R: Ipsec on RH 7.2

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Settembre 2002 ml@sikurezza.org
Soggetto: R: Ipsec on RH 7.2
Mittente: Luigi Iotti
Data: 28 Sep 2002 12:54:19 -0000

Suppongo che per quanto riguarda il primo problema sia stato istituito un
tunnel protetto tra la le 2 reti private, non tra il i 2 fw. C'è differenza.
Per quanto riguarda il secondo, dovresti cambiare la riga auto=start in
auto=add sul fw che non deve tirare su la vpn. Vedi
http://www.freeswan.org/freeswan_snaps/CURRENT-SNAP/doc/config.html

Luigi

> -----Messaggio originale-----
> Da: Gelpi Andrea - Liste [mailto:liste@gelpi.it]
> Inviato: mercoledì 25 settembre 2002 13.37
> A: ml@sikurezza.org
> Oggetto: R: Ipsec on RH 7.2
>
>
> Salve,
> 	grazie per le risposte.
> Ho comunque fatto delle prove ignorando il messaggio
> d'avvertimento e la VPN
> fra le 2 reti funziona.
> Ho dovuto ovviamente aprire alcune cose sui firewall (UDP 500 e protocollo
> 50).
> Ho notato un comportamento che non so se è normale o se ho
> sbagliato qualche
> cosa nella configurazione.
>
> Se da un PC della lan A provo a pingare un PC della lan B con la VPN su
> tutto funziona.
> Se faccio la stessa operazione ma mettendomi sul Firewall della lan A il
> ping esce destinato all'IP privato della lan B anzichè l'IP pubblico del
> firewall.
> Mi spiego con un esempio.
>
> Lan A 192.168.0.0/24
> Lan B 192.168.1.0/24
> IP pub FW A	123.123.123.123
> IP pub FW B 321.321.321.321
>
> Se dal PC 123.123.123.123 lancio ping 192.168.1.5 il firewall logga un
> output packet con source 123.123.123.123 e destination 192.168.1.5
> dall'interfaccia ipsec0 che non funziona. Infatti sul firewall
> della rete B
> non arriva nulla.
> Se mi metto sul Pc 192.168.0.5 e do lo stesso comando il firewall logga un
> output packet da 192.168.0.5 a 192.168.1.5 sempre da ipsec0 che invece
> funziona.
>
> Secondo voi il problema è nella configurazione del firewall o di ipsec?
>
> Il secondo problema che ho è che se dal firewall A chiudo la
> connessione con
> ipsec auto --down nome della connessione dopo un po' di tempo la
> connessione
> viene riaperta da parte del firewall B.
> Io invece vorrei che fosse solo A a decidere quando aprire o chiudere la
> VPN.
> Dove sbaglio?
>
> --
> Gelpi ing. Andrea
> --------------------------------------------------------------
> It took the computing power of three C-64s to fly to the Moon.
> It takes a 486 to run Windows 95. Something is wrong here.
> --------------------------------------------------------------
>
> > -----Messaggio originale-----
> > Da: Luigi Iotti [mailto:luigi@iotti.biz]
> > Inviato: martedì 24 settembre 2002 14.52
> > A: ml@sikurezza.org
> > Oggetto: R: Ipsec on RH 7.2
> >
> >
> > Quando rp_filter è impostato a 1 viene effettuato un controllo
> > sui pacchetti
> > in arrivo: viene preso l'indirizzo sorgente del pacchetto;
> viene fatto un
> > lookup sulla routing table per stabilire su quale interfaccia dovrebbe
> > uscire un ipotetico pacchetto che avesse com DESTINAZIONE tale
> > indirizzo (in
> > pratica, viene stabilito quale interfaccia 'punta' verso la rete
> > sorgente);
> > si confronta questa interfaccia con quella su cui il pacchetto
> è arrivato
> > effettivamente. Se sono diverse, il pacchetto viene scartato, in quanto
> > presumibilmente si tratta di IP Spoofing.
> > Mettendolo a 0 impedisci questo controllo.
> >
> > Un controllo simile puoi effettuarlo anche con regole iptables,
> in modo da
> > escludere dal controllo la particolare rete che ti ha indotto a
> > impostare a
> > 0 l'rp_filter.
> >
> > HTH
> >
> > Luigi
> >
> > > -----Messaggio originale-----
> > > Da: Gelpi Andrea - Liste [mailto:liste@gelpi.it]
> > > Inviato: lunedì 23 settembre 2002 22.09
> > > A: Sikurezza ML
> > > Oggetto: Ipsec on RH 7.2
> > >
> > >
> > > Salve,
> > > 	sto provando gli rpm forniti da freeswan (www.freeswan.org)
> > > per attivare un
> > > tunnel ipsec fra due lan.
> > > Sulla RH 7.1 tutto è Ok.
> > > Sulla RH 7.2 e 7.3 dopo l'installazione degli rpm quando faccio
> > partire i
> > > servizi escono le seguenti 2 righe:
> > >
> > > ipsec_setup: WARNING: eth1 has route filtering turned on, KLIPS
> > > may not work
> > > ipsec_setup:  (/proc/sys/net/ipv4/conf/eth1/rp_filter = `1',
> > should be 0)
> > >
> > > Dopo una breve ricerca ho trovato scritto che per motivi di
> sicurezza è
> > > meglio lasciare ad uno tale valore.
> > >
> > > Che cosa rischio a metterlo a 0?
> > >
> > > Grazie,
> > > --
> > > Gelpi ing. Andrea
> > > --------------------------------------------------------------
> > > It took the computing power of three C-64s to fly to the Moon.
> > > It takes a 486 to run Windows 95. Something is wrong here.
> > > --------------------------------------------------------------
> > >
> > >
> > > ________________________________________________________
> > > http://www.sikurezza.org - Italian Security Mailing List
> >
> >
> > ________________________________________________________
> > http://www.sikurezza.org - Italian Security Mailing List
> >
> >
>
>
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Messaggi successivi:
- Re: R: Ipsec on RH 7.2, Andrea Gelpi

In risposta a:
- R: Ipsec on RH 7.2, Gelpi Andrea - Liste

Data:
- precedente: Re: mirror traffico client, Igor Falcomata'
- successivo: Re: sygate personal firewall (?), Dido
- indice

Argomento:
- precedente: Re: R: Ipsec on RH 7.2, Simone Piccardi
- successivo: Re: R: Ipsec on RH 7.2, Andrea Gelpi
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005