ipsec-tools+racoon

Hálózatok egyéb

ipsec-tools+racoon

  • 1073 megtekintés

( Vales | 2006. 01. 04., sze – 10:23 )

Üdv!

A megoldandó probléma az lenne, hogy kb. 30db távoli routert kellene IPsec-kel összekötni egy Linux szerverrel.
Sajnos az Open/SWAN nem vált be erre a dologra, mert az összes távoli router dinamikus IP-vel kapcsolódis a nagyvilághoz, különböző dyndns-ben regisztrált névvel látszanak, ellenben a dyndns bizonytalanul vagy egyáltalán nem frissül, ezért a kapcsolatok megszakadnak és fel sem épülnek újra. Több hozzáértő is azt mondta, hogy az Open/Free/SWAN csak fix ip címes végpontok között műxik megbízhatóan, gyakorlatilag alapkiépítésben az IP-címekkel autentikálja a végpontokat. Tanúsítvány alapú autentikáció nem lehetséges, mert ezt a távoli routerek nem tudják (Linksys BEFSX41), csak PSK-s VPN-eket tudunk csinálni.
Egy illető az ipsec-tools+racoon párost ajánlotta, mikor felvetettük neki a problémát, bár a fent vázoltakat még nem próbálta soha.
Meg kell mondjam, több napi manuál olvasás és google-keresés után sem látom át egyértelműen a konfigurációt, iszonyatosan logikátlannak és zavarosnak látom az Open/SWAN-hez képest, ahol minden conectiont jól le lehetett definiálni.
Itt állítólag a dinamikus IP-jű ügyfeleket "remote anonymous"(Phase1) és "sainfo anonymous"(Phase2) párokban kell definiálni. Viszont ezekből csak egy-egy lehet a konfigban, ellenben nekem van harminc végpontom, harmimc dinamikus IP-címmel és harminc alhálózati tartománnyal, aminek látnia kell a Linux gépen futó szolgáltatásokat...
Hogy tudok harminc dyndns nevet, mint peer_identifier-t beleerőszakolni egyetlen peer anonymous szekcióba?
Kérdésem: valaki csinált már ilyet, vagy hasonlót és le tudná írni step-by-step, hogy hogyan is csináljam meg?
Semmi extra nem kellene, csak harminc BEFSX41 összekötése ipsec-tools-al a fent vázolt mostoha körülmények között.
Fontos: sajnos azért kell IPsec, mert a távoli PC-ken futó szoftveres VPN megoldás nem elfogadott csak a "router <-> Linux" VPN alagút.
Evégett pl. az egyébként tökéletesen működő és megbízható OpenVPN kiesett, nagyon nagy bánatunkra...:( A BEFSX41-hez meg nincsen olyan firmware, amiben OpenVPN client is van, bár őszintén szólva én még _egyetlen_ ilyen routert sem láttam még, Linksys-ben legalábbis nem. Nyilván nem üzleti érdek ezt is beépíteni, pedig hasznos lenne...
Nyilván elég körülményesen sikerült megfogalmazni, de ennél egyszerűbben nem tudom vázolni a problémát!

Segítségeteket előre is Köszönöm!
Üdv és B.U.É.K.!

( gyorffy | 2006. 01. 04., sze – 10:42 )

[quote:e49524e580="Vales"]Üdv!

A megoldandó probléma az lenne, hogy kb. 30db távoli routert kellene IPsec-kel összekötni egy Linux szerverrel.
Sajnos az Open/SWAN nem vált be erre a dologra, mert az összes távoli router dinamikus IP-vel kapcsolódis a nagyvilághoz, különböző dyndns-ben regisztrált névvel látszanak, ellenben a dyndns bizonytalanul vagy egyáltalán nem frissül, ezért a kapcsolatok megszakadnak és fel sem épülnek újra. Több hozzáértő is azt mondta, hogy az Open/Free/SWAN csak fix ip címes végpontok között műxik megbízhatóan, gyakorlatilag alapkiépítésben az IP-címekkel autentikálja a végpontokat. Tanúsítvány alapú autentikáció nem lehetséges, mert ezt a távoli routerek nem tudják (Linksys BEFSX41), csak PSK-s VPN-eket tudunk csinálni.
Egy illető az ipsec-tools+racoon párost ajánlotta, mikor felvetettük neki a problémát, bár a fent vázoltakat még nem próbálta soha.
Meg kell mondjam, több napi manuál olvasás és google-keresés után sem látom át egyértelműen a konfigurációt, iszonyatosan logikátlannak és zavarosnak látom az Open/SWAN-hez képest, ahol minden conectiont jól le lehetett definiálni.
Itt állítólag a dinamikus IP-jű ügyfeleket "remote anonymous"(Phase1) és "sainfo anonymous"(Phase2) párokban kell definiálni. Viszont ezekből csak egy-egy lehet a konfigban, ellenben nekem van harminc végpontom, harmimc dinamikus IP-címmel és harminc alhálózati tartománnyal, aminek látnia kell a Linux gépen futó szolgáltatásokat...
Hogy tudok harminc dyndns nevet, mint peer_identifier-t beleerőszakolni egyetlen peer anonymous szekcióba?
Kérdésem: valaki csinált már ilyet, vagy hasonlót és le tudná írni step-by-step, hogy hogyan is csináljam meg?
Semmi extra nem kellene, csak harminc BEFSX41 összekötése ipsec-tools-al a fent vázolt mostoha körülmények között.
Fontos: sajnos azért kell IPsec, mert a távoli PC-ken futó szoftveres VPN megoldás nem elfogadott csak a "router <-> Linux" VPN alagút.
Evégett pl. az egyébként tökéletesen működő és megbízható OpenVPN kiesett, nagyon nagy bánatunkra...:( A BEFSX41-hez meg nincsen olyan firmware, amiben OpenVPN client is van, bár őszintén szólva én még _egyetlen_ ilyen routert sem láttam még, Linksys-ben legalábbis nem. Nyilván nem üzleti érdek ezt is beépíteni, pedig hasznos lenne...
Nyilván elég körülményesen sikerült megfogalmazni, de ennél egyszerűbben nem tudom vázolni a problémát!

Segítségeteket előre is Köszönöm!
Üdv és B.U.É.K.!

Írj priviben.