponta que irá ser ligada antes, e auto=start na que será ligada posteriormente, assim nenhuma travará durante o boot. Em casos em que o túnel estará no ar eventualmente (apesar das máquinas estarem ligadas sempre ou a maior parte do tempo), coloque auto=add em ambas, e inicie o túnel manualmente a partir de alguma delas quando necessário.
Recomendo também dar uma boa lida no manual. Ele contém muitos exemplos de testes e de procedimentos que podem ajudar também. Dá uma olhada no site do FreeS/Wan, também não custa nada e pode ser muito útil.
A qualquer momento que for necessário paralisar ou iniciar uma interface manualmente, pode-se usar os seguintes comandos (substitua o nome vivaolinux pelo nome usado na configuração feita por você):
# ipsec auto -up vivaolinux
# ipsec auto -down vivaolinux
Quando você paralisar o túnel, a outra máquina não será avisada. Isto é normal, ela não mostrará nada nos logs apesar de a máquina desta ponta mostrar normalmente nos logs que o túnel foi interrompido. Mesmo nesta situação, qualquer uma poderá restabelecer o túnel a qualquer momento.
Outra coisa é habilitar a passagem de pacotes. Habilite nas duas pontas:
# echo 1 > /proc/sys/net/ipv4/ip_forward
Outro conselho é fazer toda a configuração e quando for testar, desabilite o Firewall por alguns minutos para testar. Depois de verificado que está tudo OK, suba o seu firewall.
Vou ficar devendo as regras para liberar a VPN no firewall, senão me engano precisa se liberar o input e output com protocolo UDP da porta 500, liberar também o input e output das portas 50 e 51.
Outra coisa é se estiver utilizando NAT, tome o cuidado para não mascarar nada que tenha como origem uma das redes e como destino a outra rede. NAT na minha opinião é um problema que às vezes torna o FreeS/Wan inviável.
Peço desculpas pelas regras, vou ser bem sincero. Eu já fiz sim um configuração de uma VPN utilizando o Conectiva 9, só que eu desabilitei o Firewall.
O problema é o seguinte, como disse, já fiz está configuração utilizando um Conectiva 9, só que depois eu passei as máquinas do meu serviço para um Conectiva 10, por estar mais atual e etc. E fiquei frustrado porque no Conectiva 10 o pacote do freeswan não vem mais como nativo do sistema. Baixei o RPM do FTP da Unicamp e baixei também o .tar.gz e em ambos os casos eu não obtive sucesso.
Mandei um e-mail para a Conectiva e me retornaram dizendo que o freeswan foi retirado do Conectiva 10 e agora no Conectiva 10 o utilitário para VPN é todo feito através do pacote ipsec-tools, mas ainda não fui atrás da VPN utilizando este pacote.
Pois é, complicado né... mas mesmo assim espero que este artigo seja útil para aqueles que tem um Conectiva 9 instalado ou até mesmo para aqueles que tem alguma outra distribuição que contenha o Freeswan ou consigam instalar o freeswan independente de ser nativo ou não, quem sabe até no Conectiva 10 dê para fazer. Quem conseguir fazer no Conectiva 10, por favor, me ensina que estou precisando... hehehe.
Valeu pessoal, mais uma vez espero que seja útil e me desculpem caso haja algum erro de português, é que eu prefiro a matemática... rsss.
Obrigado.
Fernando Silva Barreto.
Sempre que uma ponta possui auto=start, ela irá travar durante o boot até conseguir conexão com a outra ponta. Em um ambiente em que as duas máquinas sejam ligadas apenas eventualmente, coloque auto=add na ponta que irá ser ligada antes, e auto=start na que será ligada posteriormente, assim nenhuma travará durante o boot. Em casos em que o túnel estará no ar eventualmente (apesar das máquinas estarem ligadas sempre ou a maior parte do tempo), coloque auto=add em ambas, e inicie o túnel manualmente a partir de alguma delas quando necessário.
Recomendo também dar uma boa lida no manual. Ele contém muitos exemplos de testes e de procedimentos que podem ajudar também. Dá uma olhada no site do FreeS/Wan, também não custa nada e pode ser muito útil.
A qualquer momento que for necessário paralisar ou iniciar uma interface manualmente, pode-se usar os seguintes comandos (substitua o nome vivaolinux pelo nome usado na configuração feita por você):
# ipsec auto -up vivaolinux
# ipsec auto -down vivaolinux
Quando você paralisar o túnel, a outra máquina não será avisada. Isto é normal, ela não mostrará nada nos logs apesar de a máquina desta ponta mostrar normalmente nos logs que o túnel foi interrompido. Mesmo nesta situação, qualquer uma poderá restabelecer o túnel a qualquer momento.
Outra coisa é habilitar a passagem de pacotes. Habilite nas duas pontas:
# echo 1 > /proc/sys/net/ipv4/ip_forward
Outro conselho é fazer toda a configuração e quando for testar, desabilite o Firewall por alguns minutos para testar. Depois de verificado que está tudo OK, suba o seu firewall.
Vou ficar devendo as regras para liberar a VPN no firewall, senão me engano precisa se liberar o input e output com protocolo UDP da porta 500, liberar também o input e output das portas 50 e 51.
Outra coisa é se estiver utilizando NAT, tome o cuidado para não mascarar nada que tenha como origem uma das redes e como destino a outra rede. NAT na minha opinião é um problema que às vezes torna o FreeS/Wan inviável.
Peço desculpas pelas regras, vou ser bem sincero. Eu já fiz sim um configuração de uma VPN utilizando o Conectiva 9, só que eu desabilitei o Firewall.
O problema é o seguinte, como disse, já fiz está configuração utilizando um Conectiva 9, só que depois eu passei as máquinas do meu serviço para um Conectiva 10, por estar mais atual e etc. E fiquei frustrado porque no Conectiva 10 o pacote do freeswan não vem mais como nativo do sistema. Baixei o RPM do FTP da Unicamp e baixei também o .tar.gz e em ambos os casos eu não obtive sucesso.
Mandei um e-mail para a Conectiva e me retornaram dizendo que o freeswan foi retirado do Conectiva 10 e agora no Conectiva 10 o utilitário para VPN é todo feito através do pacote ipsec-tools, mas ainda não fui atrás da VPN utilizando este pacote.
Pois é, complicado né... mas mesmo assim espero que este artigo seja útil para aqueles que tem um Conectiva 9 instalado ou até mesmo para aqueles que tem alguma outra distribuição que contenha o Freeswan ou consigam instalar o freeswan independente de ser nativo ou não, quem sabe até no Conectiva 10 dê para fazer. Quem conseguir fazer no Conectiva 10, por favor, me ensina que estou precisando... hehehe.
Valeu pessoal, mais uma vez espero que seja útil e me desculpem caso haja algum erro de português, é que eu prefiro a matemática... rsss.
Obrigado.
Fernando Silva Barreto.
Gostaria de dizer que não sei se vc sabe mas o projeto FreeSWAN está parado, e que a continuação dele é o OpenSWAN ... acho bom dizer isso ao pessoal, porque é melhor seguir usando um projeto que vai ter atualizações e continuação.
Blz ?
Falow