O Luiz Ignatti (lcijunior@uol.com.br) mandou um tutorial bastante completo sobre a instalação de VPNs baseadas no Freeswan quando o endereço IP de uma das pontas da conexão é dinâmico. Confira abaixo o texto dele:
Freeswan com IP Dinâmico (DHCP)
Luiz Ignatti - lcijunior@uol.com.br
Neste documento venho explicar uma situação que me apareceu aqui na empresa e para a qual não achei nenhum tipo de material em Português, o que em situãções de emergência pode ajudar e muito, e o outro problema que enfrentei foi com relação ao exemplo desse tipo de configuração que existe no site do próprio freeswan que vamos por assim dizer, não funcionou.... Talvez porque o objetivo desse documento seja um pouco diferente, mas nada que algumas adaptações não resolvam...
O cenário que eu tinha era de uma VPN Net-to-Net interligando uma matriz com uma filial da empresa, porém o ADSL dessa filial tem IP dinâmico.
Para trabalhar com o freeswan com IP dinâmico a própria documentação do site explica que devemos utilizar a configuração chamada de Road Warrior.
Procedimento
Agora vamos ao que interessa:
Para montar esse ambiente, de um lado tenho uma máquina com RedHat 8.0 e do outro um Debian 3.0.
Para instalar o freeswan no Red Hat é bem simples, basta ir ao próprio site do projeto e baixar os RPMs próprios para seu Kernel (no meu caso baixei a versão 1.99 do freeswan). Feitos os downloads basta instalar os RPMs fazer as configurações que mostrarei abaixo e pronto, não precisa compilar Kernel, passar patch nem nada disso... :-)
Já no Debian tive um pouquinho mais de trabalho, pois apesar de existir o pacote .deb do freeswan (versão 1.96) nessa distro precisamos instalar o patch que também está em formato .deb (apt-get install kernel-patch-freeswan) e compilar o Kernel com suporte ao IPSec. No meu caso fiz a instalação do Debian com Kernel 2.2 e depois fiz o update para o Kernel 2.4.21. O procedimento para passar o patch e recompilar o kernel está disponével em vários sites, por isso não entrarei nessa questão. Depois de compilar o kernel, apt-get install freeswan.
Feitas as instalações vamos a configuração das máquinas:
Para trabalhar dentro do /etc/ipsec.conf nessa situação, vamos ter em mente um conceito passado pelo próprio exemplo do site do freeswan que é "Left is Local, Right is Remote".
- Na máquina que será nosso "Servidor" (Matriz) e que tem o IP fixo o arquivo deve ficar da seguinte forma:
# basic configuration
config setup
# THIS SETTING MUST BE CORRECT or almost nothing will work;
# %defaultroute is okay for most simple cases.
interfaces=%defaultroute
# Debug-logging controls: "none" for (almost) none, "all" for lots.
klipsdebug=none
plutodebug=none
# Use auto= parameters in conn descriptions to control startup actions.
plutoload=%search
plutostart=%search
# Close down old connection when new one using same ID shows up.
uniqueids=yes
# defaults for subsequent connection descriptions
# (mostly to fix internal defaults which, in retrospect, were badly chosen)
conn %default
keyingtries=0
disablearrivalcheck=no
authby=rsasig
conn Matriz-Filial
left=200.xxx.xxx.xxx # IP válido do "Servidor"
leftnexthop=200.xxx.xxx.1 # Gateway do "Servidor"
leftid=@host.dominio.com.br # Identificação do "Servidor"
leftsubnet=192.168.1.0/xx # Rede interna Matriz
leftrsasigkey=0eAO... # Chave de encriptação "Servidor"
rightnexthop=%defaultroute # Roteador para o "Cliente" (Rota padrão do micro)
right=%any # Como o IP válido remoto é dinâmico... ("Cliente")
rightid=@host2.dominio.com.br # Identificação do "Cliente"
rightsubnet=192.168.2.0/24 # Rede interna Filial
rightrsasigkey=0eAW... # Chave de encriptação "Cliente"
auto=add # A conexão ira iniciar "manualmente" nesse caso, quando o "Cliente" estabelecer a conexão.
- Na máquina que será nosso "Cliente" (Filial) e que tem o IP dinâmico o arquivo deve ficar da seguinte forma:
# basic configuration
config setup
# THIS SETTING MUST BE CORRECT or almost nothing will work;
# %defaultroute is okay for most simple cases.
interfaces=%defaultroute
# Debug-logging controls: "none" for (almost) none, "all" for lots.
klipsdebug=none
plutodebug=none
# Use auto= parameters in conn descriptions to control startup actions.
plutoload=%search
plutostart=%search
# Close down old connection when new one using same ID shows up.
uniqueids=yes
conn %default
keyingtries=0
disablearrivalcheck=no
authby=rsasig
conn Matriz-Filial
left=%defaultroute # Roteador Interner do "Cliente"
leftsubnet=192.168.2.0/24 # Rede interna Filial
#leftnexthop=200.190.100.97 # Aqui está o erro do tutorial do site do freeswan ***
leftid=@host2.dominio.com.br # Identificação do "Cliente"
leftrsasigkey=0eAW... # Chave de encriptação do "Cliente"
right=200.xxx.xxx.xxx # IP válido da máquina remota ("Servidor")
rightnexthop=200.xxx.xxx.1 # Gateway do "Servidor"
rightsubnet=192.168.1.0/24 # Rede interna Matriz
rightid=@host.dominio.com.br # Identificação do "Servidor"
rightrsasigkey=0eAO... # Chave de encriptação do "Servidor"
auto=start # A conexão ira iniciar quando o ipsec for "startado"
*** Se colocarmos a configuração do leftnexthop o freeswan não sobe pois essa é uma
configuração inválida para conexão RoadWarrior.
Feitas as configurações é só "startar" o ipsec (freeswan) nas duas máquinas e verificar se a conexão foi estabelecida. Uma boa forma para se fazer isso é usar o comando:
#ipsec look - Se ele retornar umas linhas com uma espécie de layout da conexão, indicando os IPS, MacAddress e no final indicar uma tabela de roteamento para a VPN é sinal que funcionou...
Uma outra ferramenta que pode ser usada é o "tcpdump -i interface" e ver se há algum tráfego nessa interface, mas o melhor teste de todos é mesmo o bom e velho ping, vá em uma estação de um lado da VPN e tente pingar uma estação do outro lado da VPN. *Obs: A partir de um dos gateways você não conseguirá pingar uma máquina da rede do outro lado.
Requisitos
Agora um pequeno checklist que pode parecer bobo mas é para termos certeza que está tudo OK:
- O roteamento do Linux deve estar habilitado. Para isso verifique o arquivo /proc/sys/net/ipv4/ip_forward que deve estar com status 1.
- Caso você use firewall na sua rede, não se esqueça de abrir a comunicação para os seguintes
protolocos/portas:
- Protocolo 50 (ESP)
- Protocolo 51 (AH)
- Porta 500 UDP (ISAKMP)
- Se você utiliza NAT, tome o cuidado de não mascarar nada que tenha como origem uma das redes e como destino a outra rede.
Outra dica importante é que caso algo não esteja funcionando, recorra aos logs do freeswan em /var/log/messages pois eles indicam a origem de muitos problemas.
Que eu me lembre é isso... Espero ter colaborado um pouco para diminuir uma eventual dor de cabeça para alguém.
Referências
Documentação do próprio site do freeswan
São google
Autor: Luiz Ignatti - lcijunior@uol.com.br
Postado por brain em agosto 23, 2003 10:08 PM
» Postado por: Paulo Sergio em setembro 11, 2003 09:18 PM, 200.140.68.:
Luiz, boa noite ....
Valeu amigo sobre a dica, a respeito da VPN. Estou com um problema desse tipo. Temos uma rede com servidor Linux Conectiva 8 rodando. Temos um depósito localizado a 3 quarteirões da empresa. Uma empresa especializada instalou um VPN com Slackware, nesse depósito para acessar o nosso servidor Conectiva 8.0. Acontece que o HD do depósito queimou. E temos que reinstalar novamente. A empresa não quer mais gastar com isso e quer o CPD corra atrás do prejuízo. Nesse depósito temos uma ADSL, com IP fixo. No seu exemplo é IP dinâmico. E para piorar a situação, a VPN que estava instalada, ela acessava o nosso servidor Firewall e dali era redirecionado para outro servidor interno também em Conectiva 8. O que muda Luiz, no caso de IP fixo ??? Desculpe-me pelo texto extenso, e obrigado pela ajuda.
Paulo Sergio ....
» Postado por: Paulo Sergio em setembro 11, 2003 09:32 PM, 200.140.68.:
Luiz, desculpe-me incomodá-lo novamente.
Eu li e já imprimi o seu texto sobre VPN, que é muito bom, como você sobre a instalação do mesmo. Eu te passei um e-mail pedindo orientação sobre no caso do IP do servidor cliente ter IP fixo (no seu caso, é IP dinâmico). E no meu caso também, na instalação anterior da VPN, instalada por terceiros, eles programaram o nosso servidor da Matriz, para acessar o nosso Firewall na porta 3000. Inclusive tivemos que chamar a BrasilTelecom, para abrir a porta 3000 no modem ADSL deles.
Obrigado mais uma vez Luiz.
Saudações ....
Paulo Sérgio ...
» Postado por: cleber em outubro 8, 2003 02:31 PM, 200.158.130:
oi Luiz
eu esto iniciando no mundo linux
tentei instalar a vpn com dois conectiva8
o cliente nao levanta a vpn
se poder ajudar obrigado
left=%defaultroute # Roteador Interner do "Cliente"
leftsubnet=192.168.2.0/24 # Rede interna Filial
#leftnexthop=200.190.100.97 # Aqui está o erro do tutorial do site do freeswan ***
leftid=@servidor.com.br #"deu ero nesta linha"
leftrsasigkey=0eAW... # deu ero nesta Chave de encriptação do "Cliente"
right=200.xxx.xxx.xxx # IP válido da máquina remota ("Servidor")
rightnexthop=200.xxx.xxx.1 # Gateway do "Servidor"
rightsubnet=192.168.1.0/24 # Rede interna Matriz
rightid=@host.dominio.com.br # Identificação do "Servidor"
rightrsasigkey=0eAO... # Chave de encriptação do "Servidor"
auto=start # A conexão ira iniciar quando o ipsec for "startado"
» Postado por: kleber Sousa em outubro 16, 2003 01:18 AM, 200.227.60.:
Boa Noite, Sou novato em linux, estou querendo fazer um servidor para as minhas paginas web em casa tenho Speedy Home, sei que é ip dinamico eu teria de ter um fixo, me disseram que exite um software para enviar o novo ip para a net no momento de uma nova conexão, quero fazer o sservidor em linux red hat 9 e deixalo ligado 24Hs. por favor me ajudem, mandem resposta para o meu e-mail pois no serviço não tenho tempo para navegar, pois trabalho com autoração em DVD.
sem mais,
Kleber Sousa
» Postado por: Diego em outubro 16, 2003 12:41 PM, 200.96.96.1:
Ola,
Bom posso usar este texto para o meu caso, pois estou querendo montar um acesso remoto por dial up, com IP dinamico. Como posso fazer com q o servidor conecte com o dial up, e faça a autenticação?
Obrigado pela atenção
» Postado por: cidartha em outubro 30, 2003 12:04 PM, 143.107.255:
Oi Luiz , também sou iniciante , acabei de ser benzido para que o demonio RWINDOWS jamais me pegue, eu estou com problemas para montar um freeswan , um tunel entre duas maquinas X e Y, o IP do X de saida para a internet é 200.x.x.204 e é o ipsec0 e o gateway é 200.144.73.50, na outra maquina Y, o gateway e a uma placa da maquina X 200.x.x.238. quando dou ipsec look ele inidica que o gateway é 200.144.73.50, como faço para trocar para 200.x.x.238 e como sei se esta funcionando realmente ?
» Postado por: lpereira em novembro 27, 2003 07:20 PM, 200.149.174:
Kleber,
para resolver seu problema, basta algo bem simples: um servidor DNS dinânico. Existem muitos servidor free para DNS dinâmico. O mais famoso (porém não o melhor) é o dyndns.org. Basta entrar no site, criar uma conta e cadastrar seu servidor. Daí, vc baixa um script, do próprio site e roda no seu servidor. As configurações são bem simples e no site existe um HOWTO bem tranquilo. Boa sorte e seja bem vindo à comunidade LINUX... :-)
» Postado por: klifton em dezembro 6, 2003 02:08 PM, 200.181.199:
olá amigos eu gostaria de fazer uma vpn com servidor linux e clientes windows a situação é a seguinte tenhu um servidor linux rodando um sistema com banco de dados progress na matriz ela tem adsl ip fixo e temos 12 filiais cada uma com 1 estação de trabalho windows e elas tem adsl dinâmico gostaria da opinião do que eu posso fazer para uma vpn funcionar, se não for possível o que posso fazer para ficar mais seguro os acessos.
Obrigado.
Klifton Domingues
» Postado por: David em janeiro 8, 2004 11:09 AM, 200.222.65.:
Alguns comentarios basicos sobre o .conf:
- Respeite a tabulação... (recebi alguns erros de field number q resolvi recolocando a tabulação original)
- Cuidado com os comentarios de linha (coloque um comentarios APOS um comando nao na linha acima) isso evita erros de sesssao...
estou configurando a minha VPN e vou passando os comentarios dos problemas q encontrei a as solucoes (q conseguir en contrar :)))
[]'s
» Postado por: airton moraes em janeiro 13, 2004 10:27 PM, 200.153.222:
Gostaria de saber como montar uma vpn com ip dinamico, speedy home telefonica com discador.
» Postado por: Paulo Augusto em fevereiro 2, 2004 10:02 AM, 200.162.150:
Prezados,
existe alguma possibilidade de trabalharmos com o servidor VPN rodando o Freeswan e todas as estacoes Windows (notebooks) conectarem direto a este servidor? Atualmente tenho esta configuracao em POPTOP mas gostaria de testar o IPSec.
Outra pergunta, meu servidor VPN POPTOP possui IP dinamico e para que meus clientes conectem sem problemas eu utilizao o dyndns. Funciona redondo. Gostaria de saber se o IPSec também poderia funcionar assim? Pergunto isso pois no ipsec.conf voce define o endereco IP do servidor VPN.
Aguardo resposta ou fontes de pesquisa, uma vez que toda documentacao que encontra de IPSec no google é para Linux to Linux e ainda com IP fixo.
Obrigado.
Paulo
» Postado por: Leonardo Pinto em maio 28, 2004 03:10 PM, 200.164.31.:
Prezado Guru Luiz;
Pesquisei muito na internet e não achei um material tão brilhante quanto o seu.
Curto e grosso, parabéns. Graças a pessoas como vc que o Linux ganha seu devido espaço.
Leonardo.
» Postado por: Joao Vieira em junho 25, 2004 10:02 AM, 201.1.152.1:
Caro Senhores,
Qual e o Gateway para UOL, pois estou tentando fazer me DSL (DLINK 500 G) um roteador.
Brigado
» Postado por: blackjack em agosto 16, 2004 07:09 PM, 213.201.177:
4421 black jack is hot hot hot! get your blackjack at http://www.blackjack-dot.com
» Postado por: free credit reports em agosto 31, 2004 05:16 PM, 210.15.223.:
5174 http://www.e-free-credit-reports.com cool eh?
» Postado por: texas holdem em setembro 3, 2004 12:43 AM, 62.121.83.1:
464 Learn all about the best texas holdem here
» Postado por: online texas hold em em setembro 3, 2004 11:50 AM, 66.232.12.1:
149 talk about wiii is good texas hold em online playa
» Postado por: high risk merchant account em setembro 3, 2004 11:58 AM, 63.70.62.16:
1704 Learn all about the best merchant account here
» Postado por: credit card processing em setembro 4, 2004 08:39 AM, 211.185.38.:
5038 High risk credit card processing is fr
» Postado por: inkjet cartridges em setembro 6, 2004 01:29 AM, 80.227.109.:
1999 Thanks so much for all the help to buy ink cartridges
» Postado por: slots em setembro 7, 2004 04:22 PM, 62.60.131.1:
4419 http://www.slots-w.com click here to play Slots online
» Postado por: merchant accounts em setembro 8, 2004 11:12 AM, 24.199.170.:
3065 High riskmerchant account thanks
» Postado por: internet merchant account em setembro 9, 2004 04:40 AM, 202.155.18.:
4247 get high riskinternet merchant accounts account
» Postado por: Briana Banks em setembro 9, 2004 05:43 PM, 211.185.38.:
201 http://www.briana-banks-dot.com for Briana Banks movies. or if you would rather diecast here.
» Postado por: Roulette em setembro 19, 2004 11:43 PM, 81.196.182.:
168 http://www.roulette-w.com click here to play roulette online.
» Postado por: Mulling Spice em setembro 26, 2004 03:53 PM, 213.4.105.2:
Mulling Spice http://www.onlineshop.us.com/cat_gourmet_3601301/Gourmet_Seasonings_Herbs_Spices_Mixed_Spices_Seasonings_Mulling_Spice.php
Onion Salt http://www.onlineshop.us.com/cat_gourmet_3601311/Gourmet_Seasonings_Herbs_Spices_Mixed_Spices_Seasonings_Onion_Salt.php
Poultry Seasoning http://www.onlineshop.us.com/cat_gourmet_3601321/Gourmet_Seasonings_Herbs_Spices_Mixed_Spices_Seasonings_Poultry_Seasoning.php
Pumpkin Pie Spice http://www.onlineshop.us.com/cat_gourmet_3601331/Gourmet_Seasonings_Herbs_Spices_Mixed_Spices_Seasonings_Pumpkin_Pie_Spice.php
Seasoning Salt http://www.onlineshop.us.com/cat_gourmet_3601341/Gourmet_Seasonings_Herbs_Spices_Mixed_Spices_Seasonings_Seasoning_Salt.php
Tandoori Spice http://www.onlineshop.us.com/cat_gourmet_3601351/Gourmet_Seasonings_Herbs_Spices_Mixed_Spices_Seasonings_Tandoori_Spice.php
» Postado por: web cams em setembro 26, 2004 09:02 PM, 63.245.15.2:
Adult
http://adult.web-cams.us.com/
Web
http://adult.web-cams.us.com/
Cams
http://adult.web-cams.us.com/
» Postado por: Mexico em setembro 26, 2004 11:01 PM, 80.53.47.14:
Mexico http://www.onlineshop.us.com/cat_books_2941/Books_Childrens_Books_History_Historical_Fiction_Mexico.php
Middle East http://www.onlineshop.us.com/cat_books_2942/Books_Childrens_Books_History_Historical_Fiction_Middle_East.php
Military & Wars http://www.onlineshop.us.com/cat_books_2943/Books_Childrens_Books_History_Historical_Fiction_Military_Wars.php
Modern http://www.onlineshop.us.com/cat_books_2944/Books_Childrens_Books_History_Historical_Fiction_Modern.php
Prehistoric http://www.onlineshop.us.com/cat_books_2945/Books_Childrens_Books_History_Historical_Fiction_Prehistoric.php
Renaissance http://www.onlineshop.us.com/cat_books_2946/Books_Childrens_Books_History_Historical_Fiction_Renaissance.php
» Postado por: Pins & Buttons em setembro 27, 2004 12:13 AM, 217.219.57.:
Pins & Buttons http://www.onlineshop.us.com/cat_sporting_3475031/Sports_Categories_Fan_Shop_PGA_Pins_Buttons.php
Plaques http://www.onlineshop.us.com/cat_sporting_3475041/Sports_Categories_Fan_Shop_PGA_Plaques.php
Posters http://www.onlineshop.us.com/cat_sporting_3475051/Sports_Categories_Fan_Shop_PGA_Posters.php
Sports Gear http://www.onlineshop.us.com/cat_sporting_3475061/Sports_Categories_Fan_Shop_PGA_Sports_Gear.php
Toys & Figurines http://www.onlineshop.us.com/cat_sporting_3475071/Sports_Categories_Fan_Shop_PGA_Toys_Figurines.php
Trading Cards http://www.onlineshop.us.com/cat_sporting_3475081/Sports_Categories_Fan_Shop_PGA_Trading_Cards.php
» Postado por: Electric Blues Guitar em setembro 27, 2004 07:09 AM, 217.56.229.:
Electric Blues Guitar http://www.onlineshop.us.com/cat_music_883176/Music_CDs_Formats_Todays_Deals_in_Music_Blues_Electric_Blues_Guitar.php
All Bargain Titles http://www.onlineshop.us.com/cat_music_883452/Music_CDs_Formats_Todays_Deals_in_Music_Blues_Electric_Blues_Guitar_All_Bargain_Titles.php
CDs $7 - $10 http://www.onlineshop.us.com/cat_music_519498/Music_CDs_Formats_Todays_Deals_in_Music_Blues_Electric_Blues_Guitar_CDs_7_10.php
CDs Under $7 http://www.onlineshop.us.com/cat_music_519166/Music_CDs_Formats_Todays_Deals_in_Music_Blues_Electric_Blues_Guitar_CDs_Under_7.php
Texas Blues http://www.onlineshop.us.com/cat_music_883178/Music_CDs_Formats_Todays_Deals_in_Music_Blues_Texas_Blues.php
All Bargain Titles http://www.onlineshop.us.com/cat_music_883454/Music_CDs_Formats_Todays_Deals_in_Music_Blues_Texas_Blues_All_Bargain_Titles.php
» Postado por: Gran Canaria em setembro 28, 2004 06:28 AM, 213.112.195:
Gran Canaria http://www.grancanariaguide.com Tuesday 28 September 2004 11:28:49
» Postado por: Black em outubro 1, 2004 10:28 AM, 213.112.195:
Hot
http://booty.black.us.com/
Black
http://adult.web-cams.us.com/
Booty
http://booty.black.us.com/
ebony
http://booty.black.us.com
» Postado por: SEX CAMS em outubro 3, 2004 10:26 PM, 217.144.0.1:
Free Sex Cams
http://web.sex-cams.us.com/
Adult Webcams
http://web.sex-cams.us.com/
Web Cams
http://web.sex-cams.us.com/
» Postado por: SEX CAMS em outubro 6, 2004 05:28 PM, 202.83.174.:
Free Sex Cams
http://web.sex-cams.us.com/
Adult Webcams
http://web.sex-cams.us.com/
Web Cams
http://web.sex-cams.us.com/
O Arquivo Histórico do BR-Linux.org mantém no ar (sem alteração, exceto quanto à formatação) notícias, artigos e outros textos publicados originalmente no site na segunda metade da década de 1990 e na primeira década do século XXI, que contam parte considerável a história do Linux e do Open Source no Brasil. Exceto quando indicado em contrário, a autoria dos textos é de Augusto Campos, e os termos de uso podem ser consultados na capa do BR-Linux.org. Considerando seu caráter histórico, é provável que boa parte dos links estejam quebrados, e que as informações deste texto estejam desatualizadas.