Prolemas com OpenSwan, help! D: [RESOLVIDO]

joabeleao
(usa Ubuntu)

Enviado em 07/08/2013 - 15:54h

Olá pessoal!

Sou iniciante em linux, aqui na empresa instalei para testes um servidor ubuntu 12.04 e após configurá-lo instalei o openswan.
Após configurá-lo, desabilitei o firewall; no meu roteador (opticon DSlink 279) redirecionei as portas 500, 50, 51, 4500 para o ubuntu server mas quando tento levantar a conexeão recebo o erro:
"022 "minhaconn" We cannot identify ourselves with either end of this connection."

A estrutura:

Ubuntu-Server-matriz <--> Modem/router-Dlink-DSL2650B <--> Interwebs <--> modem/router-opticon-DSlink-279 <--> Ubuntu-server-filial

segue minha configuração do Ipsec.conf:

dumpdir=/var/run/pluto
virtual_private=%....
nat_tranversal=yes
protostack=netkey

conn iconetec
type=tunnel
authby=secret
esp=3des-sha1
keyexchange=ike
pfs=no
auto=start

#Matriz
left=ipexternodamatriz
leftsubnet=192.168.1.0/24
leftrsasigkey=0sA....

#Filial
right=ipexternodafilial
rightsubnet=192.168.10.0/24
rightrsasigkey=0sA....

Pelo visto a conn matriz nem consegue encontrar a conn filial.
Outra dúvida que tenho é se o arquivo ipsec.conf tem que ser idêntico nas duas pontas, sem mesmo alterar a ordem dos IPs, como li em alguns artigos.

outros detalhes:
-As pontas se pingam

-no arquivo sysctl.conf configurei:
net.ipv4.ip_forward=1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.eth0.send_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.eth0.accept_redirects = 0

-testei com o firewall desativado e nada, com o iptables ativado configurei e também não funcionou:

-A INPUT -p udp --sport 500 --dport 500 -j ACCEPT
-A INPUT -p udp --sport 2020 --dport 2020 -j ACCEPT
-A INPUT -p esp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p ah -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i wlan0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i wlan0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p udp -m udp --sport 4500 --dport 4500 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 4500 --dport 4500 -j ACCEPT
-A FORWARD -p esp -j ACCEPT
-A FORWARD -p ah -j ACCEPT
-A FORWARD -p udp --sport 500 --dport 500 -j ACCEPT
-A FORWARD -p udp --sport 2020 --dport 2020 -j ACCEPT
-A FORWARD -p udp --sport 4500 --dport 4500 -j ACCEPT
-A OUTPUT -j ACCEPT

-A PREROUTING -d ipexternodamatriz -j DNAT --to-destination 192.168.10.7
-A POSTROUTING -s 192.168.10.7/32 -o wlan0 -j MASQUERADE

Desculpem o grande texto, quis detalhar um pouco.
quem puder dar alguma ajuda agradeço muito.

Obrigado!

renato_pacheco
(usa Debian)

Enviado em 07/08/2013 - 16:09h

Olhe esta opção: nat_tranversal=yes. O correto é nat_traversal=yes. Faça os testes liberando tudo no firewall e depois q estiver funcionando, vc habilita as regras.

joabeleao
(usa Ubuntu)

Enviado em 08/08/2013 - 10:19h

Bom dia, primeiramente obrigado pela atenção.
Fiz as alterações mas ainda não funcionou, no caso, corrigi o nat_traversal, resetei o iptables e adicionei: INPUT -j ACCEPT; OUTPUT -j ACCEPT; FORWARD -j ACCEPT.
Teria mais alguma outra ideia?

renato_pacheco
(usa Debian)

Enviado em 08/08/2013 - 13:06h

A rede já tá mascarada? Nessa máquina vc tem acesso à Internet?

joabeleao
(usa Ubuntu)

Enviado em 08/08/2013 - 13:28h

Acesso à internet tem nas duas pontas e a rede esta mascarada sim

renato_pacheco
(usa Debian)

Enviado em 08/08/2013 - 13:34h

Então vc pode olhar nos logs das duas pontas e analisar pq q a conexão num fecha (ou se realmente a conexão está chegando). Realize os testes sempre com o firewall desligado para termos certeza d q o problema está no IPSec.

joabeleao
(usa Ubuntu)

Enviado em 12/08/2013 - 08:33h

Bom, novamente obrigado pela ajuda.

Pelos testes que fiz estou pensando que talvez seja nas configurações mesmo; Ativei os logs de tráfegos de pacote, e quando tento levantar o túnel, não exibe nada nos logs, mas se eu executo, por exemplo, um ssh no servidor da outra ponta, ele mostra o log da conexão sendo feita na porta 22 normalmente, os IPs da minha configuração estão inseridos na ordem certa?

renato_pacheco
(usa Debian)

Enviado em 12/08/2013 - 08:59h

D uma olhada nesse blog: http://blog.jameskyle.org/2012/07/configuring-openswan-ipsec-server/

E compare com o q vc está fazendo. Veja se há algo d diferente e tente implementar. Lembre-se d q há diferença entre a instalação do IPSec na extremidade da rede (Firewall) e instalação do IPSec em uma máquina dentro da rede.

joabeleao
(usa Ubuntu)

Enviado em 14/08/2013 - 09:07h

Então,

Só para confirmar, o OpenSwan funciona mesmo com o modem nas pontas distribuindo DHCP? vi que o SSH junto com o redirecionamento de portas funciona, mas não sei com o OpenSwan. Todo caso testarei amanha com o modem em modo bridge e ver no que dá, daí digo aqui se funcionou.

Novamente obrigado pela ajuda!

renato_pacheco
(usa Debian)

Enviado em 14/08/2013 - 18:09h

Na verdade funciona dos dois jeitos, mas as configs ficam diferentes de acordo com cada ambiente. Acho q aquele tutorial q passei fala sobre isso.

joabeleao
(usa Ubuntu)

Enviado em 27/01/2014 - 10:24h

Olá, primeiramente peço desculpa pela excessiva demora à resposta, havia deixado pra depois o problema e agora que retomei consegui resolver com sua ajuda.

Colocando meus modems em modo Bridge funcionou perfeitamente, não consegui da outra forma, mas esta que funcionou é a que melhor me atende.

Vou pesquisar mais depois e ler mais artigos pra melhorar um pouco, muito obrigado pela ajuda!