Sziasztok!
Adott egy Zentyal 3.4 rendszerrel rendelkező tűzfal szerver, amely 5 fizikai +1 openvpn hálózatot szabályoz / működtet.
Ez eddig gond nélkül működött, nem is nagyon piszkáltam, mivel működött.
Viszont most jött egy újabb telephely, ahol egy olyan Mikrotik tűzfallal rendelkeznek, amely kizárólag az IPsec over L2TP vpn-t támogatja PSK authentikációval, és ezt a telephelyet össze akarják kötni azzal a telephellyel, ahol a zentyal tűzfal fut.
Tehát alapvetően a feladatom az lenne, hogy a jelenlegi OpenVPN megtartása mellett, egy IPsec over L2TP alapú vpn-t beüzemeljek a zentyal tűzfalon, úgy, hogy a másik telephely fel tudjon csatlakozni a szerverre, ezáltal a szerverhez kapcsolódó hálózatról adatokat töltsenek és dolgozzák fel naponta többször.
A zentyal beépített IPSec alkalmazása már nem telepíthető, mert a netes forrás már nem érhető el, így kézileg húztam fel egy openswan xl2tpd ppp lsof modult a szerverre, amit ez alabbi linken talalhato leiras alapjan be is allitottam:
https://github.com/xelerance/Openswan/wiki/L2tp-ipsec-configuration-usi…
Tuzfalon kinyitottam a 1701-es portot UDP Protokollon, de csatlakozni megsem tudok.
ipsec verify kimenete:
ipsec verify
Checking your system to see if IPsec got installed and started correctly:
Version check and ipsec on-path [OK]
Linux Openswan U2.6.38/K3.11.0-26-generic (netkey)
Checking for IPsec support in kernel [OK]
SAref kernel support [N/A]
NETKEY: Testing XFRM related proc values [FAILED]
Please disable /proc/sys/net/ipv4/conf/*/send_redirects
or NETKEY will cause the sending of bogus ICMP redirects!
[FAILED]
Please disable /proc/sys/net/ipv4/conf/*/accept_redirects
or NETKEY will accept bogus ICMP redirects!
[OK]
Checking that pluto is running [OK]
Pluto listening for IKE on udp 500 [OK]
Pluto listening for NAT-T on udp 4500 [OK]
Two or more interfaces found, checking IP forwarding [FAILED]
Checking NAT and MASQUERADEing [OK]
Checking for 'ip' command [OK]
Checking /bin/sh is not /bin/dash [WARNING]
Checking for 'iptables' command [OK]
Opportunistic Encryption Support [DISABLED]
Ha a sysctl.conf-ot elkezdem piszkalni a leirtak alapjan, akkor megall a halozatok kozti routing teljesen. Igy mostmar abszolut tanacstalan vagyok, hogy egyaltalan megoldhato ez, hogy az OpenVPN es az IPsec parhuzamosan mukodjon, vagy mi az amit elronthattam a kimenet alapjan szerintetek?
A segitseget elore is koszonom!
- 878 megtekintés
Hozzászólások
> egyaltalan megoldhato ez, hogy az OpenVPN es az IPsec parhuzamosan mukodjon
Természetesen, hiszen az IPSec/L2TP nem tud az OpenVPN létezéséről, és viszont.
> Tuzfalon kinyitottam a 1701-es portot UDP Protokollon
Ezen felül az IPSec protokolljait is ki kell nyitni. UDP/500, UDP/4500, AH, ESP
Ha mutatnál konfigokat (pastebin) talán okosabbak lennénk.
- A hozzászóláshoz be kell jelentkezni
A Netkey hibauzenetet sikerult megoldanom.
Mostmar csak az alabbi hiba aktualis
Two or more interfaces found, checking IP forwarding [FAILED]
Ami viszont nem vilagos, hogy az IPsec ethernet interfacet hogyan tudom felkapcsolni?
OpenVPN önállóan felkapcsolta a tun0 ethernet interfacet, viszont az interfaces fileban nem szerepel, ezert gondolom, hogy az IPsec szamara sem kell definialnom a /etc/network/intrfaces fileban egy vlan interfacet, vagy igen?
- A hozzászóláshoz be kell jelentkezni
> Ami viszont nem vilagos, hogy az IPsec ethernet interfacet hogyan tudom felkapcsolni?
Hogy milyen ethernet interface-t?
IPSec/L2TP esetén az IPSec policy alapján a kernel megoldja a titkosítást (a kulcs-cseréhez kell a pluto és társai) az adatok pedig L2TP-n belül, PPP-vel fognak menni. Az L2TP csatlakozást xl2tpd esetén az xl2tpd-control paranccsal tudod vezérelni.
- A hozzászóláshoz be kell jelentkezni
Itt van az összes config , amit hasznal az IPSec:
Az ethernet interfacet azert kerdeztem, mert lattam olyan tutorialt, ahol definialt egy olyan eth0:1 vlan interfacet, ami a local ip-hez írt ip címet rendelte a tutorial írója.
A netkey problémámat az alábbi bejegyzések oldották meg.
# Disable send redirects
echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
echo 0 > /proc/sys/net/ipv4/conf/default/send_redirects
echo 0 > /proc/sys/net/ipv4/conf/eth0/send_redirects
echo 0 > /proc/sys/net/ipv4/conf/lo/send_redirects
# Disable accept redirects
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 0 > /proc/sys/net/ipv4/conf/default/accept_redirects
echo 0 > /proc/sys/net/ipv4/conf/eth0/accept_redirects
echo 0 > /proc/sys/net/ipv4/conf/lo/accept_redirects
Amikor pedig újraindítoam az IPsec szolgáltatást, akkor az alábbi uzeneteket kapom:
ipsec_setup: Stopping Openswan IPsec...
ipsec_setup: Starting Openswan IPsec U2.6.38/K3.11.0-26-generic...
ipsec_setup: no default routes detected
- A hozzászóláshoz be kell jelentkezni