[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Ottobre 2002 ml@sikurezza.org Soggetto: Re: R: R: Ipsec on RH 7.2 Mittente: Andrea Gelpi Data: 3 Oct 2002 11:37:03 -0000
Salve, dopo un po' di prove ho trovato un modo di far funzionare la cosa. Il problema sta nel fatto che freeswan non è in grado di sapere se dall'altro lato la vpn viene chiusa, quindi l'unico modo per chiudere la vpn è impedire il rinnovo della chiave e cambiare il tempo di vita della chiave stessa. Quinid l'uso di rekey e keylife mi ha permesso di far in modo che se non c'è attività la vpn si chiude. Volendo poi fare in modo che sia uno solo dei due lati ad avere la possibilità di aprire la vpn è stato sufficiente impedire al firewall che dirige le operazioni di ricevere nuove sessioni UDP sulla porta 500. In altre parole non accetta l'inizio dello scambio IKE. Mettendo infine start=route sul firewall ottengo che la vpn viene tirata su anche soltanto dal client e non è più necessario agire fisicamente sul firewall. -- Gelpi ing. Andrea --------------------------------------------------------------- "It took the computing power of three C-64s to fly to the Moon. It takes a 486 to run Windows 95. Something is wrong here." --------------------------------------------------------------- Luigi Iotti writes: > Ora capisco; non mi è ancora capitata un'esigenza del genere quindi posso > solo fare supposizioni. > Il parametro rekey impostato a no, descritto sulla man page di ipsec.conf, > mi pare possa fare quanto cercato, si può tentare. > > Luigi > >> -----Messaggio originale----- >> Da: Andrea Gelpi [mailto:liste@gelpi.it] >> Inviato: sabato 28 settembre 2002 22.24 >> A: ml@sikurezza.org >> Oggetto: Re: R: Ipsec on RH 7.2 >> >> >> Salve, >> ho auto=add su entrambi i FW. Quello che mi succede è che se do >> il comando >> ipsec auto --up nome_connessione su un firewall la VPN va su. >> Se poi dallo stesso FW do ipsec auto --down nome_connessione >> questa va giù >> localmente, ma rimane attiva dall'altra parte e dopo un po' >> l'altra parte mi >> manda un UDP 500 per ritirarla su. >> A me servirebbe poter tirar su (e questo funziona) e giù la VPN dando >> comandi solo da un lato. >> >> -- >> Gelpi ing. Andrea >> --------------------------------------------------------------- >> "It took the computing power of three C-64s to fly to the Moon. >> It takes a 486 to run Windows 95. Something is wrong here." >> --------------------------------------------------------------- >> >> >> >> Luigi Iotti writes: >> >> > Suppongo che per quanto riguarda il primo problema sia stato >> istituito un >> > tunnel protetto tra la le 2 reti private, non tra il i 2 fw. >> C'è differenza. >> > Per quanto riguarda il secondo, dovresti cambiare la riga auto=start in >> > auto=add sul fw che non deve tirare su la vpn. Vedi >> > http://www.freeswan.org/freeswan_snaps/CURRENT-SNAP/doc/config.html >> > >> > Luigi >> > >> >> -----Messaggio originale----- >> >> Da: Gelpi Andrea - Liste [mailto:liste@gelpi.it] >> >> Inviato: mercoledì 25 settembre 2002 13.37 >> >> A: ml@sikurezza.org >> >> Oggetto: R: Ipsec on RH 7.2 >> >> >> >> >> >> Salve, >> >> grazie per le risposte. >> >> Ho comunque fatto delle prove ignorando il messaggio >> >> d'avvertimento e la VPN >> >> fra le 2 reti funziona. >> >> Ho dovuto ovviamente aprire alcune cose sui firewall (UDP 500 >> e protocollo >> >> 50). >> >> Ho notato un comportamento che non so se è normale o se ho >> >> sbagliato qualche >> >> cosa nella configurazione. >> >> >> >> Se da un PC della lan A provo a pingare un PC della lan B con la VPN su >> >> tutto funziona. >> >> Se faccio la stessa operazione ma mettendomi sul Firewall >> della lan A il >> >> ping esce destinato all'IP privato della lan B anzichè l'IP >> pubblico del >> >> firewall. >> >> Mi spiego con un esempio. >> >> >> >> Lan A 192.168.0.0/24 >> >> Lan B 192.168.1.0/24 >> >> IP pub FW A 123.123.123.123 >> >> IP pub FW B 321.321.321.321 >> >> >> >> Se dal PC 123.123.123.123 lancio ping 192.168.1.5 il firewall logga un >> >> output packet con source 123.123.123.123 e destination 192.168.1.5 >> >> dall'interfaccia ipsec0 che non funziona. Infatti sul firewall >> >> della rete B >> >> non arriva nulla. >> >> Se mi metto sul Pc 192.168.0.5 e do lo stesso comando il >> firewall logga un >> >> output packet da 192.168.0.5 a 192.168.1.5 sempre da ipsec0 che invece >> >> funziona. >> >> >> >> Secondo voi il problema è nella configurazione del firewall o >> di ipsec? >> >> >> >> Il secondo problema che ho è che se dal firewall A chiudo la >> >> connessione con >> >> ipsec auto --down nome della connessione dopo un po' di tempo la >> >> connessione >> >> viene riaperta da parte del firewall B. >> >> Io invece vorrei che fosse solo A a decidere quando aprire o >> chiudere la >> >> VPN. >> >> Dove sbaglio? >> >> >> >> -- >> >> Gelpi ing. Andrea >> >> -------------------------------------------------------------- >> >> It took the computing power of three C-64s to fly to the Moon. >> >> It takes a 486 to run Windows 95. Something is wrong here. >> >> -------------------------------------------------------------- >> >> ________________________________________________________ >> http://www.sikurezza.org - Italian Security Mailing List > > > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List > ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005