Como posso criar um host para hospedar o IPsec VPN se o meu servidor tiver acesso direto à Internet e sem LAN?

1

Eu tenho um servidor Linux (CentOS 5.5) que tem acesso direto à Internet com um endereço IP fixo. Ou seja, o endereço IP é 200.29.X.Y. O gateway foi dado pelo datacenter (200.29.X.Z) e a conexão funciona perfeitamente.

Eu preciso conectar a uma outra máquina localizada em uma LAN remota. Nós concordamos em fazer isso através de uma VPN, então eles configuraram um túnel (IPsec usando uma chave pré-compartilhada) e nos forneceram todas as informações (peer, domínio de criptografia, propriedades da fase 1 e propriedades da fase 2).

O problema é que minha máquina não está atrás de um firewall e eu não tenho acesso ao firewall do meu datacenter ... Portanto, o firewall deve ser criado na mesma máquina (usando qualquer software de linha de comando VPN).

O problema é que, se minha máquina tiver o firewall (e configurar a VPN), o par seria o mesmo domínio de criptografia (ou seja, o mesmo endereço IP para o peer e o domínio de criptografia) ...

A outra parte me disse que isso está errado e usando essa configuração o firewall deles não sabe onde enviar as respostas (já que o domínio de criptografia é o mesmo par).

Tentando resolver isso, criei uma interface Ethernet virtual chamada eth0.4 que possui um endereço IP local, 192.160.0.4; e eu disse a outra parte para configurar isso como meu domínio de criptografia, mas ainda assim não funciona.

Fazendo alguns testes locais, a partir do endereço IP virual interno, 192.160.0.4, não consigo pingar meu endereço IP real, 200.29.XY ( ping -I eth0.4 200.29.X.Y ) ... Adicionei algumas regras de encaminhamento no iptables, mas ainda O endereço IP não pode se comunicar com meu endereço IP real ... Então, acho que esse "endereço IP local virtual" não resolverá meu problema (a menos que eu tenha adicionado algumas regras de encaminhamento incorretas).

Estou usando o openswan para configurar a VPN e a accoding para a outra parte, eles recebem os detalhes da fase I, eles estão corretos, mas há um problema com a resposta ... então o túnel nunca é feito (na verdade fase que eu nunca conclui).

010 "net-to-net" # 1: STATE_MAIN_I1: retransmissão; vai esperar 20 s por resposta

010 "net-to-net" # 1: STATE_MAIN_I1: retransmissão; vai esperar 40 s por resposta

010 "net-to-net" # 1: STATE_MAIN_I1: retransmissão; vai esperar 40 s por resposta

010 "net-to-net" # 1: STATE_MAIN_I1: retransmissão; vai esperar 40 s por resposta

031 "net-to-net" # 1: número máximo de retransmissões (20) atingido STATE_MAIN_I1. Nenhuma resposta (ou nenhuma resposta aceitável) à nossa primeira mensagem IKE

000 "net-to-net" # 1: tentativa de digitação inicial 2 de um número ilimitado, mas liberando whack para sempre ...

O log do openswan não me fornece mais informações (envia as coisas corretas, mas nenhuma resposta), e o tcpdump sempre me avisa que eu mando pacotes mas sem respostas ...

Alguma sugestão?

    
por juakonn 25.08.2011 / 17:00

1 resposta

1

Se eu estiver entendendo corretamente, a outra parte está dizendo que eles não podem finalizar o encapsulamento para o endereço configurado como a rede de destino para os dados encapsulados. Isso depende das capacidades do seu dispositivo - você sabe de qual fabricante ele é?

Independentemente das preocupações com a definição de rede remota e seus problemas com o sistema tentando colocar os pacotes ESP do túnel de volta ao túnel, eles nem estão respondendo aos seus pacotes de fase 1 - essa conectividade precisa ser analisada primeiro. Diga-lhes para começarem a responder aos seus pacotes ISAKMP, depois lidem com as redes remotas IPSec assim que estiverem funcionando.

    
por 25.08.2011 / 17:56