Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

WAN e L2tp/ipsec

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
zannotti



Registrato: 11/11/08 15:09
Messaggi: 12

MessaggioInviato: Dom Dic 14, 2008 1:03 am    Oggetto: WAN e L2tp/ipsec Rispondi citando

Ciao a tutti.....
problema..... o forse no......
ho configurato un fw ZS ed il servizio per l' host to lan l2tp/ipsec.
Ho configurato un client XP, la cui connessione, se lanciata da lan verso l'ip dell' interfaccia lan funziona perfettamente; ritengo quindi di aver configurato correttamente i certificati.
Se da un altro accesso ad internet, sempre con lo stesso client, punto alla wan del fw, la connessione non avviene ed ottengo il seguente log:

00:29:53 INFO: respond new phase 1 negotiation: 88.56.8.x[500]<=>87.16.89.132[500]
00:29:53 INFO: begin Identity Protection mode.
00:29:53 INFO: received broken Microsoft ID: MS NT5 ISAKMPOAKLEY
00:29:53 INFO: received Vendor ID: FRAGMENTATION
00:29:53 INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
00:29:53 INFO: ISAKMP-SA established 88.56.8.x[500]-87.16.89.132[500] spi:bb7a07829a53e53c:4c7feb06426dcc75
00:29:53 INFO: respond new phase 2 negotiation: 88.56.8.x[500]<=>87.16.89.132[500]
00:29:53 INFO: Update the generated policy : 192.168.0.15/32[1701] 88.56.8.x/32[1701] proto=udp dir=in
00:29:53 INFO: IPsec-SA established: ESP/Transport 87.16.89.132[0]->88.56.8.x[0] spi=65720708(0x3ead184)
00:29:53 INFO: IPsec-SA established: ESP/Transport 88.56.8.x[0]->87.16.89.132[0] spi=1461531512(0x571d3378)
00:29:53 ERROR: such policy does not already exist: "192.168.0.15/32[1701] 88.56.8.x/32[1701] proto=udp dir=in"
00:29:53 ERROR: such policy does not already exist: "88.56.8.x/32[1701] 192.168.0.15/32[1701] proto=udp dir=out"
00:34:36 INFO: IPsec-SA expired: ESP/Transport 79.18.95.153[0]->88.56.8.x[0] spi=72751302(0x45618c6)
00:34:36 INFO: IPsec-SA expired: ESP/Transport 88.56.8.x[0]->79.18.95.153[0] spi=1670201065(0x638d3ee9)

mi pare di capire che il tunnel ipsec venga regolarmente aperto, ma dopo ci siano dei problemi con l'instradamento del client, che si presenta con il suo ip nella rete nativa.....
Sad Spulciando il forum ho trovato un post di Fulvio che diceva che l2tp/ipsec non poteva funzionare se non con un modem direttamente connesso al fw per gestire una connessione pppOe, ed io non mi trovo in questa situazione, ma nella piu' classica in cui vi e' un router che gestisce una connessione pppOa con un pool di indirizzi pubblici statici.
Tutto ciò è ancora valido?
Avendo la necessitò di individuare due tipologie di client tramite regole su fw, vorrei utilizzare contemporaneamente anche openvpn, che già funziona regolarmente.

c'e' rimedio o passo tutto a openvpn?

HELP! HELP! HELP!
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Dom Dic 14, 2008 8:47 am    Oggetto: Rispondi citando

Mi pare di capire che dal lato client hai il NAT.
Presumo che non stia funzionando il NAT-T per IPsec. Lo hai abilitato?

Ciao
Fulvio
Top
Profilo Invia messaggio privato
zannotti



Registrato: 11/11/08 15:09
Messaggi: 12

MessaggioInviato: Dom Dic 14, 2008 10:20 am    Oggetto: Rispondi citando

Ciao Fulvio,
innanzitutto grazie per la velocissima risposta.......
lessi anche del NAT-T, ma uso la B11 ed attivandolo ricevevo sempre il messaggio:
WARNING: NAT Traversal does not work in this release!!!
la cosa mi depistava..... è un bug?
Sad comunque lo ho attivato e dai log sembra che la funzione si abiliti, ma il risultato, se pure con i cambiamenti del caso nel log non cambia......
il fw, del resto non ha subito alcuna configurazione particolare rispetto al default, se non la rigenerazione del certificato della CA prima di generare i certificati host e client per openvpn e l2tp.....
ripeto, la cosa curiosa e che da lan funziona.....
attualmente il servizio openvpn è fermo........ sono in qualche modo collegati?
nel log sottostante, 88.56.8.x è l'indirizzo wan del fw, mentre 82.55.91.192 è l' indirizzo con il quale si presenta al fw il client dietro nat al momento della prova....


di nuovo HELP! HELP! HELP!


09:52:15 INFO: @(#)ipsec-tools 0.6.4 (http://ipsec-tools.sourceforge.net)
09:52:15 INFO: @(#)This product linked OpenSSL 0.9.8i 15 Sep 2008 (http://www.openssl.org/)
09:52:18 NOTIFY: NAT-T is enabled, autoconfiguring ports
09:52:18 INFO: 127.0.0.1[500] used as isakmp port (fd=6)
09:52:18 INFO: 127.0.0.1[500] used for NAT-T
09:52:18 INFO: 127.0.0.1[4500] used as isakmp port (fd=7)
09:52:18 INFO: 127.0.0.1[4500] used for NAT-T
09:52:18 INFO: 192.168.0.1[500] used as isakmp port (fd=Cool
09:52:18 INFO: 192.168.0.1[500] used for NAT-T
09:52:18 INFO: 192.168.0.1[4500] used as isakmp port (fd=9)
09:52:18 INFO: 192.168.0.1[4500] used for NAT-T
09:52:18 INFO: 88.56.8.x[500] used as isakmp port (fd=10)
09:52:18 INFO: 88.56.8.x[500] used for NAT-T
09:52:18 INFO: 88.56.8.x[4500] used as isakmp port (fd=11)
09:52:18 INFO: 88.56.8.x[4500] used for NAT-T
09:52:18 INFO: 10.0.0.1[500] used as isakmp port (fd=12)
09:52:18 INFO: 10.0.0.1[500] used for NAT-T
09:52:18 INFO: 10.0.0.1[4500] used as isakmp port (fd=13)
09:52:18 INFO: 10.0.0.1[4500] used for NAT-T
09:52:18 INFO: 192.168.141.142[500] used as isakmp port (fd=14)
09:52:18 INFO: 192.168.141.142[500] used for NAT-T
09:52:18 INFO: 192.168.141.142[4500] used as isakmp port (fd=15)
09:52:18 INFO: 192.168.141.142[4500] used for NAT-T
09:52:18 INFO: 192.168.250.254[500] used as isakmp port (fd=16)
09:52:18 INFO: 192.168.250.254[500] used for NAT-T
09:52:18 INFO: 192.168.250.254[4500] used as isakmp port (fd=17)
09:52:18 INFO: 192.168.250.254[4500] used for NAT-T
09:52:18 INFO: 192.168.142.142[500] used as isakmp port (fd=1Cool
09:52:18 INFO: 192.168.142.142[500] used for NAT-T
09:52:18 INFO: 192.168.142.142[4500] used as isakmp port (fd=19)
09:52:18 INFO: 192.168.142.142[4500] used for NAT-T
09:52:49 INFO: respond new phase 1 negotiation: 88.56.8.x[500]<=>82.55.91.192[500]
09:52:49 INFO: begin Identity Protection mode.
09:52:49 INFO: received broken Microsoft ID: MS NT5 ISAKMPOAKLEY
09:52:49 INFO: received Vendor ID: FRAGMENTATION
09:52:49 INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
09:52:49 INFO: Selected NAT-T version: draft-ietf-ipsec-nat-t-ike-02
09:52:49 INFO: Hashing 88.56.8.x[500] with algo #1
09:52:49 INFO: NAT-D payload #0 verified
09:52:49 INFO: Hashing 82.55.91.192[500] with algo #1
09:52:49 INFO: NAT-D payload #1 doesn't match
09:52:49 INFO: NAT detected: PEER
09:52:49 INFO: Hashing 82.55.91.192[500] with algo #1
09:52:49 INFO: Hashing 88.56.8.x[500] with algo #1
09:52:49 INFO: Adding remote and local NAT-D payloads.
09:52:49 INFO: NAT-T: ports changed to: 82.55.91.192[10598]<->88.56.8.x[4500]
09:52:49 INFO: KA list add: 88.56.8.x[4500]->82.55.91.192[10598]
09:52:49 INFO: ISAKMP-SA established 88.56.8.x[4500]-82.55.91.192[10598] spi:49509991252e31a8:0b7fbacf481380ff
09:52:50 INFO: respond new phase 2 negotiation: 88.56.8.x[4500]<=>82.55.91.192[10598]
09:52:50 INFO: no policy found, try to generate the policy : 82.55.91.192/32[10598] 88.56.8.x/32[1701] proto=udp dir=in
09:52:50 INFO: Adjusting my encmode UDP-Transport->Transport
09:52:50 INFO: Adjusting peer's encmode UDP-Transport(61444)->Transport(2)
09:52:50 INFO: IPsec-SA established: ESP/Transport 82.55.91.192[10598]->88.56.8.x[4500] spi=93683151(0x5957dcf)
09:52:50 INFO: IPsec-SA established: ESP/Transport 88.56.8.x[4500]->82.55.91.192[10598] spi=3032163433(0xb4bb2469)
09:52:50 ERROR: such policy does not already exist: "82.55.91.192/32[10598] 88.56.8.x/32[1701] proto=udp dir=in"
09:52:50 ERROR: such policy does not already exist: "88.56.8.x/32[1701] 82.55.91.192/32[10598] proto=udp dir=out"
09:53:25 INFO: purging ISAKMP-SA spi=49509991252e31a8:0b7fbacf481380ff.
09:53:25 INFO: purged ISAKMP-SA spi=49509991252e31a8:0b7fbacf481380ff.
09:53:26 INFO: ISAKMP-SA deleted 88.56.8.x[4500]-82.55.91.192[10598] spi:49509991252e31a8:0b7fbacf481380ff
09:53:26 INFO: KA remove: 88.56.8.x[4500]->82.55.91.192[10598]
Top
Profilo Invia messaggio privato
ltpitt



Registrato: 02/08/11 11:15
Messaggi: 19

MessaggioInviato: Mar Ott 11, 2011 11:43 am    Oggetto: Rispondi citando

hi all!

I have the same problem and can't update (lots of users involved) to a version using T-NAT...

Is there any way to change those ip:

12:26:18 INFO: 192.168.142.142[500] used as isakmp port (fd=16)
12:26:18 INFO: 192.168.142.142[500] used for NAT-T


So I can log in back again?

Thanks!

Ehm scusate! Very Happy

Dicevo: ho lo stesso problema (randomico: a volte va altre no)...

Non c'è un modo di cambiare questo ip usato per la isakmp port?
Top
Profilo Invia messaggio privato
ltpitt



Registrato: 02/08/11 11:15
Messaggi: 19

MessaggioInviato: Mar Ott 11, 2011 1:36 pm    Oggetto: Rispondi citando

Allora ho verificato un paio di cose...

Innanzitutto aggiornare la versione di zeroshell è stato banale come inserire il cd della versione nuova.

Ora ho una splendida beta16 in funzione con tutti i settaggi e gli utenti vecchi.

Il problema permane, identico. O_O
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it