Carregando ...
Desculpe, ocorreu um erro ao carregar o conteúdo.

715RES: [openswan-br] PENDING_PHASE2

Expandir mensagens
  • Estefanio Brunhara
    15 de set de 2015

      Bom dia!

       

      Felipe, é como você falou na mensagem anterior!   “tem mais algum problema?”   kkkk

       

      Esta funcionando, ou melhor estava funcionando, a confusão toda foi o teste do ping  logado no servidor, mas de uma estação atrás do firewall/ServidorIpsec eu consigo pingar

      o outro servidor normal.  Logado no servidor eu só consigo pingar usando o  ping –I  kk

       

      Obrigado!

       

      De: openswan-br@... [mailto:openswan-br@...]
      Enviada em: segunda-feira, 14 de setembro de 2015 09:48
      Para: openswan-br@...
      Assunto: Re: [openswan-br] PENDING_PHASE2

       

      Pelos Logs me parece que o tunel fechou, a SA da fase 2 está estabelecida.

      IPsec SA established

      tem mais algum problema? pois pelos logs o tunel está up.


      Atenciosamente, 


          Felipe Santos
          felipe.nix@...              

       

       

       

       

      De: openswan-br@... [mailto:openswan-br@...]
      Enviada em: segunda-feira, 14 de setembro de 2015 14:29
      Para: openswan-br@...
      Assunto: Re: [openswan-br] PENDING_PHASE2

       

       

      as regras de prerouting e postrouting são necessárias para o tráfego entre as redes para que não façam match nas regras de nat, apenas isso.

      para testar do proprio firewall vc precisa estipular o ip de origem membro da rede declarada no leftsubnet, caso utilize um comando ping normalmente o tráfego será direcionado ao gw do equipamento.

      ex.:

      ping -I 192.168.0.1 192.168.15.1



      Atenciosamente, 


          Felipe Santos
          felipe.nix@...              

       

      On Mon, Sep 14, 2015 at 1:18 PM, 'Estefanio Brunhara' estefanio@... [openswan-br] <openswan-br@...> wrote:

       

       

      Vamos considerar que estou querendo apenas que os dois servidores consigam se comunicar.

       

      Como existia a duvida do firewall esta atrapalhando eu desliguei o firewall

       

      Com  firewall desligado

       

      As regras abaixo foram satisfeitas.

       

      INPUT:

      porta 500 udp

      porta 4500 udp (caso nat-t)

      protocolo ESP (50)

       

      Estas seriam para que esta atrás do firewall  como estou apenas tentando fazer funcionar o básico, ou seja,  os servidores teria que funcionar se elas.

      FORWARD entre as redes da VPN

      -s lan -d remota
      -d lan -s remota

       

      Aqui ficou minha duvida! 

       

      POSTROUTING e PREROUTING

       

      Preciso ter alguma regras  de postrouting/preroutting ? para que a IPSEc  funcione?

       

      Neste mar de problemas para funcionar o IPSEC acabe deixando o firewall desligado, para simplificar meu cenário.

       


      De: openswan-br@... [mailto:openswan-br@...]
      Enviada em: segunda-feira, 14 de setembro de 2015 12:01
      Para: openswan-br@...
      Assunto: Re: [openswan-br] PENDING_PHASE2

       

       

      Basicamente as regras necessárias são:

      INPUT:

      porta 500 udp

      porta 4500 udp (caso nat-t)

      protocolo ESP (50)

      FORWARD entre as redes da VPN

      -s lan -d remota
      -d lan -s remota

      caso exista nat com mascarade é necessário criar o return para não afetar as redes da VPN, conforme e-mail anterior. POSTROUTING e PREROUTING


      Atenciosamente, 


          Felipe Santos
          felipe.nix@...              

       

      On Mon, Sep 14, 2015 at 11:25 AM, 'Estefanio Brunhara' estefanio@... [openswan-br] <openswan-br@...> wrote:

       

       

      Esta era uma das minhas duvidas!   “esta em mensagens anteriores”

       

       

      Preciso de alguma regra  no firewall,  para o túnel funcionar entre os dois servidores?

       

      Não estou me referindo as estações que estão atrás do firewall/ipsec

       

       

      Cheguei a fazer um mini firewall  para teste,

       

       

      #!/bin/bash

       

      iface_int="eth0"

      rede_lan="192.168.0.0/22"

      rede_rem="192.168.15.0/24"

      IpExt="201.17.131.141"

      IpGwI="192.168.0.254"

       

      echo "Limpando as Regras existentes"

      /sbin/iptables -F

      /sbin/iptables -t nat -F

      /sbin/iptables -t mangle -F

      /sbin/iptables -t filter -F

      /sbin/iptables -X

      /sbin/iptables -Z

       

      iptables -P INPUT ACCEPT

      iptables -P OUTPUT ACCEPT

      iptables -P FORWARD ACCEPT

       

      /sbin/modprobe nfnetlink_queue

      /sbin/modprobe nfnetlink

      /sbin/modprobe ip_nat_ftp

      /sbin/modprobe ip_conntrack

      /sbin/modprobe ip_conntrack_ftp

      /sbin/modprobe ip_tables

      /sbin/modprobe iptable_filter

      /sbin/modprobe iptable_nat

      /sbin/modprobe iptable_mangle

      /sbin/modprobe ipt_state

      /sbin/modprobe ipt_limit

      /sbin/modprobe ipt_multiport

      /sbin/modprobe ipt_mac

      /sbin/modprobe ipt_string

       

      /sbin/iptables -A INPUT -i $iface_int -s $rede_lan  -j ACCEPT

      /sbin/iptables -A INPUT -i $iface_int -m state --state NEW -j ACCEPT

      /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

       

      iptables -t nat -I PREROUTING -s $rede_lan -d $rede_rem -j RETURN

      iptables -t nat -I PREROUTING -d $rede_lan -s $rede_rem -j RETURN

       

      # Negociações do IKE

      iptables -A INPUT -p udp --sport 500 --dport 500 -j ACCEPT

      iptables -A OUTPUT -p udp --sport 500 --dport 500 -j ACCEPT

       

      # ESP - Encriptação e Autenticação

      iptables -A INPUT -p 50 -j ACCEPT

      iptables -A OUTPUT -p 50 -j ACCEPT

       

      # AH - Cabeçalho de Autenticação

      iptables -A INPUT -p 51 -j ACCEPT

      iptables -A OUTPUT -p 51 -j ACCEPT

       

      #iptables -A INPUT -p udp -s $IpGwI –d $IpExt --dport 500 --j ACCEPT

      iptables -A INPUT -p udp -s $IpGwI -d $IpExt --dport 4500 --j ACCEPT

      iptables -A INPUT -p esp -s $IpGwI -d $IpExt -j ACCEPT

      iptables -A INPUT -p ah -s $IpGwI -d $IpExt -j ACCEPT

       

      #iptables -A OUTPUT -p udp -s $IpExt –d $IpGwI --sport 500 --j ACCEPT

      iptables -A OUTPUT -p udp -s $IpExt -d $IpGwI --sport 4500 --j ACCEPT

      iptables -A OUTPUT -p esp -s $IpExt -d $IpGwI -j ACCEPT

      iptables -A OUTPUT -p ah -s $IpExt -d $IpGwI -j ACCEPT

       

      iptables -A FORWARD -t filter -j ACCEPT

      iptables -A FORWARD -t filter -j ACCEPT -m state --state ESTABLISHED,RELATED

       

      iptables -A FORWARD -p 50 -s 0/0 -d 0/0 -j ACCEPT

      iptables -A FORWARD -p 51 -s 0/0 -d 0/0 -j ACCEPT

       

      iptables -A FORWARD -s 0/0  -d 0/0 -j ACCEPT

       

      iptables -t nat -A POSTROUTING -s 0/0 ! -d $rede_rem -j MASQUERADE

      iptables -t nat -A POSTROUTING ! -d $rede_rem -s 0/0 -j MASQUERADE

       

      iptables -t nat -I POSTROUTING -s $rede_lan -d $rede_rem -j RETURN

      iptables -t nat -I POSTROUTING -d $rede_lan -s $rede_rem -j RETURN

       

       

      De: openswan-br@... [mailto:openswan-br@...]
      Enviada em: segunda-feira, 14 de setembro de 2015 11:12
      Para: openswan-br@...
      Assunto: Re: [openswan-br] PENDING_PHASE2

       

       

      caso exista tente criar o seguinte em ambos os firewalls:

      ---------
      iptables -t nat -I POSTROUTING -s 192.168.0.0/22 -d 192.168.15.0/24 -j RETURN
      iptables -t nat -I POSTROUTING -d 192.168.0.0/22 -s 192.168.15.0/24 -j RETURN

       

      iptables -t nat -I PREROUTING -s 192.168.0.0/22 -d 192.168.15.0/24 -j RETURN
      iptables -t nat -I PREROUTING -d 192.168.0.0/22 -s 192.168.15.0/24 -j RETURN
      --------

      isso garante que o tráfego entre as redes utilizadas nos tuneis não façam match com nenhuma regra de SNAT ou DNAT

       


      Atenciosamente, 


          Felipe Santos
          felipe.nix@...              

       

      On Mon, Sep 14, 2015 at 11:07 AM, Felipe Santos <felipe.nix@...> wrote:

      tem alguma regra de MASQUERADE ou SNAT nesses firewalls?


      Atenciosamente, 


          Felipe Santos
          felipe.nix@...              

       

      On Mon, Sep 14, 2015 at 10:59 AM, 'Estefanio Brunhara' estefanio@... [openswan-br] <openswan-br@...> wrote:

       

      Sim não consigo pingar o outro lado!

       

       

      ### SiteA

       

      Tabela de Roteamento IP do Kernel

      Destino         Roteador        MáscaraGen.    Opções Métrica Ref   Uso Iface

      192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0

      192.168.15.0    201.17.131.1    255.255.255.0   UG    0      0        0 eth1

      201.17.128.0    0.0.0.0         255.255.252.0   U     0      0        0 eth1

      192.168.0.0     0.0.0.0         255.255.252.0   U     0      0        0 eth0

      169.254.0.0     0.0.0.0         255.255.0.0     U     1003   0        0 eth1

      169.254.0.0     0.0.0.0         255.255.0.0     U     1004   0        0 eth0

      0.0.0.0         201.17.131.1    0.0.0.0         UG    0      0        0 eth1

      [root@ns0 dic]#

      [root@ns0 dic]#

      [root@ns0 dic]#

      [root@ns0 dic]# ^C

      [root@ns0 dic]# ping 192.168.15.253

      PING 192.168.15.253 (192.168.15.253) 56(84) bytes of data.

      From 10.81.4.1 icmp_seq=1 Packet filtered

      From 10.81.4.1 icmp_seq=2 Packet filtered

      ^C

      --- 192.168.15.253 ping statistics ---

      2 packets transmitted, 0 received, +2 errors, 100% packet loss, time 1863ms

       

       

      ### SiteB

      # route -n

      Tabela de Roteamento IP do Kernel

      Destino         Roteador        MáscaraGen.    Opções Métrica Ref   Uso Iface

      192.168.15.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0

      179.184.218.0   0.0.0.0         255.255.255.0   U     0      0        0 eth1

      192.168.0.0     179.184.218.233 255.255.252.0   UG    0      0        0 eth1

      169.254.0.0     0.0.0.0         255.255.0.0     U     1002   0        0 eth1

      169.254.0.0     0.0.0.0         255.255.0.0     U     1003   0        0 eth0

      0.0.0.0         179.184.218.233 0.0.0.0         UG    10     0        0 eth1

      [root@ns15 stf]#

      [root@ns15 stf]#

      [root@ns15 stf]#

      [root@ns15 stf]# ping 192.168.0.254

      PING 192.168.0.254 (192.168.0.254) 56(84) bytes of data.

      ^C

      --- 192.168.0.254 ping statistics ---

      10 packets transmitted, 0 received, 100% packet loss, time 9886ms

       

       

      De: openswan-br@... [mailto:openswan-br@...]
      Enviada em: segunda-feira, 14 de setembro de 2015 09:48
      Para: openswan-br@...
      Assunto: Re: [openswan-br] PENDING_PHASE2

       

       

      Pelos Logs me parece que o tunel fechou, a SA da fase 2 está estabelecida.

      IPsec SA established

      tem mais algum problema? pois pelos logs o tunel está up.


      Atenciosamente, 


          Felipe Santos
          felipe.nix@...              

       

      On Mon, Sep 14, 2015 at 8:35 AM, 'Estefanio Brunhara' estefanio@... [openswan-br] <openswan-br@...> wrote:

       

      Bom dia  Felipe!

       

       

      Veja o resultado dos comandos que você me solicitou !

       

       

      ### SiteA parado  ipsec rodando no SiteB(179.184.218.234)

       

      Comando dado no siteA

       

      # ike-scan -M 179.184.218.234

      Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)

      179.184.218.234 Main Mode Handshake returned

              HDR=(CKY-R=b16a983e96e10794)

              SA=(Enc=3DES Hash=SHA1 Auth=PSK Group=2:modp1024 LifeType=Seconds LifeDuration(4)=0x00007080)

              VID=4f53577e7b6566787577466d

              VID=afcad71368a1f1c96b8696fc77570100 (Dead Peer Detection v1.0)

       

      Ending ike-scan 1.9: 1 hosts scanned in 0.029 seconds (34.92 hosts/sec).  1 returned handshake; 0 returned notify

       

    • Mostrar todas as 20 mensagens neste tópico