Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

zeroshell beta4 & vpn

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
linuxman74



Registrato: 28/02/07 08:31
Messaggi: 56

MessaggioInviato: Mer Mar 07, 2007 6:07 pm    Oggetto: zeroshell beta4 & vpn Rispondi citando

Ho notato una cosa. Con la beta3 la vpn funzionava host-to-lan perfettamente. Metto la beta4 e non funziona piu', il database di configurazione ovviamente e' lo stesso.
Ho notato anche qusta cosa nei log:
17:55:21 WARNING: NAT Traversal does not work in this release!!!
Mentre nella beta3 funzionava alla grande (si veda un mio post di qualche giorno fa)
Anche a voi succede la stessa cosa?
Top
Profilo Invia messaggio privato
linuxman74



Registrato: 28/02/07 08:31
Messaggi: 56

MessaggioInviato: Mer Mar 07, 2007 6:42 pm    Oggetto: Rispondi citando

Ho fatto la prova del 9
HO appena fatto il boot col vecchio cd della bet3 e automaticamente la vpn ha ripreso a funzionare in tutto il suo splendore!!!
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Mer Mar 07, 2007 8:23 pm    Oggetto: Rispondi citando

Potresti postare i log del processo racoon che si occupa di negoziare IPSec?
e anche quelli di radius?

Ciao
Fulvio
Top
Profilo Invia messaggio privato
cristian.colombini



Registrato: 31/01/07 17:40
Messaggi: 54

MessaggioInviato: Mer Mar 07, 2007 9:45 pm    Oggetto: Rispondi citando

confermo che anche io con la beta4 sto avendo gli stessi problemi...grazie ciao
_________________
Cristian
Top
Profilo Invia messaggio privato Invia e-mail MSN
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Mer Mar 07, 2007 10:02 pm    Oggetto: Rispondi citando

Visualizzando la chain di INPUT del firewall, trovate dei riferimenti
alla chain SYS_INPUT come quelli che segueno?

Chain INPUT (policy ACCEPT 448 packets, 63422 bytes)
pkts bytes target prot opt in out source destination
1618 182K SYS_INPUT all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 SYS_HTTPS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
900 77303 SYS_HTTPS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443

Se per caso la chain INPUT è vuota, dovreste creare una regola qualsiasi e poi cancellarla. In questo modo dovrebbe crearsi la SYS_INPUT.

Fatemi sapere e comunque mandatemi i log di racoon e il messaggio di errore di Windows.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
cristian.colombini



Registrato: 31/01/07 17:40
Messaggi: 54

MessaggioInviato: Mer Mar 07, 2007 10:56 pm    Oggetto: Rispondi citando

ciao Fulvio
ora sembra tutto ok...
devo però ammettere che ho creato la cfg con la beta3...ora sono partito con la beta4 e funziona....se riesco più tardi ti mando ciò che hai chiesto...ciao
_________________
Cristian
Top
Profilo Invia messaggio privato Invia e-mail MSN
linuxman74



Registrato: 28/02/07 08:31
Messaggi: 56

MessaggioInviato: Gio Mar 08, 2007 9:57 am    Oggetto: Rispondi citando

Questi i log di racoon:
18:38:20 ERROR: rejected hashtype: DB(prop#1:trns#1):Peer(prop#1:trns#3) = MD5:SHA
18:38:20 ERROR: rejected dh_group: DB(prop#1:trns#1):Peer(prop#1:trns#3) = 1024-bit MODP group:768-bit MODP group
18:38:20 ERROR: rejected enctype: DB(prop#1:trns#1):Peer(prop#1:trns#4) = 3DES-CBC:DES-CBC
18:38:20 ERROR: rejected authmethod: DB(prop#1:trns#1):Peer(prop#1:trns#4) = RSA signatures:pre-shared key
18:38:20 ERROR: rejected dh_group: DB(prop#1:trns#1):Peer(prop#1:trns#4) = 1024-bit MODP group:768-bit MODP group
18:38:20 ERROR: no suitable proposal found.
18:38:20 ERROR: failed to get valid proposal.
18:38:20 ERROR: failed to process packet.
18:38:28 INFO: respond new phase 1 negotiation: 85.43.42.243[500]<=>202.101.108.69[500]
18:38:28 INFO: begin Identity Protection mode.
18:38:28 INFO: received broken Microsoft ID: MS NT5 ISAKMPOAKLEY
18:38:28 INFO: received Vendor ID: FRAGMENTATION
18:38:28 INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
18:38:28 INFO: Selected NAT-T version: draft-ietf-ipsec-nat-t-ike-02
18:38:28 ERROR: rejected authmethod: DB(prop#1:trns#1):Peer(prop#1:trns#1) = RSA signatures:pre-shared key
18:38:28 ERROR: rejected hashtype: DB(prop#1:trns#1):Peer(prop#1:trns#1) = MD5:SHA
18:38:28 ERROR: rejected authmethod: DB(prop#1:trns#1):Peer(prop#1:trns#2) = RSA signatures:pre-shared key
18:38:28 ERROR: rejected enctype: DB(prop#1:trns#1):Peer(prop#1:trns#3) = 3DES-CBC:DES-CBC
18:38:28 ERROR: rejected authmethod: DB(prop#1:trns#1):Peer(prop#1:trns#3) = RSA signatures:pre-shared key
18:38:28 ERROR: rejected hashtype: DB(prop#1:trns#1):Peer(prop#1:trns#3) = MD5:SHA
18:38:28 ERROR: rejected dh_group: DB(prop#1:trns#1):Peer(prop#1:trns#3) = 1024-bit MODP group:768-bit MODP group
18:38:28 ERROR: rejected enctype: DB(prop#1:trns#1):Peer(prop#1:trns#4) = 3DES-CBC:DES-CBC
18:38:28 ERROR: rejected authmethod: DB(prop#1:trns#1):Peer(prop#1:trns#4) = RSA signatures:pre-shared key
18:38:28 ERROR: rejected dh_group: DB(prop#1:trns#1):Peer(prop#1:trns#4) = 1024-bit MODP group:768-bit MODP group
18:38:28 ERROR: no suitable proposal found.
18:38:28 ERROR: failed to get valid proposal.
18:38:28 ERROR: failed to process packet.
18:38:44 INFO: respond new phase 1 negotiation: 85.43.42.243[500]<=>202.101.108.69[500]
18:38:44 INFO: begin Identity Protection mode.
18:38:44 INFO: received broken Microsoft ID: MS NT5 ISAKMPOAKLEY
18:38:44 INFO: received Vendor ID: FRAGMENTATION
18:38:44 INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
18:38:44 INFO: Selected NAT-T version: draft-ietf-ipsec-nat-t-ike-02
18:38:44 ERROR: rejected authmethod: DB(prop#1:trns#1):Peer(prop#1:trns#1) = RSA signatures:pre-shared key
18:38:44 ERROR: rejected hashtype: DB(prop#1:trns#1):Peer(prop#1:trns#1) = MD5:SHA
18:38:44 ERROR: rejected authmethod: DB(prop#1:trns#1):Peer(prop#1:trns#2) = RSA signatures:pre-shared key
18:38:44 ERROR: rejected enctype: DB(prop#1:trns#1):Peer(prop#1:trns#3) = 3DES-CBC:DES-CBC
18:38:44 ERROR: rejected authmethod: DB(prop#1:trns#1):Peer(prop#1:trns#3) = RSA signatures:pre-shared key
18:38:44 ERROR: rejected hashtype: DB(prop#1:trns#1):Peer(prop#1:trns#3) = MD5:SHA
18:38:44 ERROR: rejected dh_group: DB(prop#1:trns#1):Peer(prop#1:trns#3) = 1024-bit MODP group:768-bit MODP group
18:38:44 ERROR: rejected enctype: DB(prop#1:trns#1):Peer(prop#1:trns#4) = 3DES-CBC:DES-CBC
18:38:44 ERROR: rejected authmethod: DB(prop#1:trns#1):Peer(prop#1:trns#4) = RSA signatures:pre-shared key
18:38:44 ERROR: rejected dh_group: DB(prop#1:trns#1):Peer(prop#1:trns#4) = 1024-bit MODP group:768-bit MODP group
18:38:44 ERROR: no suitable proposal found.
18:38:44 ERROR: failed to get valid proposal.
18:38:44 ERROR: failed to process packet.
18:39:16 ERROR: unknown Informational exchange received.


Poi volevo dirti, che nella beta3 la chain di input e' vuota, ma comunque funziona tutto.

Poi volevo farti un'altra domanda. Facciamo finta che voglio che la mia lan possa solo uscire in http.
Allora metto la chain di forward in drop default, e poi faccio una regola che permette alla mia lan di navigare:

Chain FORWARD (policy DROP 1 packets, 40 bytes)
pkts bytes target prot opt in out source destination
0 0 LOG tcp -- ETH00 ETH01 192.168.0.0/24 0.0.0.0/0 tcp dpt:80 limit: avg 10/min burst 15 LOG flags 0 level 4 prefix `FORWARD/001'
0 0 ACCEPT tcp -- ETH00 ETH01 192.168.0.0/24 0.0.0.0/0 tcp dpt:80

Perche' non funziona? La lan continua a non navigare. Devo togliere il drop default sulla chain forward. Ti chiedo questo perche' sono abituato a ragionare per "chiudo tutto e apro solo quello che serve" invece per "chiudo le porte che non devono essere utilizzate"
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Gio Mar 08, 2007 7:48 pm    Oggetto: Rispondi citando

Purtroppo per la VPN non riesco a capire cosa sia potuto accadere. Io ho provato più volte e a me funziona tutto tranne che il NAT-T che spero di far funzionare nelle prossime release e infatti mi sono meravigliato che nella beta3 ti stia funzionando.

Per quel che riguarda il firewall, tu permetti ai pacchetti diretti alla porta 80 di uscire e raggiungere il server http ma non permetti a quelli che tornano dal server di passare.
Dovresti o scriverti una regola complementare a quella che hai scritto oppure più semplicemente mettere una regola con i flag ESTABLISH e RELATED attivi.
In questa maniere qualsiasi pacchetto che venga dalla WAN e che sia correlato ad una connessione richiesta dalla LAN riesce a passare. Questo è classico nei firewall di tipo SPI.

PS: se scopri qualcosa sulle VPN l2tp/IPSec fammi sapere.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
linuxman74



Registrato: 28/02/07 08:31
Messaggi: 56

MessaggioInviato: Ven Mar 09, 2007 9:09 am    Oggetto: Rispondi citando

Ok, per la vpn ti faro' sapere se scopro qualcosa. Comunque ti garantisco che il trasversal nat mi funziona sulla beta3, lo sto usando proprio qui nel mio ufficio!
Per il firewall mi e' tutto chiaro ora.... io davo per scontato che il default drop sulla chain di forward permettesse comunque il traffico in entrata per connessioni established.
Ok, poi volevo dirti che la possibilita' di avere i log anche del traffico droppato di default sarebbe utile.
Ciao.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it