Re: [ml] IPSEC under NAT with Zywall 35

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Gennaio 2007 ml@sikurezza.org
Soggetto: Re: [ml] IPSEC under NAT with Zywall 35
Mittente: Gelpi Andrea
Data: Fri, 19 Jan 2007 18:37:49 +0100 (CET)

Pietro Bertera wrote:

[cut]

Ho provato anche a bypassare la cosa con OpenVPN piazzato fra la Debian e una Debian dentro al LAN2, ma non riesco a gestire correttamente il Default gateway o meglio a far in modo che ciÃ che arriva dal device tun torni attraverso questo. Modificando le tabelle di routing non ci riesco in quanto se le tocco mando a pallino il funzionamento di OpenVpn.
Approssimativamente dovrebbe essere una cosa simile (vado a memoria):
Il file di configurazione di openvpn sulla debian con ip pubblico:
dev tun
remote ip.router.telecom
# i due indirizzi nel tunnel dei due end-point:
# il primo Ã locale
ifconfig 10.1.2.1 10.1.2.2
up /etc/openvpn/vpn.up

Buona questa idea, non ci avevo pensato. Avevo provato con i comandi di routing interni al file di conf e non funzionava.

secret /etc/openvpn/vpn.key
verb 3

il file /etc/openvpn/vpn.up Ã uno script che ti carica le rotte:

#!/bin/sh
ip route add 10.1.2.0/24 via $5 dev $1
ip route add 10.10.9.0/24 via $5 dev $1


Il problema sta qui.
Leggendo Linux Advanced Routing & Traffic Control HOWTO (http://lartc.org/howto/index.html)

ho realizzato piÃ volte reti con due interfacce in uscita. Su una di queste decido quale usare per uscire in funzione delle porte usate (http da una parte e ftp dall'altra) giocando con iptables e ip route.

In questo caso perÃ la configurazione che openvpn fa sul device tun Ã per una punto-punto.

Ho provato a creare sia una rete di soli 4 IP sul device tun, sia un host ma non Ã la stessa cosa, o comunque la cosa non funziona.

In altre parole non so come definire la route per la punto-punto usata da Openvpn.

Se provo a creare una route usando le definizioni che vedo in netstat e create da Openvpn dentro una table diversa da main, la cosa non funziona, e la vpn viene distrutta.

Al momento sono in grado di far funzionare solo la vpn fra le due reti locali, ma non a gestire la vpn come gateway per ciÃ che da essa Ã arrivato, se Ã partito da una rete diversa dall'altra lan.


Ciao,

	Pietro

--
ing. Andrea Gelpi
***************************************************
La Terra non la abbiamo ereditata dai nostri avi,
ma la abbiamo presa in prestito dai nostri bambini.
***************************************************

In risposta a:
- [ml] IPSEC under NAT with Zywall 35, Gelpi Andrea
- Re: [ml] IPSEC under NAT with Zywall 35, Pietro Bertera

Data:
- precedente: [ml] antivirus free per windows, marco misitano
- successivo: Re: [ml] client MSN, angus
- indice

Argomento:
- precedente: Re: [ml] IPSEC under NAT with Zywall 35, Pietro Bertera
- successivo: [ml] IPSEC under NAT with Zywall 35, Alfredo Cozzino
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005