VPN entre o servidor Ubuntu (14.04.1 LTS) e o Cisco ASA 5510

Navegue suas respostas
3

Eu tenho um servidor Ubuntu (14.04.1 LTS) que deve se conectar a um Cisco ASA 5510 (Adaptive Security Appliance). Eu tentei - usar Racoon sem nenhum sucesso. Nem mesmo a fase 1 é bem sucedida.

A topologia é assim:

O Cisco ASA 5510 determina que as seguintes configurações devem ser usadas (apenas uma política pelos proprietários);

Fase 1: 

Authentication Method: PSK
Encryption Scheme: IKE
Diffie-Hellman Group: Group 2
Encryption Algorithm: 3DES
Hashing Algorithm: MD5
Main or Aggressive Mode: Main Mode
Lifetime (for renegotiation): 28800 seconds

Fase 2 

Encapsulation (ESP or AH): ESP
Encryption Algorithm: 3DES
Authentication Algorithm: MD5
Perfect Forward Secrecy: NO PFS
Lifetime (for renegotiation): 3600
Lifesize in KB (for renegotiation): 4608000 kilobytes

Eu tenho todos os endereços IP e os domínios de criptografia para ambas as extremidades. No meu final, é outro servidor onde todas as coisas "importantes" acontecem. Este executando a VPN, na verdade, atua como meu gateway.

Eu já investi alguns dias tentando usar Racoon sem sucesso. Eu peço por sua ajuda grandes pessoas. Eu preciso saber uma instalação rápida, configurar e usar a ferramenta GUI para me ajudar a se conectar a este dispositivo Cisco ASA 5510 do servidor LTS Ubuntu 14.04.1.

Qualquer assistência será muito apreciada.

    
por mwangi 07.11.2014 / 08:29

1 resposta

7

Eu finalmente consegui montar o túnel. Agora posso pingar o host por trás do dispositivo Cisco ASA. Originalmente, eu queria uma ferramenta GUI, mas percebi que o acesso ao console VPS digitalocean tem um ponteiro do mouse errado, então continuei correndo em problemas tentando usar ferramentas GUI como vpnc no método descrito aqui . Acabei usando o openswan. Aqui está como.

  1. Instale o openswan. 

    sudo apt-get install openswan

  2. Ativar o encaminhamento de pacotes IP do kernel e desabilitar redirecionamentos ICP 

    echo "net.ipv4.ip_forward = 1" |  tee -a /etc/sysctl.conf
echo "net.ipv4.conf.all.accept_redirects = 0" |  tee -a /etc/sysctl.conf
echo "net.ipv4.conf.all.send_redirects = 0" |  tee -a /etc/sysctl.conf
echo "net.ipv4.conf.default.rp_filter = 0" |  tee -a /etc/sysctl.conf
echo "net.ipv4.conf.default.accept_source_route = 0" |  tee -a /etc/sysctl.conf
echo "net.ipv4.conf.default.send_redirects = 0" |  tee -a /etc/sysctl.conf
echo "net.ipv4.icmp_ignore_bogus_error_responses = 1" |  tee -a /etc/sysctl.conf

    sysctl -p

  3. Configure o Openswan. O arquivo é /etc/ipsec.conf Veja como o meu acabou sendo parecido; 

    config setup
        dumpdir=/var/run/pluto/
        nat_traversal=yes
virtual_private=%v4:!,%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:25.0.0.0/8,%v6:fd00::/8,%v6:fe80::/10
        oe=off
        protostack=netkey
        plutostderrlog=/var/log/openswan.log
        force_keepalive=yes
        keep_alive=60
conn myVpnConn
    authby=secret
    pfs=no
    auto=start
    keyingtries=%forever
    ikelifetime=8h
    keylife=1h
    ike=3des-md5;modp1024
    phase2alg=3des-md5
    type=tunnel
    leftsourceip=202.x.x.101    #my_local_ip aka encryption domain
    left=202.x.x.100
    aggrmode=no
    right=41.x.x.x
    rightsourceip=172.x.x.x
    dpddelay=10
    dpdtimeout=3600
    dpdaction=restart

  4. Iniciar o ipsec / openswan

    service ipsec start

Foi isso em um breve resumo.

Eu tropecei em artigos bem escritos mostrando como configurar o openswan vpn.

  1. Publicação de Remy van Elst
  2. O post de Gregg
por mwangi 16.11.2014 / 08:16

Tags

Por que o Ubuntu 14.04 LTS usa o kernel linux 3.13? Existe uma maneira de verificar qual fonte seu emulador shell / terminal está usando a partir da linha de comando?