IPSEC - prechod z ISA serveru

Josef Hrabec hrabec at naxo.net
Mon Apr 20 10:28:22 CEST 2009

Previous message: balancing SMTP v multihomed siti (was: "Dva NATy" za jednim strojem)
Next message: IPSEC - prechod z ISA serveru
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Ahoj,
chteli bychom v praci zrusit Windows ISA server, ktery slouzi pro VPN
pripojeni postavene na IPSEC a nahradit jej strojem s FreeBSD. Ackoliv se mi
pravdepodobne podarilo uspesne projit prvni a druhou fazi vymeny klicu a
tunel tak dostat do stavu established, nedari se mi skrz nej procpat zadny
paket.

Pri spusteni racoon-u lze pozorovat, jak z pocatku "nedela nic" a teprve ve
chvili, kdy se ze stroje za timto routerem posle echo paket na druhou stranu
zacne na externim rozhrani provoz nejprve ike paketu, ktere posleze nahradi
provoz jiz pouze esp paketu. Ruku v ruce s tim, se take zacne plnit log
daemonu racoon. Coz by snad melo byt v poradku. Sit, za routerem i nakonci
tunelu je vytvorena z verenych IP. Pri testovani ruznych variant konfigurace
jsem vytusil, ze ISA bude pravdepodobne jako indentifikator v tunelu
pouzivat svou interni IP. Mozna to je proto, protoze interni subnet je
definovan z pohledu toho Win ISA serveru jako tzv. perimetr - coz je podle
vseho v reci microsoftu subnet ktery je povazovan za DMZ.

Jadro FreeBSD mam skompilovano s temito parametry:
     options IPSEC
     options IPSEC_DEBUG
     device crypto

nasledne jsem zkusil do jadra pridal take:
     options IPSEC_FILTERTUNNEL

Dale jsem zkusil do jadra pridat podporu enc:
    device enc
Ale kdyz na vzniklem interface enc0 spustim tcpdump, tak se zadne pakety
nezobrazi.

Routovani je funkcni, z klienta se lze dostat na libovolny jiny pocitac na
internetu. Firewall je spusten jako open bez dalsich uprav.

Pouzivam FreeBSD 7.1 release

Dekuji predem za jakykoliv postreh nebo radu, jak toto sprovoznit,
Pepa.

Log daemonu racoon:
http://touch.hrabec.org/isa/racoon.log.txt

vypis setkey -D
http://touch.hrabec.org/isa/setkey.d.txt

vypis setkey -PD
http://touch.hrabec.org/isa/setkey.pd.txt

nastaveni ISA serveru pro phase 1:
http://touch.hrabec.org/isa/phase1.jpg

nastaveni ISA serveru pro phase 2:
http://touch.hrabec.org/isa/phase2.jpg

nastaveni connection na ISA serveru:
http://touch.hrabec.org/isa/connection.jpg

konfiguracni soubor racoon.conf:
http://touch.hrabec.org/isa/racoon.conf.txt

topologie:
http://touch.hrabec.org/isa/topology.txt

Previous message: balancing SMTP v multihomed siti (was: "Dva NATy" za jednim strojem)
Next message: IPSEC - prechod z ISA serveru
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list