VPN FreeSWan IPSec

Apresento neste artigo a configuração de uma VPN (Virtual Private Network) utilizando-se da ferramenta FreeS/Wan (freeswan). Toda a configuração foi feita baseada em um Conectiva Linux 9.

[ Hits: 172.304 ]

Por: Fernando Silva Barreto em 04/11/2004


Detalhes/Recomendações



Um detalhe importante, as máquinas gateways não conseguem acessar as máquinas que estão atrás do outro gateway, ou seja, a máquina gateway da RedeA não conseguirá acessar os hosts (estações) da RedeB e vice-versa. Isto é uma impossibilidade técnica. Então para testar vá de uma estação, por exemplo na RedeB e dê um ping em uma máquina estação da RedeA.

Sempre que uma ponta possui auto=start, ela irá travar durante o boot até conseguir conexão com a outra ponta. Em um ambiente em que as duas máquinas sejam ligadas apenas eventualmente, coloque auto=add na ponta que irá ser ligada antes, e auto=start na que será ligada posteriormente, assim nenhuma travará durante o boot. Em casos em que o túnel estará no ar eventualmente (apesar das máquinas estarem ligadas sempre ou a maior parte do tempo), coloque auto=add em ambas, e inicie o túnel manualmente a partir de alguma delas quando necessário.

Recomendo também dar uma boa lida no manual. Ele contém muitos exemplos de testes e de procedimentos que podem ajudar também. Dá uma olhada no site do FreeS/Wan, também não custa nada e pode ser muito útil.
A qualquer momento que for necessário paralisar ou iniciar uma interface manualmente, pode-se usar os seguintes comandos (substitua o nome vivaolinux pelo nome usado na configuração feita por você):

# ipsec auto -up vivaolinux
# ipsec auto -down vivaolinux


Quando você paralisar o túnel, a outra máquina não será avisada. Isto é normal, ela não mostrará nada nos logs apesar de a máquina desta ponta mostrar normalmente nos logs que o túnel foi interrompido. Mesmo nesta situação, qualquer uma poderá restabelecer o túnel a qualquer momento.

Outra coisa é habilitar a passagem de pacotes. Habilite nas duas pontas:

# echo 1 > /proc/sys/net/ipv4/ip_forward

Outro conselho é fazer toda a configuração e quando for testar, desabilite o Firewall por alguns minutos para testar. Depois de verificado que está tudo OK, suba o seu firewall.

Vou ficar devendo as regras para liberar a VPN no firewall, senão me engano precisa se liberar o input e output com protocolo UDP da porta 500, liberar também o input e output das portas 50 e 51.

Outra coisa é se estiver utilizando NAT, tome o cuidado para não mascarar nada que tenha como origem uma das redes e como destino a outra rede. NAT na minha opinião é um problema que às vezes torna o FreeS/Wan inviável.

Peço desculpas pelas regras, vou ser bem sincero. Eu já fiz sim um configuração de uma VPN utilizando o Conectiva 9, só que eu desabilitei o Firewall.

O problema é o seguinte, como disse, já fiz está configuração utilizando um Conectiva 9, só que depois eu passei as máquinas do meu serviço para um Conectiva 10, por estar mais atual e etc. E fiquei frustrado porque no Conectiva 10 o pacote do freeswan não vem mais como nativo do sistema. Baixei o RPM do FTP da Unicamp e baixei também o .tar.gz e em ambos os casos eu não obtive sucesso.

Mandei um e-mail para a Conectiva e me retornaram dizendo que o freeswan foi retirado do Conectiva 10 e agora no Conectiva 10 o utilitário para VPN é todo feito através do pacote ipsec-tools, mas ainda não fui atrás da VPN utilizando este pacote.

Pois é, complicado né... mas mesmo assim espero que este artigo seja útil para aqueles que tem um Conectiva 9 instalado ou até mesmo para aqueles que tem alguma outra distribuição que contenha o Freeswan ou consigam instalar o freeswan independente de ser nativo ou não, quem sabe até no Conectiva 10 dê para fazer. Quem conseguir fazer no Conectiva 10, por favor, me ensina que estou precisando... hehehe.

Valeu pessoal, mais uma vez espero que seja útil e me desculpem caso haja algum erro de português, é que eu prefiro a matemática... rsss.

Obrigado.

Fernando Silva Barreto.

Página anterior    

Páginas do artigo
   1. Introdução
   2. Preparação/Instalação
   3. ipsec.conf
   4. Conexão no ipsec.conf
   5. ipsec.secrets
   6. Configuração da outra ponta
   7. Detalhes/Recomendações
Outros artigos deste autor

Configuração da rede no Conectiva 10

Leitura recomendada

Controle de banda no Apache 1.3.X com mod_bandwidth (Slackware)

Introdução ao gerenciador de janelas i3

DHCP - Configurando-o de forma simples e eficiente

Modo texto no Ubuntu 10.10 definitivo rápido e prático!

Tutorial de Instalação do Redmine

  
Comentários
[1] Comentário enviado por y2h4ck em 04/11/2004 - 12:09h

Fernando blz ?
Gostaria de dizer que não sei se vc sabe mas o projeto FreeSWAN está parado, e que a continuação dele é o OpenSWAN ... acho bom dizer isso ao pessoal, porque é melhor seguir usando um projeto que vai ter atualizações e continuação.

Blz ?

Falow

[2] Comentário enviado por engos em 04/11/2004 - 13:12h

Muito bom o artigo, o unico problema foi a distro usada, não consigou achar uma pior? :)

Brincadeiras a parte, sou exigente e gosto de tudo bem feito, ou que a pessoa não faça e deixe para outra. Seu artigo conseguiu me agradar totalmente (o que não é fácil).

Parabéns pelo artigo.

[3] Comentário enviado por __FERNANDO__ em 04/11/2004 - 13:22h

Valeu engos!

Fala serio ai... você utiliza Mandrake cara ..hehe...para né... nada a ver... sou mais o Conectiva mesmo..hehehe...

Brincadeira hein...eu pra ser sincero nunca nem vi como é o Mandrake (e nem quero...kkkkk....brincadeira novamente...rssss)

Mandei um e-mail para você comentando sobre o seu comentário...heheeh.

Valeu,

Fernando.

[4] Comentário enviado por __FERNANDO__ em 04/11/2004 - 14:34h

Tudo beleza y2h4ck !!!.

Cara sinceramente não sabia desta informação que passou... excelente cara.. valeu pela informação.

Obrigado,

Fernando.

[5] Comentário enviado por androle em 04/11/2004 - 15:48h

Que rufem os tambores!!!!

O engos gostou totalmente de um artigo!!!

:))) brincadeirinha

[6] Comentário enviado por __FERNANDO__ em 04/11/2004 - 17:01h

Kkkkkkkkk.... quer dizer que é dificil o engos gostar totalmente de um artigo ? rsss... Poxa, que honra.

Valeu H-lera.

Fernando.

[7] Comentário enviado por rbn_jesus em 04/11/2004 - 17:30h


Este artigo que vc fez pode ser aplicado em qualquer distro ou só no CL?

[8] Comentário enviado por __FERNANDO__ em 04/11/2004 - 17:36h

Boa tarde!

Então cara, eu fiz no CL... pode ser aplicado a outras distribuições sim.
Como eu disse, no CL9 ela (VPN) está como nativa, então é tranquilo a sua instalação... mas em algumas distribuições, você precisa de outro pacote, senão me engano é um pacote que é aplicado no Kernel. É algo como:
freeswan-kernelpatch (mais ou menos isto).

Abraços,

Fernando.

[9] Comentário enviado por cedrimendes em 05/11/2004 - 11:20h

valeu cara muito legal este artigo tem muitos detalhes nele que eu nao encontrei em outros porem como voce disse e uma pena que NAT nao funcione muito legal


se voce tiver um comentario a respeito do assunto por favor me passe

cedrimendes@netsite.com.br

[10] Comentário enviado por lacierdias em 06/11/2004 - 12:45h

maneiro o artigo mas este projeto já náo esta parado a um tempão???

[11] Comentário enviado por __FERNANDO__ em 07/11/2004 - 14:11h

Boa tarde!

Então, como o amigo y2h4ck disse acima, o projeto FreeSWan está parado, porém tem a sua continuação com o OpenSWan.

Porem, FreeSWan ainda é muito utilizado hoje... eu particularmente acho muito boa a VPN com o FreeSWan.

Abraços e até mais,

Fernando.

[12] Comentário enviado por carl em 10/11/2004 - 05:47h

Caro fernando, quando tento instalar o freeswan, ele me pede uma lib, que não consigo achar em lugar nenhum, vc tem ela ai pra me dar, a lib é a libpcap.so.0
Carlos Cesar
carlos@gruporoyal.com.br

[13] Comentário enviado por __FERNANDO__ em 10/11/2004 - 06:22h

Fala ai carl !

Estou te mandando por e-mail.

Valeu,


Fernando.

[14] Comentário enviado por judabenhur em 09/12/2004 - 11:27h

Olá Fernando,

Eu segui seu roteiro, mas passando para o openswan....

Ocorreu a seguinte mensagem no /var/log/messages:
---------
Dec 9 11:05:30 belohorizonte-mg ipsec__plutorun: 003 ERROR "/etc/ipsec.secrets" line 1: index ":RSA" illegal leading `:' in IPv6 numeric address
Dec 9 11:05:30 belohorizonte-mg ipsec__plutorun: 003 ERROR "/etc/ipsec.secrets" line 1: index "{" illegal (non-DNS-name) character in name
Dec 9 11:05:30 belorizonte-mg ipsec__plutorun: 003 ERROR "/etc/ipsec.secrets" line 5: index "Modulus" does not look numeric and name lookup failed
Dec 9 11:05:30 belorizonte-mg ipsec__plutorun: 003 "/etc/ipsec.secrets" line 5: unrecognized key format: 0x78a.........
-------

O que pode ser ?

[]s,
Anderson.

[15] Comentário enviado por judabenhur em 09/12/2004 - 11:56h

Olá Fernando....

Eu removi a primeira e a última linha que vc orientaa colcoar no /etc/ipsec.secrets , agora, a mensagem no log é diferente....
------
Dec 9 11:48:28 belohorizonte-mg ipsec_setup: ...Openswan IPsec started
Dec 9 11:48:28 belohorizonte-mg ipsec_setup: Starting Openswan IPsec U2.2.0/K2.6.5-1.358...
Dec 9 11:48:29 belohorizonte-mg ipsec__plutorun: 003 "/etc/ipsec.secrets" line 4: file starts with indentation (continuation notation)
-----

Mas o serviço inicializa normalmente....
A linha 4 dentro do /etc/ipsec.secrets começa com "Modulus: 0x...."

É isso mesmo ?

[]s,
Anderson.

[16] Comentário enviado por __FERNANDO__ em 09/12/2004 - 13:20h

Boa tarde!

Cara, infelizmente ainda nem vi o Openswan... ultimamente tá fogo viu.. bem que eu queria dar uma olhada nele....mas agora tá cruel..hehe..meio corrido.

Então, a unica coisa que posso afirmar é que você não pode tirar as linhas que tirou naum... ao menos no Freeswan... e é Modulus sim...

Outra coisinha...dá uma olhada no arquivo de configuração... se na parte:
conn %default
keyingtries=0
disablearrivalcheck=no
authby=rsasig
leftrsasigkey=%dnsondemand
rightrsasigkey=%dnsondemand

Na parte authby=rsasig ...se está assim mesmo..

Espero ter ajudado,

Fernando.

[17] Comentário enviado por judabenhur em 09/12/2004 - 15:17h

Fernando.....

Legal.... vou tentar então, mexer com o freeswan...... Eu havia optado pelo Openswan, pq houve o comentário de que era a continuação do mesmo projeto.

No entanto, ao rodar insmod ipsec, tenho a triste notícia de que o arquivo não existe.... pior é que tá lá na configuração dor kernel.... mas não no path..... tenho apenas o ipsec.h ......

Alguma dica ?

[]s,
Anderson.

[18] Comentário enviado por __FERNANDO__ em 11/12/2004 - 13:15h

Boa tarde!

Que distribuição está usando ? Putz...se não tá no Kernel... tem alguns pacotinhos que são exatamente isto ai que está faltando... o nome agora eu não me lembro direito...é algo como: kernel-patch-freeswan...algo do tipo.

Fernando.

[19] Comentário enviado por aprendiz_ce em 25/01/2005 - 20:40h


Estou precisando conectar a minha rede com a rede de uma
outra empresa via VPN. Mas não obtive ajuda do pessoal
técnico da empresa em questão, só sei que o protocolo é PPTP
e o IP do servidor. A minha rede tem um servidor (PDC) CL 9
compartilhando internet (IP MASCARADO + NAT) com estações
Win98 (atualizadas com Dial Up Networking 1.4).

No momento as estações só conectam, um por vez, mas gostaria
que todas se conectassem simultaneamente. Quando um já esta
conectada e a outra tenta conectar tambem, a conexão é
rejeitada. O que devo fazer para por isto em pratica? tenho
que instalar um servidor de VPN também, ou só um regra no
IPTABLES resolveria?

Grato pela atenção.

Mardônio Cavalcante


[20] Comentário enviado por __FERNANDO__ em 26/01/2005 - 09:28h

Bom dia, Cara sobre o PPTP eu num manjo naum viu... mas aqui no site tem varios artigos referente a ele.

Te mandei um e-mail com um link sobre PPTP..da uma olhadinha.

Até mais,

Qualquer coisa é só dizer,

Abraços,

Fernando.

[21] Comentário enviado por antoniaze em 01/02/2005 - 14:03h

cara valeu mesmo finalmente encotrei alguem que deu umas dicas para conectiva.....

[22] Comentário enviado por linuxbeginner em 10/02/2005 - 15:40h

Caro Fenando,

Soh lembrando quanto as regras no Firewall.........alem da porta 500 UDP que deve ser liberado, o que também deve ser liberado são os PROTOCOLOS 50(ESP) e 51(AH), e não as portas 50 e 51 como foi dito.

Fica ai a dica.

Parabens pelo artigo.......muito bom mesmo!

[23] Comentário enviado por __FERNANDO__ em 10/02/2005 - 16:16h

Opá... agradeço hein.

Muito obrigado pela correção...valeu mesmo hein.


Fernando.

[24] Comentário enviado por nobregasz em 02/06/2005 - 06:37h

Aiai... eu devia ter lido que devia estar logado antes de escrever algo :) bom. .agora vou resumir mais.

Existem dois forks do FreeSwan: OpenSwan (www.openswan.org) e o StrongSwan (www.strongswan.org). Eu particularmente gostei mais do StrongSwan (tentei configurar criptografia AES 256 no Openswan e nao consegui. No Strong foi mole) além de que, achei a documentação do site do Strong mais completa.

O OpenSwan ja esta vindo junto com algumas distros (Fedora 3, Suse..) no Fedora Core 3 a instalação émoleza (yum install openswan..)

Os dois projetos ja têm, em suas versões mais novas, o patch para NAT-T que "dribla" o problema com a passagem por NAT.

Bem, caso alguem se aventure e tiver problemas, ficarei feliz em tentar ajudar.

Espero ter contribuido com todos.

[]s

Rodrigo

[25] Comentário enviado por Papafigo em 01/06/2006 - 17:22h

Parabéns pelo artigo.

[26] Comentário enviado por Gilfran em 13/10/2006 - 12:26h

Amigo, estou com um TRENDnet TW100-BRV204, ele só gera uma chave (e não duas que você configura a right e left), sendo assim pergunto, é possivel fazer um IPSec Trend se comunicar com um IPSec Linux?
Eu preciso disso porque vou ter um servidor com IPSec e terei 5 TRENDnet desses em 5 filiais espalhadas pelo país, outra dúvida me surte, posso fazer vários IPSec para a mesma máquina como é o caso que pretendo fazer?
Desde já agradeço.
Abraços,
"Gil"

[27] Comentário enviado por aluisiogouveia em 22/11/2006 - 23:48h

Comigo aconteceu o seguinte problema no momento do start so ipsec:

Dec 9 11:05:30 vpn ipsec__plutorun: 003 ERROR "/etc/ipsec.secrets" line 1: index ":RSA" illegal leading `:' in IPv6 numeric address

Resolvi assim:

Na primeira linha do ipsec.secrets

@my.com: rsa { ....
ultima linha identei o } com tab


[28] Comentário enviado por FireBird em 25/01/2007 - 15:18h

Mano...Deixa eu te perguntar...Antes de mais nada, parabens pra voce pelo artigo..ficou mtob em feito... so uam coisa... O OpenSwan e nem o FreeSwan rodam debaixo de nat...Voce saberia algum que poderia fazer isso? Sabe se o OpenVPN tem suporte a ipsec? talvez o kame?
Se tiver como mandar resposta por email...ficaria agradecido

fernandino.silva@gmail.com

valeu...

[29] Comentário enviado por zapp em 22/03/2007 - 10:34h

Pessoal, sempre vejo comentarios e nao conseguem rodar nat em vpn, tenho uma vpn aki com cl9 uns 5 anos rodando nat nas duas pontas, e funciona xik, isso eh facil soh mudar uma regra no iptables
aki vai a configuração do Iptables

internet=eth1
redeA=192.168.0.0/255.255.255.0
redeB=192.168.1.0/255.255.255.0
iptables -t nat -A POSTROUTING -s $redeA -d ! $redeB -o $internet -j MASQUERADE

com isso somente a redeA tem o nat a redeB q vai entrar no servidor nao precisa de nat.

a mesma coisa se faz na redeB invertendo e ficando assim:

internet=eth1
redeA=192.168.0.0/255.255.255.0
redeB=192.168.1.0/255.255.255.0
iptables -t nat -A POSTROUTING -s $redeB -d ! $redeA -o $internet -j MASQUERADE

Pronto... esta resolvido o problema da duas NAT na duas redes..

Espero ter contibuido com a Comunidade.

Futuramente quero montar um artigo para fazer o IPSEC funcionar em slackware 11 com kernel 2.6, já estou trabalhando este projeto com slackware uma distro que eu particularmente AMO.

[30] Comentário enviado por cassioseffrin em 30/03/2008 - 16:34h

Olá Fernando,

Gostaria de saber se o freeswan permite diversas filiais ligadas a uma matriz. Por exemplo tenho 5 distribuidoras que deveraiam ser conectadas a um único sistema que esta hospedado na matriz. Pelo que vi o artigo trata bastante de right e left, porém não fica claro se isto é possível utilizando o freeswan?

[31] Comentário enviado por ferjun01 em 30/08/2008 - 10:01h

Salve galera, peço ajuda para resolver este problema..

Estou com problemas para fechar uma vpn com Freeswan no Slackware, esta configuração já existia e alterei apenas os ip's, a chave PSK e inclui o 3-DES, quando subo a vpn aparentemente está fechada, mas quando mando um telnet para o destino ele vai por fora da vpn, abaixo vou colocar os arquivos de configuraçâo, se possível peço sua ajuda neste caso, muito obrigado :

IPSEC.CONF

# /etc/ipsec.conf - FreeS/WAN IPsec configuration file
# RCSID $Id: ipsec.conf.in,v 1.11 2003/06/13 23:28:41 sam Exp $

# This file: /usr/local/share/doc/freeswan/ipsec.conf-sample
#
# Manual: ipsec.conf.5
#
# Help:
# http://www.strongsec.com/freeswan/install.htm

version 2.0 # conforms to second version of ipsec.conf specification

# basic configuration
config setup
interfaces="ipsec0=eth0"
klipsdebug=none
plutodebug=none
# plutoload=%search
# plutostart=%search
# plutowait=no

# Debug-logging controls: "none" for (almost) none, "all" for lots.
# klipsdebug=all
# plutodebug=all
# crlcheckinterval=600
# strictcrlpolicy=yes

conn %default
auto=add
type=tunnel
left=
right=
authby=secret
keyexchange=ike
esp=3des-md5-96i
keylife=24h

# OE policy groups are disabled by default
conn block
auto=ignore

conn clear
auto=ignore

conn private
auto=ignore

conn private-or-clear
auto=ignore

conn clear-or-private
auto=ignore

conn packetdefault
auto=ignore

# Add connections here.

# sample VPN connection
#sample# conn sample
#sample# # Left security gateway, subnet behind it, next hop toward right.
#sample# left=%defaultroute
#sample# leftcert=myCert.pem
#sample# leftsubnet=172.16.0.0/24
#sample# # Right security gateway, subnet behind it, next hop toward left.
#sample# right=10.12.12.1
#sample# rightid="<Distinguished name of right security gateway>"
#sample# rightsubnet=192.168.0.0/24
#sample# # To authorize this connection, but not actually start it, at startup,
#sample# # uncomment this.
#sample# #auto=start
conn vpn
auto=add
type=tunnel
left=200.X.X.11
leftsubnet=200.X.X.51/32
leftnexthop=
right=201.X.X.2
rightsubnet=192.168.1.0/24
rightnexthop=201.X.X.1
authby=secret
esp=3des-md5-96i
keylife=24h
pfs=yes
rekeymargin=9m
rekeyfuzz=25%

No ipsec.secret, tem apenas uma linha contendo a chave, substitui uma pela outra :

ipsec.secret

:PSK "CHAVE"


Dando um ipsec auto --status :
ipsec auto --status
000 interface ipsec0/eth0 201.X.X.2
000 %myid = (none)
000 debug none
000
000 "vpn": 192.168.1.0/24===201.X.X.2---201.X.X.1...200.X.X.11===200.X.X.51/32; erouted; eroute owner: #4
000 "vpn": ike_life: 3600s; ipsec_life: 86400s; rekey_margin: 540s; rekey_fuzz: 25%; keyingtries: 0
000 "vpn": policy: PSK+ENCRYPT+TUNNEL+PFS+UP; prio: 32,24; interface: eth0;
000 "vpn": newest ISAKMP SA: #3; newest IPsec SA: #4;
000
000 #4: "vpn" STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 85714s; newest IPSEC; eroute owner
000 #4: "vpn" esp.243f75c5@200.X.X.11 esp.bbaf1782@201.X.X.2 tun.1004@200.X.X.11 tun.1003@201.X.X.2
000 #3: "vpn" STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in 3042s; newest ISAKMP
000


No var/log/secure apresenta um erro na 1ª linha do ipsec.secrets :
/var/log/secure
6378 Aug 28 22:27:13 servervpn pluto[15662]: Starting Pluto (FreeS/WAN Version 2.05 X.509-1.5.3 PLUTO_ USES_KEYRR)
6379 Aug 28 22:27:13 servervpn pluto[15662]: Using KLIPS IPsec interface code
6383 Aug 28 22:27:13 servervpn pluto[15662]: Changing to directory '/etc/ipsec.d/crls'
6384 Aug 28 22:27:13 servervpn pluto[15662]: added connection description "vpn"
6385 Aug 28 22:27:13 servervpn pluto[15662]: listening for IKE messages
6386 Aug 28 22:27:13 servervpn pluto[15662]: adding interface ipsec0/eth0 201.X.X.2
6387 Aug 28 22:27:13 servervpn pluto[15662]: loading secrets from "/etc/ipsec.secrets"
6388 Aug 28 22:27:13 servervpn pluto[15662]: ERROR "/etc/ipsec.secrets" line 1: index ":PSK" illegal l eading `:' in IPv6 numeric address
6389 Aug 28 22:27:16 servervpn pluto[15662]: "vpn" #1: initiating Main Mode
6390 Aug 28 22:27:16 servervpn pluto[15662]: "vpn" #1: received Vendor ID Payload; ASCII hash: tm{COMENTARIO}31` A{COMENTARIO}24kQo*,{COMENTARIO}16c}/({COMENTARIO}0748{COMENTARIO}37
6391 Aug 28 22:27:16 servervpn pluto[15662]: "vpn" #1: Peer ID is ID_IPV4_ADDR: '200.X.X.11'
6392 Aug 28 22:27:16 servervpn pluto[15662]: "vpn" #1: ISAKMP SA established
6393 Aug 28 22:27:16 servervpn pluto[15662]: "vpn" #2: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP {using isakmp#1}
6394 Aug 28 22:27:16 servervpn pluto[15662]: "vpn" #2: ignoring informational payload, type IPSEC_RESP ONDER_LIFETIME
6395 Aug 28 22:27:16 servervpn pluto[15662]: "vpn" #2: sent QI2, IPsec SA established {ESP=>0xd6e0a488 <0x92ec5888}
6396 Aug 28 22:28:11 servervpn pluto[15662]: shutting down
6397 Aug 28 22:28:11 servervpn pluto[15662]: forgetting secrets
6398 Aug 28 22:28:11 servervpn pluto[15662]: "vpn": deleting connection
6399 Aug 28 22:28:11 servervpn pluto[15662]: "vpn" #2: deleting state (STATE_QUICK_I2)
6400 Aug 28 22:28:11 servervpn pluto[15662]: "vpn" #1: deleting state (STATE_MAIN_I4)
6401 Aug 28 22:28:11 servervpn pluto[15662]: shutting down interface ipsec0/eth0 201.X.X.2

[32] Comentário enviado por ferjun01 em 30/08/2008 - 13:57h

Estes são os requerimentos para fechar a vpn :

Fase I – Protocolo IKE – Não será aceito outro protocolo senão IKE
Fase I – Algoritmos de criptografia e integridade  3DES com MD5
Fase I – Grupo Diffie-Hellman Grupo 2 (1024 bits)
Fase I – Renegociar IKE Security Associations a cada 1440 minutos
Fase I – Aggressive Mode (DESABILITADO)
Fase I – Método de autenticação Shared Secret
Fase II - Protocolo IPSEC
Fase II – Algoritmos de criptografia e integridade
A Fase II seguirá os mesmos algoritmos da Fase I.
Fase II –PFS (Perfect Forward Secrecy) Grupo Diffie-Helmann 2 (1024 bits)
Fase II – Renegociar IPSEC Security Association a cada 3600 segundos
Fase II – Compressão de dados IPSEC (DESABILITADO)

[33] Comentário enviado por xcyclops em 12/01/2010 - 09:49h

Olá Fernando e Galera do Forum,

Estou com o seguinte problema:
LOG do meu FIREWALL

====>>>>

fw:/var/log # tail -f /var/log/messages | grep vpn
Jan 12 10:36:54 fw pluto[13188]: "vpn" #5: max number of retransmissions (2) reached STATE_MAIN_I1. No response (or no acceptable response) to our first IKE message
Jan 12 10:36:54 fw pluto[13188]: "vpn" #5: starting keying attempt 2 of at most 3, but releasing whack
Jan 12 10:36:54 fw pluto[13188]: "vpn" #6: initiating Main Mode to replace #5
Jan 12 10:36:54 fw ipsec__plutorun: 104 "vpn" #5: STATE_MAIN_I1: initiate
Jan 12 10:36:54 fw ipsec__plutorun: 010 "vpn" #5: STATE_MAIN_I1: retransmission; will wait 20s for response
Jan 12 10:36:54 fw ipsec__plutorun: 010 "vpn" #5: STATE_MAIN_I1: retransmission; will wait 40s for response
Jan 12 10:36:54 fw ipsec__plutorun: 031 "vpn" #5: max number of retransmissions (2) reached STATE_MAIN_I1. No response (or no acceptable response) to our first IKE message
Jan 12 10:36:54 fw ipsec__plutorun: 000 "vpn" #5: starting keying attempt 2 of at most 3, but releasing whack
Jan 12 10:36:54 fw ipsec__plutorun: ...could not start conn "vpn"
Jan 12 10:38:04 fw pluto[13188]: "vpn" #6: max number of retransmissions (2) reached STATE_MAIN_I1. No response (or no acceptable response) to our first IKE message
Jan 12 10:38:04 fw pluto[13188]: "vpn" #6: starting keying attempt 3 of at most 3
Jan 12 10:38:04 fw pluto[13188]: "vpn" #9: initiating Main Mode to replace #6
Jan 12 10:39:14 fw pluto[13188]: "vpn" #9: max number of retransmissions (2) reached STATE_MAIN_I1. No response (or no acceptable response) to our first IKE message


<<<<======


MEU AMBIENTE É:
MATRIZ: Firewall OpenSuse (IPSEC/Freeswan)
FILIAL: Router Planet MH-2001 VPN ( http://www.planet.com.tw/en/product/product_ov.php?id=7708 )

Ja fiz muitas alteraçoes e testes e nao sobe a VPN.

SERÁ QUE ALGUÉM PODE ME AJUDAR?
Obrigado.

Att. xcyclops

_

[34] Comentário enviado por montovani em 12/02/2010 - 08:33h

Olá xcyclops....


Cara estou com o mesmo problema que você.... então se você achou a solução ou alguem souber como resolver por favor me de um toque por favor....


Att. Montovani


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts