vitorta
(usa Ubuntu)
Enviado em 30/11/2012 - 18:10h
Olá Senhores,
Fechei uma VPN usando o Openswan com um equipamento Sonicwall NSA E5500.
VPN fechada aparentemente funcionando. Quando tento pingar a rede interna de onde se encontra o equipamento Sonicwall eu não consigo.
Adicionei na tabela de roteamento o ip da rede interna do sonicawall que é 172.16.60.114/32 e lá ele fez a mesma coisa adicionou o endereço da minha rede interna na tabela de roteamento dele 192.168.2.10/32.
Abaixo meu arquivo de conf da VPN:
conn busca
keyexchange=ike
aggrmode=no
type=tunnel
ike=aes256-sha1-modp1024
phase2=esp
phase2alg=aes256-sha1
pfs=no
ikelifetime=24h
keylife=1h
left=200.98.164.XXX
leftsubnet=192.168.2.10/32
leftnexthop=%defaultroute
right=189.125.42.XXX
rightsubnet=172.16.60.114/32
rightnexthop=%defaultroute
authby=secret
auto=add
abaixo vou listar minhas regras no iptables:
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT esp -- anywhere anywhere
ACCEPT udp -- anywhere anywhere udp spt:4500 dpt:4500
ACCEPT udp -- anywhere anywhere udp spt:isakmp dpt:isakmp
ACCEPT udp -- anywhere anywhere udp spt:isakmp dpt:isakmp
ACCEPT esp -- anywhere anywhere
ACCEPT ah -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp spt:2020 dpt:2020
ACCEPT all -- anywhere buscape
root@200-98-164-172:~# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 172.16.60.114 anywhere
ACCEPT esp -- anywhere anywhere
ACCEPT udp -- anywhere anywhere udp spt:4500 dpt:4500
ACCEPT udp -- anywhere anywhere udp spt:isakmp dpt:isakmp
ACCEPT udp -- anywhere anywhere udp spt:isakmp dpt:isakmp
ACCEPT esp -- anywhere anywhere
ACCEPT ah -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp spt:2020 dpt:2020
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT icmp -- 192.168.2.10 anywhere
ACCEPT all -- anywhere 172.16.60.114
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT esp -- anywhere anywhere
ACCEPT udp -- anywhere anywhere udp spt:4500 dpt:4500
ACCEPT udp -- anywhere anywhere udp spt:isakmp dpt:isakmp
ACCEPT udp -- anywhere anywhere udp spt:isakmp dpt:isakmp
ACCEPT esp -- anywhere anywhere
ACCEPT ah -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp spt:2020 dpt:2020
ACCEPT all -- anywhere 172.16.60.114
Não tenho nenhuma regra de NAT.
Na rede do sonicwall está liberado ping etc etc. Quando dou um tracepath ele não sai do meu endereço.
Acredito que esteja faltando alguma regra que não estou sabendo qual é.
Meu objetivo é a rede 192.168.2.10/32 pingar a 172.16.60.114/32.
Desde já agradeço a ajuda.
Vitor Alves