VPN fecha, mas não trafega dados

marcelo_v
(usa Ubuntu)

Enviado em 17/11/2011 - 11:16h

Olá pessoal, tenho uma vpn, trocamos psk, tudo direitinho. Nos logs o ipsec0 (interface da vpn) estabiliza, mas quando dou um traceroute <ip_destino> fica:
1 * * *
2 * * *

Enfim, quero saber se tem algum comando que dê para visualizar onde meus pacotes (pode ser icmp, ping) está sendo barrado, sendo que o firewall é o Endian. Quando dou um tcpdump, se monitoro na interface eth0, vejo os pacotes, se monitoro na eth1( a mesma da ipsec0) não vejo nada.

Alguém tem alguma sugestão?

[]'s

danniel-lara
(usa Fedora)

Enviado em 17/11/2011 - 11:40h

já verificou o reoteamento?

marcelo_v
(usa Ubuntu)

Enviado em 17/11/2011 - 12:07h

regras e rotas? teoricamente estão todas feitas
ip ro:
<ip_destino> via <meu_gateway> dev ipsec0

Todos os pacotes estão liberados nas chains: FORWARD, INPUT, OUTPUT

/var/log/messages:

Nov 17 12:04:05 new_horus pluto[31692]: "<nome_conexão>" #29: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP+IKEv2ALLOW to replace #27 {using isakmp#1 msgid:580333d2 proposal=3DES(3)_192-SHA1(2)_160 pfsgroup=OAKLEY_GROUP_MODP1024}
Nov 17 12:04:06 new_horus pluto[31692]: "<nome_conexão>" #29: transition from state STATE_QUICK_I1 to state STATE_QUICK_I2
Nov 17 12:04:06 new_horus pluto[31692]: "<nome_conexão>" #29: STATE_QUICK_I2: sent QI2, IPsec SA established tunnel mode {ESP=>0x70a73608 <0x7d64809a xfrm=3DES_0-HMAC_SHA1 NATOA=none NATD=none DPD=none}



Outra coisa, aqui aparece que fechou. Quando tento com a interface web, aparece um ícone de "CLOSED". ALguém sabe pq?

Essa q fechou foi feita na unha.

magno_df
(usa Ubuntu)

Enviado em 17/11/2011 - 16:50h

Marcelo, quando se trabalha com firewall, tem que entender que o seu firewall é o gateway da sua rede, porem o firewall precisa enxergar o nexthope e este pode estar errado, geralmente é esta falha que acontece quando se trabalha com VPN e firewall, é importante verificar também como as rotas estão abertas e se as mascaras estão corretas.

marcelo_v
(usa Ubuntu)

Enviado em 18/11/2011 - 09:43h

As máscaras estavam erradas antes, porém isso já foi corrigido. no nosso .conf o leftnexthop é o nosso ip público, onde é setado tbm o leftid. temos a leftsubnet que é nossa rede local. o rightid é o ip público do camarada q queremos fechar a vpn, juntamente com a rightsubnet, q é a rede local dele (as máquinas q iremos conectar).

existe outra forma de configurar o nexthop ou é essa forma mesmo(meu ip público)?

valeu!

magno_df
(usa Ubuntu)

Enviado em 18/11/2011 - 15:30h

Marcelo,
Este é um exemplo da minha tabela de roteamento.

root@magno-casa:/media# route
Tabela de Roteamento IP do Kernel
Destino Roteador MáscaraGen. Opções Métrica Ref Uso Iface
default 192.168.1.1 0.0.0.0 UG 0 0 0 wlan0
link-local * 255.255.0.0 U 1000 0 0 wlan0
192.168.1.0 * 255.255.255.0 U 2 0 0 wlan0

Onde o destino default manda tudo (0.0.0.0) para a minha wlan0, com o gateway 192.168.1.1, ou seja, eu não preciso conhecer um determinado destino, mas o meu gateway sim.
A minha rede é /24, ou seja a minha máquina tratará como local qualquer máquina que estiver entre 192.168.1.2 á 254, e o host 255 é usado para mensagemns broadcast, o que não estiver nesta faixa será mandada para o gateway tratar, então o gateway tem que conhecer todas as lans atras da sua rede, o fato de o seu traceroute não mostrar nada, indica que o seu gateway não conhece a rede que você está tentando alcançar. È importante tambem verificar se as pontas da VPN estão UP.