Eu tenho um servidor Linux (CentOS 5.5) que tem acesso direto à Internet com um endereço IP fixo. Ou seja, o endereço IP é 200.29.X.Y. O gateway foi dado pelo datacenter (200.29.X.Z) e a conexão funciona perfeitamente.
Eu preciso conectar a uma outra máquina localizada em uma LAN remota. Nós concordamos em fazer isso através de uma VPN, então eles configuraram um túnel (IPsec usando uma chave pré-compartilhada) e nos forneceram todas as informações (peer, domínio de criptografia, propriedades da fase 1 e propriedades da fase 2).
O problema é que minha máquina não está atrás de um firewall e eu não tenho acesso ao firewall do meu datacenter ... Portanto, o firewall deve ser criado na mesma máquina (usando qualquer software de linha de comando VPN).
O problema é que, se minha máquina tiver o firewall (e configurar a VPN), o par seria o mesmo domínio de criptografia (ou seja, o mesmo endereço IP para o peer e o domínio de criptografia) ...
A outra parte me disse que isso está errado e usando essa configuração o firewall deles não sabe onde enviar as respostas (já que o domínio de criptografia é o mesmo par).
Tentando resolver isso, criei uma interface Ethernet virtual chamada eth0.4 que possui um endereço IP local, 192.160.0.4; e eu disse a outra parte para configurar isso como meu domínio de criptografia, mas ainda assim não funciona.
Fazendo alguns testes locais, a partir do endereço IP virual interno, 192.160.0.4, não consigo pingar meu endereço IP real, 200.29.XY ( ping -I eth0.4 200.29.X.Y ) ... Adicionei algumas regras de encaminhamento no iptables, mas ainda O endereço IP não pode se comunicar com meu endereço IP real ... Então, acho que esse "endereço IP local virtual" não resolverá meu problema (a menos que eu tenha adicionado algumas regras de encaminhamento incorretas).
Estou usando o openswan para configurar a VPN e a accoding para a outra parte, eles recebem os detalhes da fase I, eles estão corretos, mas há um problema com a resposta ... então o túnel nunca é feito (na verdade fase que eu nunca conclui).
010 "net-to-net" # 1: STATE_MAIN_I1: retransmissão; vai esperar 20 s por resposta
010 "net-to-net" # 1: STATE_MAIN_I1: retransmissão; vai esperar 40 s por resposta
010 "net-to-net" # 1: STATE_MAIN_I1: retransmissão; vai esperar 40 s por resposta
010 "net-to-net" # 1: STATE_MAIN_I1: retransmissão; vai esperar 40 s por resposta
031 "net-to-net" # 1: número máximo de retransmissões (20) atingido STATE_MAIN_I1. Nenhuma resposta (ou nenhuma resposta aceitável) à nossa primeira mensagem IKE
000 "net-to-net" # 1: tentativa de digitação inicial 2 de um número ilimitado, mas liberando whack
para sempre ...
O log do openswan não me fornece mais informações (envia as coisas corretas, mas nenhuma resposta), e o tcpdump sempre me avisa que eu mando pacotes mas sem respostas ...
Alguma sugestão?