Fórumok
Sziasztok!
A Kovetkezo a helyzet..
Adott egy shorewall tuzfal, meg egy ipsec site to site tunnel (checkpoint a masikoldal)...
Fel is epitodik a kapcsolat, tuzfalon mukodik minden, lehet kipingetni rajta, viszont a belsohalorol nem latszik...
http://shorewall.net/IPSEC-2.6.html
Ez alapjan csinaltam meg.
Talalkozott valaki ilyesmivel?
Hozzászólások
Hi!
Ha ping van, akkor felépült a p1 és a p2 is. Ezeket tudod ellenőrizni?
Ha nincs infó, akkor valószínűleg nincs beengedve a két hálózat között a forgalom. Ez lehet a te oldaladon, de lehet a checkpoint oldalán is.
Felepultek ezek..
Annyi a moka, hogy:
Lan1 192.168.0.0
Lan2 192.158.5.0
Lan3 192.168.65.0
A lan3 a vpn belso laba.. (192.168.65.254)
A vpn kulso laba pedig egy masik interfaceo van. A 65.254 pingelheto mundenhonnan, meg a tunnel kulso oldalarol is
racoon vagy ipsecd adja a hidat?
shorewall interfaces, policy, zones, tunnels tablai is sokat segitenenek az ertelmezesben. [a konkret kulso ipket nyilvan elmaszkolhatod]
Szia!
Racoon (Checkpoint)
interfaces:
#ZONE INTERFACE BROADCAST OPTIONS
net eth1 detect tcpflags,routefilter,nosmurfs,routeback,detectnets
loc eth0 detect tcpflags,detectnets,nosmurfs,routeback
vpn as0t0 detect tcpflags,detectnets,nosmurfs,dhcp,routeback
vpn as0t1 detect tcpflags,detectnets,nosmurfs,dhcp,routeback
policy
#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST
loc net ACCEPT
loc $FW ACCEPT
loc vpn ACCEPT
loc vpn1 ACCEPT
loc all REJECT
$FW net ACCEPT
$FW loc ACCEPT
$FW vpn ACCEPT
$FW vpn1 ACCEPT
$FW all REJECT
net $FW DROP
net loc DROP
net vpn DROP
net vpn1 DROP
net all DROP
vpn loc ACCEPT
vpn $FW ACCEPT
vpn net ACCEPT
vpn all REJECT #info
vpn1 loc ACCEPT
vpn1 $FW ACCEPT
vpn1 net ACCEPT
zones
###############################################################################
#ZONE TYPE OPTIONS IN OUT
# OPTIONS OPTIONS
fw firewall
net ipv4
loc ipv4
vpn ipv4
vpn1 ipsec
tunnels
#TYPE ZONE GATEWAY GATEWAY
# ZONE
ipsec net ***.***.***.*** #ipsec.conf right=***.***.***.***
masq
eth1:10.16.4.0/25 eth0 #ipsec.conf rightsubnet=10.16.4.0/25
####
Kosziszepen a segitseget
Up
En valahogy igy csinalnam:
zones tablaba az ipsec hid tuloldalat (wsec) es ide eso oldalat (lsec) is megneveznem, es nyilvan azt a zonat is, ami kulso == internet oldalra nez (net)
zones
lsec ipv4
wsec ipv4
net ipv4
interfaces tablaba definialom azt az ethernet interfeszt, amin a hid helyi oldala kot es azt az interfeszt, amin az internet kot
interfaces
net ethX detect
lsec ethY detect
tunnels tablaban megnevezem a hidat, hogy a tuldal ipszama melyik zonan figyel, ha NAT router mogott van a helyi racoon akkor ipsecnat a tipus, egyebkent ipsec
tunnels
ipsecnat net ***.***.****.**** # igen,igen a rightip
hosts tablaban mondom meg a masq-ot az kulso interfeszem, zonam es hid vonatkozasaban
hosts
wsec ethX:rightsubnet,rightip ipsec
policy tablaban a tavoli ipsec tuloldal es helyi ipsec oldal kozott mindent REJECT iranyitanek (de ha accept, akkor egymas kozott atjarnak es nem kell rules)
policy
wsec lsec REJECT
lsec wsec REJECT
rules tablaba kerulnek az engedelyezett IP szamok, portok, protokollok es itt allitanam be egyedileg a csomagszintu atjarast
rules
Ping(ACCEPT) lsec wsec
Ping(ACCEPT) wsec lsec
a azt ipsec hid itteni laba, egy virtualis interface -on van (eth1:12)
oke, ertem is (meg nem is). de ennek az kovetkeznmenye, hogy virtualis interfeszen kotott alhalozatra nem tudsz interfaces tablaban zona hivatkozast adni.
ha a virtualis interfeszen kotott ipsec hid helyi alhalozata mas ip tartomanyon kot a virtualis interfeszen mint a helyi (loc) halozat, akkor az ip_forwarding a tavoli zonaba nem fog menni.
!!!
Es igen!
Koszonom szepen!
Megoldodott? Leirnad a tanulsagot, esetleg a mukodo konfigot is? Tanulsagul jol johet shorewall - ipsec site2site temaban.
Nem, de megerosititett, hogy nem en vagyok a ludas... Azabaj, hogy a tuloldalon mar van olyan alhalao, amit en elsodlegeskent hasznalok, es utkozik. Probabol leszeparaltuk, es ugy mukodott...
Vegulis igy is jo, mert a tuzfalon fut a proxy, es a forgalom zome webes. Igy a proxyn keresztul mukodik faszan...
OK. Ertem. Ipsec hid jobb es bal oldalan a subnetnek kulonbozonek kell lenni.
Shorewall-t nem ismerem, de a legtöbb device támogat olyan megoldás, hogy overlapping subnettel is működjön a VPN, ezen esetben NATOLSZ minden IP-t egy másik subnet IP-jére, és ezek a NATOLT címeken keresztül látják egymást.
Van buktatója a dolognak, gány is, de van rajta életképes alkalmazás.
az as0t0|as0t1 interfszek egy kicsit felrevisznek. Azok nem tun/tap interfeszek?
De, de azok nem relevansak, az egy openvpnAS