Configure o túnel ipsec vpn (rede para rede com IKE com chave pré-compartilhada) no Centos 6 com o openswan

2

Eu tenho o roteador Cisco Linksys configurado como gateway de VPN (rede para rede):

AgoraeuqueroconfiguraroVPNipsecsimilarmentenoCentos6comoopenswan.Euestavaprocurandonainternet,masnãotenhosorte(existemalgunstutoriais,maselesnãosãosemelhantesàminhasituaçãooudesatualizadosparaipsec-toolsecentos4).Homemdeleiturapegesparaopenswanmedáapenasdordecabeça().Nositeremotoháalgumdispositivodepontodeverificação(tudooqueseisobreconfiguraçãoéestacapturadeteladopainelLinksyscomotúnelvpnjáconfigurado).

Eunãosouogooglehacker,masseicomousá-loetalvezhajaalgumtutorialquemeajude,masnãooencontresozinho.

Jáinstaleioopenswanmassehouveralgumsoftwareesoluçãomelhor(noCentos)nãomeimportoemusá-lo.

EDIT1:DepoisdelerMadHatteranswarecomeceiacombinigcomconfigdiferente...emeperco...achoquedeipoucaquantidadedeinformação.

Primeiro,acapturadeteladoGerenciadorLinksysVPNparaositegatey:

NaseçãoConfiguraçãodoGrupoLocal:Ipemcaixascinza(endereçoIPd.168.1.67)éoipqueachoqueoLinksysestáobtendodoCheckpointdoladooposto,nãoépossívelalteraresseparâmetro.EmseguidaéoendereçoIP(e.199.1.0/24)emcaixasbrancas,queéaminharedelocal.

NaseçãoConfiguraçãodoGrupoRemoto:OendereçoIPa.b.c.4éumippúblicodoCheckpointdooutrolado.

Naterceiraseção,háparâmetrosdeconexãodetúnelipsec.

Estaéasegundatelaquenãotenhocertezaseésignificativa,masestoucolandomesmoassim:

WAN1 ip é aquele que o Checkpoint me dá. LAN é um endereço simples da Linksys na rede local.

Com essas telas e o answare do Mad eu escrevo essa configuração do ipsec em /etc/ipsec.conf:

# /etc/ipsec.conf - Openswan IPsec configuration file
#
# Manual:     ipsec.conf.5
#





# Please place your own config files in /etc/ipsec.d/ ending in .conf
#
#version        2.0     # conforms to second version of ipsec.conf specification

# basic configuration
config setup
        # Debug-logging controls:  "none" for (almost) none, "all" for lots.
        # klipsdebug=none
        # plutodebug="control parsing"
#       # For Red Hat Enterprise Linux and Fedora, leave protostack=netkey
#       protostack=netkey
#       nat_traversal=yes
#       virtual_private=
        oe=off
        # Enable this if you see "failed to find any available worker"
        # nhelpers=0
#version 2.0
conn linksys-1
        # Left endpoint, subnet behind it, next hop toward right
        keyingtries=0
        left=a.b.c.4
        #leftsubnet=a.b.c.4/32 (should I put here d.168.1.67/32 ???)
        leftnexthop=%defaultroute
        # Right endpoint, subnet behind it, next hop toward left
        right=d.168.1.67
        rightsubnet=e.199.1.0/24
        type=tunnel
        authby=secret
        #auth=esp
        keylife=59m
        ikelifetime=59m
        #esp=3des-md5-96
        pfs=no
        #compress=no
        #keyexchange=ike
        auto=start
#You may put your configuration (.conf) file in the "/etc/ipsec.d/" and uncomment this.
include /etc/ipsec.d/*.conf

E arquivo secreto /etc/ipsec.secret

d.168.1.67 a.b.c.4: PSK "secretPSK"

Eu não entendo completamente essa configuração apesar dos esforços de MadHatter.

EDIT2: Registra de / var / log / messages depois de iniciar o ipsec:

Jul  5 10:58:52 router-progr ipsec_starter[27724]: could not open include filename: '/etc/ipsec.d/*.conf' (tried  and )
Jul  5 10:58:52 router-progr ipsec_starter[27725]: could not open include filename: '/etc/ipsec.d/*.conf' (tried  and )
Jul  5 10:58:52 router-progr ipsec_setup: Starting Openswan IPsec 2.6.32...
Jul  5 10:58:52 router-progr ipsec_setup: Using KLIPS/legacy stack
Jul  5 10:58:52 router-progr kernel: padlock: VIA PadLock not detected.
Jul  5 10:58:52 router-progr kernel: padlock: VIA PadLock Hash Engine not detected.
Jul  5 10:58:52 router-progr kernel: Intel AES-NI instructions are not detected.
Jul  5 10:58:52 router-progr kernel: padlock: VIA PadLock not detected.
Jul  5 10:58:52 router-progr ipsec_setup: No KLIPS support found while requested, desperately falling back to netkey
Jul  5 10:58:52 router-progr kernel: NET: Registered protocol family 15
Jul  5 10:58:52 router-progr ipsec_setup: NETKEY support found. Use protostack=netkey in /etc/ipsec.conf to avoid attempts to use KLIPS. Attempting to continue with NETKEY
Jul  5 10:58:52 router-progr ipsec_setup: Using NETKEY(XFRM) stack
Jul  5 10:58:52 router-progr kernel: padlock: VIA PadLock not detected.
Jul  5 10:58:52 router-progr kernel: padlock: VIA PadLock Hash Engine not detected.
Jul  5 10:58:52 router-progr kernel: Intel AES-NI instructions are not detected.
Jul  5 10:58:52 router-progr kernel: padlock: VIA PadLock not detected.
Jul  5 10:58:52 router-progr ipsec_setup: could not open include filename: '/etc/ipsec.d/*.conf' (tried  and )
Jul  5 10:58:52 router-progr ipsec_starter[27810]: could not open include filename: '/etc/ipsec.d/*.conf' (tried  and )
Jul  5 10:58:52 router-progr ipsec_setup: /usr/libexec/ipsec/addconn Non-fips mode set in /proc/sys/crypto/fips_enabled
Jul  5 10:58:53 router-progr ipsec_setup: ...Openswan IPsec started
Jul  5 10:58:53 router-progr ipsec__plutorun: adjusting ipsec.d to /etc/ipsec.d
Jul  5 10:58:53 router-progr pluto: adjusting ipsec.d to /etc/ipsec.d
Jul  5 10:58:53 router-progr ipsec__plutorun: could not open include filename: '/etc/ipsec.d/*.conf' (tried  and )
Jul  5 10:58:53 router-progr ipsec_starter[27821]: could not open include filename: '/etc/ipsec.d/*.conf' (tried  and )
Jul  5 10:58:53 router-progr ipsec__plutorun: /usr/libexec/ipsec/addconn Non-fips mode set in /proc/sys/crypto/fips_enabled
Jul  5 10:58:53 router-progr ipsec__plutorun: could not open include filename: '/etc/ipsec.d/*.conf' (tried  and )
Jul  5 10:58:53 router-progr ipsec_starter[27822]: could not open include filename: '/etc/ipsec.d/*.conf' (tried  and )
Jul  5 10:58:53 router-progr ipsec__plutorun: /usr/libexec/ipsec/addconn Non-fips mode set in /proc/sys/crypto/fips_enabled
Jul  5 10:58:53 router-progr ipsec__plutorun: could not open include filename: '/etc/ipsec.d/*.conf' (tried  and )
Jul  5 10:58:53 router-progr ipsec_starter[27826]: could not open include filename: '/etc/ipsec.d/*.conf' (tried  and )
Jul  5 10:58:53 router-progr ipsec__plutorun: /usr/libexec/ipsec/addconn Non-fips mode set in /proc/sys/crypto/fips_enabled
Jul  5 10:58:53 router-progr ipsec__plutorun: 023 address family inconsistency in this connection=2 host=2/nexthop=0
Jul  5 10:58:53 router-progr ipsec__plutorun: 037 attempt to load incomplete connection
Jul  5 10:58:53 router-progr ipsec__plutorun: 003 no secrets filename matched "/etc/ipsec.d/*.secrets"
Jul  5 10:58:53 router-progr ipsec__plutorun: 021 no connection named "linksys-1"
Jul  5 10:58:53 router-progr ipsec__plutorun: 000 initiating all conns with alias='linksys-1'
Jul  5 10:58:53 router-progr ipsec__plutorun: 021 no connection named "linksys-1"
    
por B14D3 04.07.2013 / 08:43

1 resposta

1

Para fazer isso com o OpenS / WAN, você quer algo assim em /etc/ipsec.conf :

conn linksys-1
        # Left endpoint, subnet behind it, next hop toward right
        keyingtries=0
        left=a.b.c.4
        leftsubnet=a.b.c.4/32
        leftnexthop=%defaultroute
        # Right endpoint, subnet behind it, next hop toward left
        right=d.168.1.67
        rightsubnet=e.199.1.0/24
        type=tunnel
        authby=secret
        #auth=esp
        keylife=59m
        ikelifetime=59m
        #esp=3des-md5-96
        pfs=no
        #compress=no
        #keyexchange=ike
        auto=start

e algo assim em /etc/ipsec.secrets :

a.b.c.4 d.168.1.67: PSK "secret-goes-here"

Isso presume que o endereço IP externo dos linksys é d.168.1.67 , que a rede por trás dele é e.199.1.0/24 , que o endereço IP público do sistema C6 é a.b.c.4 e que só deseja roteado pelo túnel.

Não se esqueça de não cometer o erro elementar de testar o encapsulamento fazendo o ping dos linksys do sistema C6. O linksys em si não está incluído no túnel; somente o tráfego para hosts dentro da rede e.199.1.0/24 será devidamente criptografado e encapsulado.

Isso não deve ser um guia completo, mas espero que você tenha um ponto a partir do qual começar um pouco mais adiante do que uma tela em branco.

Editar : por que você mostrou a configuração do linksys se deseja conectar a caixa C6 ao ponto de verificação? Você quer substituir os linksys com a caixa C6? Se sim, então o que eu escrevi ainda se aplica, apenas substitua os endereços IP de acordo; essencialmente, left é o seu endereço IP, leftsubnet é a rede no seu final (provavelmente a mesma coisa novamente, com /32 anexado), right é o endereço do extremo remoto e rightsubnet é o endereço o netblock roteado (frequentemente privado) do extremo distante. Os dois endereços, left e right , devem aparecer no arquivo ipsec.secrets .

Se você não estiver substituindo o linksys, mas configurando a caixa C6 além disso, você também precisará reconfigurar a caixa do ponto de verificação, e isso está além do escopo desta resposta.

    
por 04.07.2013 / 11:15