FreeS/Wan (ipsec.conf)

VPN

Categoria: Networking

Software: FreeS/Wan

[ Hits: 11.529 ]

Por: André Luciano da Silva


Como tive muito problema em achar soluções para montar uma VPN entre 2 servidores da matriz/filial via speedy, resolvi colocar este .conf para muitas pessoas que ainda encontram dificuldades. Existe várias formas de montar uma VPN, mas acho que esta é melhor devido a segurança e facilidade.

requerimento: speedy business ou qualquer outra conexão com IP FIXO nas 2 empresas,

Faça o download do FreeS/Wan conforme sua versão usada:

www.freeswan.org


Exemplo de configuração:

MATRIZ:
IP internet: 200.X.X.230
IP GATEWAY: 200.X.X.1 (este é gateway do seu modem adsl)
IP interno: 192.168.0.0

FILIAL:
IP internet: 200.X.X.150
IP GATEWAY: 200.X.X.2
IP interno: 192.168.1.0 (repare que o IP interno da filial está em outra subrede)

Vamos ao que interessa:

Instale o pacote do freeswan nos dois servidores

# rpm -ivh freeswan*.rpm


Temos que gerar a chave que vai ser responsável pela identificação dos 2 servidores esta chave é criptografada e estaremos usando aqui a criptografia de 2048 bits. Lembrando que temos que executar nos 2 servidores, pois cada servidor vai gerar uma chave diferente.

# ipsec newhostkey --output ipsec.secrets --bits 2048 --hostname nome_do_servidor

Será gerado um arquivo chamado ipsec.secrets, copie ele para /etc substituindo o já existente, dentro deste arquivo encontra nossa chave de segurança, está logo após a palavra pubkey como podemos ver o exemplo logo abaixo:    #pubkey=0sAQOcLva818iGy1FpfIo..... (nao vou especificar a chave por inteira devido ser muito longa.


Entre no arquivo de configuração e altere conforme o exemplo:
# vi /etc/ipsec.conf

conn rede-vpn
        type=tunnel
        left=200.X.X.230
        leftsubnet=192.168.0.0/24
        leftnexthop=200.X.X.1
        right=200.X.X.150
        rightsubnet=192.168.1.0/24
        rightnexthop=200.X.X.2
        leftrsasigkey=0sAQOcLva818iGy1FpfIo..... (nao vou especificar a chave por inteira devido ser muito longa.        
        rightrsasigkey=0sAQOcLva818iGy1FpfIo..... (nao vou especificar a chave por inteira devido ser muito longa.   
        auto=start

------------------------------------------

Especificações: 
conn = é nome da vpn que vc vai se indentificar, pode colocar o nome da empresa, emfim qualquer coisa.

type = tipo de conexão que iremos criar, no nosso caso é tunnel de 2048 bits criptografada entre as 2 empresas

left = IP internet empresa matriz

leftsubnet = Rede interna da empresa matriz

leftnexthop= IP gateway do modem adsl

hight = IP internet empresa filial

hightsubnet = Rede interna da empresa filial

hightnexthop = IP gateway do modem adsl

leftrsasigkey = chave gerada no arquivo /etc/ipsec.secrets do servidor da empresa matriz

hightrsasigkey = chave gerada no arquivo /etc/ipsec.secrets do servidor da empresa filial

auto = se vc que levantar a conexão automático ou nao, caso contrátario pode colocar auto = add e levantar a conexão manualmente
-----------------------------

starte a conexão:
# service ipsec start

 P.S. levantar a conexão manualmente:
# ipsec auto --up rede-vpn

OBS.: O ARQUIVO ipsec.conf TEM QUE SER IDENTICO NOS 2 SERVIDORES

Agora coloque as seguintes configurações em seu /etc/rc.local para iniciar automaticamente:

echo 1 > /proc/sys/net/ipv4/ip_forward
echo 0 > /proc/sys/net/ipv4/conf/eth0/rp_filter
echo 0 > /proc/sys/net/ipv4/conf/ipsec0/rp_filter

iptables -t nat -A POSTROUTING -o ipsec0 -s 192.168.1.0/24 -d \! 192.168.0.0/24 -j MASQUERADE


 ** AGORA É SÓ TESTAR, basta pingar algum ip da matriz para filial e vice versa, mas vale lembra que vc só irá conseguir pingar uma estação na outra, vc não consegue pingar do próprio servidor para uma estação da outra empresa.


espero ajudar muitas pessoas,, qualquer estamos aí para ajudar ! ! ! 


André Luciano
NetMidia Soluções em Conectividades
linux@netmidiainformatica.com.br
  


Comentários
[1] Comentário enviado por André_A_Ferreira em 25/07/2008 - 10:55h

Meu Xará,

Isso ta mais para um tutorial, simples e muito bem explicado, Parabéns.

sds
André.


Contribuir com comentário

  



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts