Creación de VPN - OpenBSD México

1 mensaje - Ocultar todos

Ma0

Ver perfil

Más opciones 17 sep, 11:48

De: Ma0 <xavier...@gmail.com>

Fecha: Thu, 17 Sep 2009 09:48:43 -0700 (PDT)

Local: Jue 17 sep 2009 11:48

Asunto: Creación de VPN

  Responder al autor
  |
  Reenviar | Imprimir | Mensaje individual
  | Mostrar mensaje original
  | Informar de este mensaje | Buscar mensajes de este autor
  

Hola buenas.

Llevo unos meses pegandome con OpenBSD (anteriromente conocí FreeBSD)
para poder montar unos servidores firewall con VPN de enlace entre
varias ADSL.

Nose por donde empezar...

Bueno despues de leer e intentar varias cosas, me decidí por poner en
practica la opción de creación de VPN en 2 minutos de Dragos Ruiu:
http://www.securityfocus.com/infocus/1859.

Estos son mis equipos:
Nodo1
ext: 10.0.0.50
int: 192.168.1.1

Nodo2
ext: 10.0.0.51
int: 192.168.2.1

Efectivamente en 5 minutos, tenia dos equipos (P3 a 733 y P3 a 600 con
3 tarjetas de red cada uno: ext, int y wif) con la interface externa
en la misma LAN y creaban una VPN entre los pc, con la peculiaridad
que podia acceder desde el nodo1 a la red interna del nodo2 pero no
viceversa.

Ahora he separado estos equipos por la red de redes, esto es: cada
nodo tiene un router como puerta de enlace con la IP publica:
Nodo1
ext: 10.0.0.50 -> gateway: 10.0.0.1 -> publica: 80.10.10.10

Nodo2
ext: 10.0.0.51 -> gateway: 10.0.0.1 -> publica: 80.10.10.20

He modificado los sigueintes archivos en los nodos:
/etc/ipsec.conf
/etc/pf.conf
/etc/isakmpd/pubkey/ipv4/10.0.0.51 renombrado a 80.10.10.20 (En
Nodo1)
/etc/isakmpd/pubkey/ipv4/10.0.0.50 renombrado a 80.10.10.10 (En
Nodo2)

Nodo1
# /etc/ipsec.conf:
ike esp from 192.168.1.0/24 to 192.168.2.0/24 peer 80.10.10.20
ike esp from 10.0.0.50 to 192.168.2.0/24 peer 80.10.10.20
ike esp from 10.0.0.50 to 80.10.10.20

# /etc/pf.conf
ext_if="rl0"
int_if="sk0"
icmp_types = "{ echorep, echoreq, timex, unreach }"
set require-order no
set skip on { lo $int_if enc0 }
nat on $ext_if from !($ext_if) -> ($ext_if:0)
pass in # to establish keep-state
# block in
pass quick on $ext_if from 80.10.10.20
pass in on $ext_if proto tcp to ($ext_if) port ssh keep state
pass out on $ext_if proto { udp, icmp } all keep state
pass out keep state

Nodo2
# /etc/ipsec.conf
ike passive esp from 192.168.2.0/24 to 192.168.1.0/24 peer 80.10.10.10
ike passive esp from 10.72.151.53 to 192.168.1.0/24 peer 80.10.10.10
ike passive esp from 10.72.151.53 to 80.10.10.10

# /etc/pf.conf
ext_if="rl0"
int_if="rl1"
icmp_types="{ echorep, echoreq, timex, unreach }"
set require-order no
set skip on { lo $int_if enc0 }
# scrub in
nat on $ext_if from !($ext_if) -> ($ext_if:0)
# block in
pass in # to establish keep-state
pass quick on $ext_if from 80.10.10.20
pass in on $ext_if proto tcp to ($ext_if) port ssh keep state
pass out on $ext_if proto { udp, icmp } all keep state
pass out keep state

Antes, cuando los equipos tenian sus tarjetas de red externas en la
misma lan funcionaba... bueno al menos me creaba algunos tuneles,
ahora el "isakmpd" no hace nada y por tanto el "ipsecctl" no termina
de funcionar.

¿Sabeis de donde puede venir el fallo? ¿Como habría que hacer para
unir otro nodo más, es decir, como crear una segunda o tercera VPN
entre los 3 nodos?

Responder al autor Reenviar

Fin de los mensajes

« Volver a “Debates”

« Tema más reciente

Tema anterior »