Shorewall + IPSec

Linux-haladó

Sziasztok!

A Kovetkezo a helyzet..
Adott egy shorewall tuzfal, meg egy ipsec site to site tunnel (checkpoint a masikoldal)...
Fel is epitodik a kapcsolat, tuzfalon mukodik minden, lehet kipingetni rajta, viszont a belsohalorol nem latszik...
http://shorewall.net/IPSEC-2.6.html
Ez alapjan csinaltam meg.

Talalkozott valaki ilyesmivel?

( szollosiimre | 2014. 04. 10., cs – 14:41 )

Hi!

Ha ping van, akkor felépült a p1 és a p2 is. Ezeket tudod ellenőrizni?
Ha nincs infó, akkor valószínűleg nincs beengedve a két hálózat között a forgalom. Ez lehet a te oldaladon, de lehet a checkpoint oldalán is.

Szia!

Racoon (Checkpoint)

interfaces:
#ZONE INTERFACE BROADCAST OPTIONS
net eth1 detect tcpflags,routefilter,nosmurfs,routeback,detectnets
loc eth0 detect tcpflags,detectnets,nosmurfs,routeback
vpn as0t0 detect tcpflags,detectnets,nosmurfs,dhcp,routeback
vpn as0t1 detect tcpflags,detectnets,nosmurfs,dhcp,routeback

policy
#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST
loc net ACCEPT
loc $FW ACCEPT
loc vpn ACCEPT
loc vpn1 ACCEPT
loc all REJECT

$FW net ACCEPT
$FW loc ACCEPT
$FW vpn ACCEPT
$FW vpn1 ACCEPT
$FW all REJECT

net $FW DROP
net loc DROP
net vpn DROP
net vpn1 DROP
net all DROP

vpn loc ACCEPT
vpn $FW ACCEPT
vpn net ACCEPT
vpn all REJECT #info

vpn1 loc ACCEPT
vpn1 $FW ACCEPT
vpn1 net ACCEPT

zones
###############################################################################
#ZONE TYPE OPTIONS IN OUT
# OPTIONS OPTIONS
fw firewall
net ipv4
loc ipv4
vpn ipv4
vpn1 ipsec

tunnels
#TYPE ZONE GATEWAY GATEWAY
# ZONE
ipsec net ***.***.***.*** #ipsec.conf right=***.***.***.***

masq

eth1:10.16.4.0/25 eth0 #ipsec.conf rightsubnet=10.16.4.0/25

####

Kosziszepen a segitseget

En valahogy igy csinalnam:

zones tablaba az ipsec hid tuloldalat (wsec) es ide eso oldalat (lsec) is megneveznem, es nyilvan azt a zonat is, ami kulso == internet oldalra nez (net)

zones

lsec ipv4
wsec ipv4
net ipv4

interfaces tablaba definialom azt az ethernet interfeszt, amin a hid helyi oldala kot es azt az interfeszt, amin az internet kot

interfaces
net ethX detect
lsec ethY detect

tunnels tablaban megnevezem a hidat, hogy a tuldal ipszama melyik zonan figyel, ha NAT router mogott van a helyi racoon akkor ipsecnat a tipus, egyebkent ipsec

tunnels
ipsecnat net ***.***.****.**** # igen,igen a rightip

hosts tablaban mondom meg a masq-ot az kulso interfeszem, zonam es hid vonatkozasaban

hosts
wsec ethX:rightsubnet,rightip ipsec

policy tablaban a tavoli ipsec tuloldal es helyi ipsec oldal kozott mindent REJECT iranyitanek (de ha accept, akkor egymas kozott atjarnak es nem kell rules)

policy
wsec lsec REJECT
lsec wsec REJECT

rules tablaba kerulnek az engedelyezett IP szamok, portok, protokollok es itt allitanam be egyedileg a csomagszintu atjarast

rules
Ping(ACCEPT) lsec wsec
Ping(ACCEPT) wsec lsec

oke, ertem is (meg nem is). de ennek az kovetkeznmenye, hogy virtualis interfeszen kotott alhalozatra nem tudsz interfaces tablaban zona hivatkozast adni.

ha a virtualis interfeszen kotott ipsec hid helyi alhalozata mas ip tartomanyon kot a virtualis interfeszen mint a helyi (loc) halozat, akkor az ip_forwarding a tavoli zonaba nem fog menni.

Nem, de megerosititett, hogy nem en vagyok a ludas... Azabaj, hogy a tuloldalon mar van olyan alhalao, amit en elsodlegeskent hasznalok, es utkozik. Probabol leszeparaltuk, es ugy mukodott...
Vegulis igy is jo, mert a tuzfalon fut a proxy, es a forgalom zome webes. Igy a proxyn keresztul mukodik faszan...

Shorewall-t nem ismerem, de a legtöbb device támogat olyan megoldás, hogy overlapping subnettel is működjön a VPN, ezen esetben NATOLSZ minden IP-t egy másik subnet IP-jére, és ezek a NATOLT címeken keresztül látják egymást.

Van buktatója a dolognak, gány is, de van rajta életképes alkalmazás.