R: Ipsec on RH 7.2

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Settembre 2002 ml@sikurezza.org
Soggetto: R: Ipsec on RH 7.2
Mittente: Gelpi Andrea - Liste
Data: 27 Sep 2002 11:41:55 -0000

Salve,
	grazie per le risposte.
Ho comunque fatto delle prove ignorando il messaggio d'avvertimento e la VPN
fra le 2 reti funziona.
Ho dovuto ovviamente aprire alcune cose sui firewall (UDP 500 e protocollo
50).
Ho notato un comportamento che non so se è normale o se ho sbagliato qualche
cosa nella configurazione.

Se da un PC della lan A provo a pingare un PC della lan B con la VPN su
tutto funziona.
Se faccio la stessa operazione ma mettendomi sul Firewall della lan A il
ping esce destinato all'IP privato della lan B anzichè l'IP pubblico del
firewall.
Mi spiego con un esempio.

Lan A 192.168.0.0/24
Lan B 192.168.1.0/24
IP pub FW A	123.123.123.123
IP pub FW B 321.321.321.321

Se dal PC 123.123.123.123 lancio ping 192.168.1.5 il firewall logga un
output packet con source 123.123.123.123 e destination 192.168.1.5
dall'interfaccia ipsec0 che non funziona. Infatti sul firewall della rete B
non arriva nulla.
Se mi metto sul Pc 192.168.0.5 e do lo stesso comando il firewall logga un
output packet da 192.168.0.5 a 192.168.1.5 sempre da ipsec0 che invece
funziona.

Secondo voi il problema è nella configurazione del firewall o di ipsec?

Il secondo problema che ho è che se dal firewall A chiudo la connessione con
ipsec auto --down nome della connessione dopo un po' di tempo la connessione
viene riaperta da parte del firewall B.
Io invece vorrei che fosse solo A a decidere quando aprire o chiudere la
VPN.
Dove sbaglio?

--
Gelpi ing. Andrea
--------------------------------------------------------------
It took the computing power of three C-64s to fly to the Moon.
It takes a 486 to run Windows 95. Something is wrong here.
--------------------------------------------------------------

> -----Messaggio originale-----
> Da: Luigi Iotti [mailto:luigi@iotti.biz]
> Inviato: martedì 24 settembre 2002 14.52
> A: ml@sikurezza.org
> Oggetto: R: Ipsec on RH 7.2
>
>
> Quando rp_filter è impostato a 1 viene effettuato un controllo
> sui pacchetti
> in arrivo: viene preso l'indirizzo sorgente del pacchetto; viene fatto un
> lookup sulla routing table per stabilire su quale interfaccia dovrebbe
> uscire un ipotetico pacchetto che avesse com DESTINAZIONE tale
> indirizzo (in
> pratica, viene stabilito quale interfaccia 'punta' verso la rete
> sorgente);
> si confronta questa interfaccia con quella su cui il pacchetto è arrivato
> effettivamente. Se sono diverse, il pacchetto viene scartato, in quanto
> presumibilmente si tratta di IP Spoofing.
> Mettendolo a 0 impedisci questo controllo.
>
> Un controllo simile puoi effettuarlo anche con regole iptables, in modo da
> escludere dal controllo la particolare rete che ti ha indotto a
> impostare a
> 0 l'rp_filter.
>
> HTH
>
> Luigi
>
> > -----Messaggio originale-----
> > Da: Gelpi Andrea - Liste [mailto:liste@gelpi.it]
> > Inviato: lunedì 23 settembre 2002 22.09
> > A: Sikurezza ML
> > Oggetto: Ipsec on RH 7.2
> >
> >
> > Salve,
> > 	sto provando gli rpm forniti da freeswan (www.freeswan.org)
> > per attivare un
> > tunnel ipsec fra due lan.
> > Sulla RH 7.1 tutto è Ok.
> > Sulla RH 7.2 e 7.3 dopo l'installazione degli rpm quando faccio
> partire i
> > servizi escono le seguenti 2 righe:
> >
> > ipsec_setup: WARNING: eth1 has route filtering turned on, KLIPS
> > may not work
> > ipsec_setup:  (/proc/sys/net/ipv4/conf/eth1/rp_filter = `1',
> should be 0)
> >
> > Dopo una breve ricerca ho trovato scritto che per motivi di sicurezza è
> > meglio lasciare ad uno tale valore.
> >
> > Che cosa rischio a metterlo a 0?
> >
> > Grazie,
> > --
> > Gelpi ing. Andrea
> > --------------------------------------------------------------
> > It took the computing power of three C-64s to fly to the Moon.
> > It takes a 486 to run Windows 95. Something is wrong here.
> > --------------------------------------------------------------
> >
> >
> > ________________________________________________________
> > http://www.sikurezza.org - Italian Security Mailing List
>
>
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List
>
>


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Messaggi successivi:
- R: Ipsec on RH 7.2, Luigi Iotti
- Re: R: Ipsec on RH 7.2, Simone Piccardi
- Re: R: Ipsec on RH 7.2, Simo Sorce

In risposta a:
- R: Ipsec on RH 7.2, Luigi Iotti

Data:
- precedente: mirror traffico client, Vincenzo Agosto
- successivo: Re: Autenticazione e wireless, Simo Sorce
- indice

Argomento:
- precedente: R: Ipsec on RH 7.2, Luigi Iotti
- successivo: Re: R: Ipsec on RH 7.2, Simo Sorce
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005