Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Zeroshell & VPN

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
voodoo



Registrato: 27/12/06 10:10
Messaggi: 3

MessaggioInviato: Mer Dic 27, 2006 2:10 pm    Oggetto: Zeroshell & VPN Rispondi citando

Per la VPN ho creato i certificati da installare su un client (utente "test" e certificato dell'host). Dopo vari tentativi (ed errori 781 in connessione) li ho installati al posto giusto (credo..) via mmc sul client XP. La connessione è tentata da un client XP dalla rete interna (dove c'è Zeroshell) con la connessione settata sull'indirizzo esterno.

Ora ricevo sempre un'errore tipo 800:

Errore 800: impossibile stabilire una connessione VPN. Il server VPN potrebbe non essere raggiungibile o i parametri di protezione potrebbero non essere configurati correttamente per la connessione.

Ho aperto sul firewall di Zeroshell le porte UDP/500 TCP/1194 e L2TP, ESP proto.

Sul log di racoon (?) vedo queste righe ogni volta che tento il collegamento:

13:51:20 INFO: respond new phase 1 negotiation: 83.181.244.38[500]<=>192.168.0.198[500]
13:51:20 INFO: begin Identity Protection mode.
13:51:20 INFO: received broken Microsoft ID: MS NT5 ISAKMPOAKLEY
13:51:20 INFO: received Vendor ID: FRAGMENTATION
13:51:20 INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
13:51:20 ERROR: ignore information because ISAKMP-SA has not been established yet.
13:51:20 ERROR: ignore information because ISAKMP-SA has not been established yet.


Che faccio? Butto via tutto e ricomincio? Dove sbaglio?

Un'ultima domanda: il firewall (senza regole aggiunte, cioè, così com'è quando Zeroshell parte la prima volta) è tutto aperto o tutto chiuso?

Aiutateme!

Roberto
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Mer Dic 27, 2006 5:00 pm    Oggetto: Rispondi citando

Ciao,
per le VPN di tipo L2TP/IPSec con client Windows XP è necessario installare mediante mmc un certificato host con la relativa chiave privata all'interno dell'Account Computer. E' necessario installare anche il certificato della CA che firma il certificato del server VPN. Questo perché affinché il tunnel IPSec possa instaurarsi client e server si devono mutuamente autenticare.
Non è invece necessario installare un certificato X.509 di tipo user poiché l'autenticazione di L2TP avviene mediante username e password uguali a quelli utilizzate per creare l'utente nel KDC Kerberos 5 di Zeroshell.
Se si fanno delle prove di connessione dall'interno della LAN è necessario utilizzare l'indirizzo IP dell'interfaccia verso la LAN (probabilmente 192.168.0.75). Ciò perché se si utilizza l'indirizzo IP esterno (quello verso la WAN) ed è abilitato il NAT IPSec non funziona poiché in questa versione di Zeroshell il NAT-T funzionale male.
Se si è fatto già un test con l'IP sulla WAN prima di tentare con quello sulla LAN, sia il client che il server VPN potrebbero aver bisogno di un reboot.
Ovviamente nel caso in cui ci si trova con il proprio client all'esterno si dovrà utilizzare l'IP esterno del VPN server. In questo caso tutto funziona regolarmente.
Tali comportamenti anomali, saranno corretti nella prossima release di ZeroShell che permetterà l'autonegoziazione del NAT Traversal.
Infine, è da notare che il firewall di Zeroshell, per default è in ACCEPT e pertanto non è inizialmente necessaria alcuna configurazione per testare le VPN L2TP/IPSec.

Saluti
Fulvio
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it