Problema: VPN ipsec - Openswan e Sonicwall [RESOLVIDO]

tbksly
(usa Ubuntu)

Enviado em 28/03/2012 - 11:47h

Bom dia pessoal.
Acompanho algum material disponibilizado aqui na comunidade, mas sou novo como "postador" por assim dizer. Estou tentando fechar um VPN (ipsec com openswan) entre um servidor Ubuntu 11.10 que instalei e um Sonicwall. Pesquisei e utilizei alguns arquivos disponíveis aqui para o fazer.
Porém estou com alguns problemas que vou compartilhar em busca de ajuda.
O ambiente consiste em matriz e filial. Onde aqui na matriz temos o servidor Linux ligado em diretamente para a internet num link GVT. E na filial temos um Sonicwall também com IP valido.
Vamos as configs:

No sonicwall não tenho acesso a interface de gerenciamento, mas as configs são:

Peer: 200.175.218.99
Local Network: 10.20.31.0/24
Destination Network: 192.168.2.0/24

Encryption: 3DES
Authentication: SHA1
Life Time: 28800
Protocol: ESP

IKE authentication:
Shared Secret: senhadavpn

Local IKE ID: DC002B
Peer IKE ID: DC002A



/etc/ipsec.conf

version 2.0 # conforms to second version of ipsec.conf specification

config setup
interfaces=%defaultroute
plutodebug="parsing"
plutodebug=all
protostack=netkey
nat_traversal=yes

conn sonicwall #Nome da Conexa VPN

type= tunnel
left= 200.175.218.99
leftid=@DC002A
leftxauthclient=yes
right=189.73.152.112
rightsubnet=10.20.31.0/24
rightxauthserver=yes
rightid=@DC002B
keyingtries=1
pfs=yes
aggrmode=yes
auto=start
auth=esp
ike=3DES-SHA1-modp1024
esp=3DES-SHA1
ikelifetime=28800s
keylife=8h

/etc/ipsec.secrets

@DC002A @DC002B : PSK "senhadavpn"

Então, tentando iniciar tenho os seguintes resultados.
#service ipsec start
ipsec_setup: Starting Openswan IPsec U2.6.28/K3.0.0-16-generic-pae...

# ipsec auto --status
000 using kernel interface: netkey
000 interface lo/lo ::1
000 interface lo/lo 127.0.0.1
000 interface lo/lo 127.0.0.1
000 interface eth2/eth2 200.175.218.99
000 interface eth2/eth2 200.175.218.99
000 interface eth0/eth0 192.168.254.250
000 interface eth0/eth0 192.168.254.250
000 interface eth1/eth1 192.168.2.250
000 interface eth1/eth1 192.168.2.250
000 %myid = (none)
000 debug raw+crypt+parsing+emitting+control+lifecycle+klips+dns+oppo+controlmor e+pfkey+nattraversal+x509+dpd+oppoinfo
000
000 virtual_private (%priv):
000 - allowed 0 subnets:
000 - disallowed 0 subnets:
000 WARNING: Either virtual_private= is not specified, or there is a syntax
000 error in that line. 'left/rightsubnet=vhost:%priv' will not work!
000 WARNING: Disallowed subnets in virtual_private= is empty. If you have
000 private address space in internal use, it should be excluded!
000
000 algorithm ESP encrypt: id=2, name=ESP_DES, ivlen=8, keysizemin=64, keysizema x=64
000 algorithm ESP encrypt: id=3, name=ESP_3DES, ivlen=8, keysizemin=192, keysize max=192
000 algorithm ESP encrypt: id=6, name=ESP_CAST, ivlen=8, keysizemin=40, keysizem ax=128
000 algorithm ESP encrypt: id=7, name=ESP_BLOWFISH, ivlen=8, keysizemin=40, keys izemax=448
000 algorithm ESP encrypt: id=11, name=ESP_NULL, ivlen=0, keysizemin=0, keysizem ax=0
000 algorithm ESP encrypt: id=12, name=ESP_AES, ivlen=8, keysizemin=128, keysize max=256
000 algorithm ESP encrypt: id=13, name=ESP_AES_CTR, ivlen=8, keysizemin=160, key sizemax=288
000 algorithm ESP encrypt: id=14, name=ESP_AES_CCM_A, ivlen=8, keysizemin=128, k eysizemax=256
000 algorithm ESP encrypt: id=15, name=ESP_AES_CCM_B, ivlen=8, keysizemin=128, k eysizemax=256
000 algorithm ESP encrypt: id=16, name=ESP_AES_CCM_C, ivlen=8, keysizemin=128, k eysizemax=256
000 algorithm ESP encrypt: id=18, name=ESP_AES_GCM_A, ivlen=8, keysizemin=128, k eysizemax=256
000 algorithm ESP encrypt: id=19, name=ESP_AES_GCM_B, ivlen=8, keysizemin=128, k eysizemax=256
000 algorithm ESP encrypt: id=20, name=ESP_AES_GCM_C, ivlen=8, keysizemin=128, k eysizemax=256
000 algorithm ESP encrypt: id=22, name=ESP_CAMELLIA, ivlen=8, keysizemin=128, ke ysizemax=256
000 algorithm ESP encrypt: id=252, name=ESP_SERPENT, ivlen=8, keysizemin=128, ke ysizemax=256
000 algorithm ESP encrypt: id=253, name=ESP_TWOFISH, ivlen=8, keysizemin=128, ke ysizemax=256
000 algorithm ESP auth attr: id=1, name=AUTH_ALGORITHM_HMAC_MD5, keysizemin=128, keysizemax=128
000 algorithm ESP auth attr: id=2, name=AUTH_ALGORITHM_HMAC_SHA1, keysizemin=160 , keysizemax=160
000 algorithm ESP auth attr: id=5, name=AUTH_ALGORITHM_HMAC_SHA2_256, keysizemin =256, keysizemax=256
000 algorithm ESP auth attr: id=6, name=AUTH_ALGORITHM_HMAC_SHA2_384, keysizemin =384, keysizemax=384
000 algorithm ESP auth attr: id=7, name=AUTH_ALGORITHM_HMAC_SHA2_512, keysizemin =512, keysizemax=512
000 algorithm ESP auth attr: id=8, name=AUTH_ALGORITHM_HMAC_RIPEMD, keysizemin=1 60, keysizemax=160
000 algorithm ESP auth attr: id=9, name=AUTH_ALGORITHM_AES_CBC, keysizemin=128, keysizemax=128
000 algorithm ESP auth attr: id=251, name=(null), keysizemin=0, keysizemax=0
000
000 algorithm IKE encrypt: id=0, name=(null), blocksize=16, keydeflen=131
000 algorithm IKE encrypt: id=3, name=OAKLEY_BLOWFISH_CBC, blocksize=8, keydefle n=128
000 algorithm IKE encrypt: id=5, name=OAKLEY_3DES_CBC, blocksize=8, keydeflen=19 2
000 algorithm IKE encrypt: id=7, name=OAKLEY_AES_CBC, blocksize=16, keydeflen=12 8
000 algorithm IKE encrypt: id=65004, name=OAKLEY_SERPENT_CBC, blocksize=16, keyd eflen=128
000 algorithm IKE encrypt: id=65005, name=OAKLEY_TWOFISH_CBC, blocksize=16, keyd eflen=128
000 algorithm IKE encrypt: id=65289, name=OAKLEY_TWOFISH_CBC_SSH, blocksize=16, keydeflen=128
000 algorithm IKE hash: id=1, name=OAKLEY_MD5, hashsize=16
000 algorithm IKE hash: id=2, name=OAKLEY_SHA1, hashsize=20
000 algorithm IKE hash: id=4, name=OAKLEY_SHA2_256, hashsize=32
000 algorithm IKE hash: id=6, name=OAKLEY_SHA2_512, hashsize=64
000 algorithm IKE dh group: id=2, name=OAKLEY_GROUP_MODP1024, bits=1024
000 algorithm IKE dh group: id=5, name=OAKLEY_GROUP_MODP1536, bits=1536
000 algorithm IKE dh group: id=14, name=OAKLEY_GROUP_MODP2048, bits=2048
000 algorithm IKE dh group: id=15, name=OAKLEY_GROUP_MODP3072, bits=3072
000 algorithm IKE dh group: id=16, name=OAKLEY_GROUP_MODP4096, bits=4096
000 algorithm IKE dh group: id=17, name=OAKLEY_GROUP_MODP6144, bits=6144
000 algorithm IKE dh group: id=18, name=OAKLEY_GROUP_MODP8192, bits=8192
000
000 stats db_ops: {curr_cnt, total_cnt, maxsz} :context={0,1,36} trans={0,1,1536 } attrs={0,1,2048}
000
000 "sonicwall": 200.175.218.99<200.175.218.99>[@DC002A,+XC+S=C]...189.73.152.11 2<189.73.152.112>[@DC002B,+XS+S=C]===10.20.31.0/24; prospective erouted; eroute owner: #0
000 "sonicwall": myip=unset; hisip=unset;
000 "sonicwall": ike_life: 28800s; ipsec_life: 28800s; rekey_margin: 540s; rek ey_fuzz: 100%; keyingtries: 1
000 "sonicwall": policy: PSK+ENCRYPT+TUNNEL+PFS+UP+AGGRESSIVE+IKEv2ALLOW+lKOD+ rKOD; prio: 32,24; interface: eth2;
000 "sonicwall": dpd: action:clear; delay:0; timeout:0;
000 "sonicwall": newest ISAKMP SA: #0; newest IPsec SA: #0;
000 "sonicwall": IKE algorithms wanted: 3DES_CBC(5)_000-SHA1(2)_000-MODP1024(2 ); flags=-strict
000 "sonicwall": IKE algorithms found: 3DES_CBC(5)_192-SHA1(2)_160-MODP1024(2 )
000 "sonicwall": ESP algorithms wanted: 3DES(3)_000-SHA1(2)_000; flags=-strict
000 "sonicwall": ESP algorithms loaded: 3DES(3)_192-SHA1(2)_160
000
000 #1: "sonicwall":500 STATE_AGGR_I1 (sent AI1, expecting AR1); EVENT_RETRANSMI T in 16s; nodpd; idle; import:admin initiate
000 #1: pending Phase 2 for "sonicwall" replacing #0
000

# ipsec auto --replace sonicwall

# ipsec auto --up sonicwall
112 "sonicwall" #2: STATE_AGGR_I1: initiate
003 "sonicwall" #2: Informational Exchange message must be encrypted
010 "sonicwall" #2: STATE_AGGR_I1: retransmission; will wait 20s for response
003 "sonicwall" #2: Informational Exchange message must be encrypted
010 "sonicwall" #2: STATE_AGGR_I1: retransmission; will wait 40s for response
003 "sonicwall" #2: Informational Exchange message must be encrypted
031 "sonicwall" #2: max number of retransmissions (2) reached STATE_AGGR_I1

# ipsec auto --status
000 using kernel interface: netkey
000 interface lo/lo ::1
000 interface lo/lo 127.0.0.1
000 interface lo/lo 127.0.0.1
000 interface eth2/eth2 200.175.218.99
000 interface eth2/eth2 200.175.218.99
000 interface eth0/eth0 192.168.254.250
000 interface eth0/eth0 192.168.254.250
000 interface eth1/eth1 192.168.2.250
000 interface eth1/eth1 192.168.2.250
000 %myid = (none)
000 debug raw+crypt+parsing+emitting+control+lifecycle+klips+dns+oppo+controlmore+pfkey+nattraversal+x509+dpd+oppoinfo
000
000 virtual_private (%priv):
000 - allowed 0 subnets:
000 - disallowed 0 subnets:
000 WARNING: Either virtual_private= is not specified, or there is a syntax
000 error in that line. 'left/rightsubnet=vhost:%priv' will not work!
000 WARNING: Disallowed subnets in virtual_private= is empty. If you have
000 private address space in internal use, it should be excluded!
000
000 algorithm ESP encrypt: id=2, name=ESP_DES, ivlen=8, keysizemin=64, keysizemax=64
000 algorithm ESP encrypt: id=3, name=ESP_3DES, ivlen=8, keysizemin=192, keysizemax=192
000 algorithm ESP encrypt: id=6, name=ESP_CAST, ivlen=8, keysizemin=40, keysizemax=128
000 algorithm ESP encrypt: id=7, name=ESP_BLOWFISH, ivlen=8, keysizemin=40, keysizemax=448
000 algorithm ESP encrypt: id=11, name=ESP_NULL, ivlen=0, keysizemin=0, keysizemax=0
000 algorithm ESP encrypt: id=12, name=ESP_AES, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=13, name=ESP_AES_CTR, ivlen=8, keysizemin=160, keysizemax=288
000 algorithm ESP encrypt: id=14, name=ESP_AES_CCM_A, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=15, name=ESP_AES_CCM_B, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=16, name=ESP_AES_CCM_C, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=18, name=ESP_AES_GCM_A, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=19, name=ESP_AES_GCM_B, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=20, name=ESP_AES_GCM_C, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=22, name=ESP_CAMELLIA, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=252, name=ESP_SERPENT, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=253, name=ESP_TWOFISH, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP auth attr: id=1, name=AUTH_ALGORITHM_HMAC_MD5, keysizemin=128, keysizemax=128
000 algorithm ESP auth attr: id=2, name=AUTH_ALGORITHM_HMAC_SHA1, keysizemin=160, keysizemax=160
000 algorithm ESP auth attr: id=5, name=AUTH_ALGORITHM_HMAC_SHA2_256, keysizemin=256, keysizemax=256
000 algorithm ESP auth attr: id=6, name=AUTH_ALGORITHM_HMAC_SHA2_384, keysizemin=384, keysizemax=384
000 algorithm ESP auth attr: id=7, name=AUTH_ALGORITHM_HMAC_SHA2_512, keysizemin=512, keysizemax=512
000 algorithm ESP auth attr: id=8, name=AUTH_ALGORITHM_HMAC_RIPEMD, keysizemin=160, keysizemax=160
000 algorithm ESP auth attr: id=9, name=AUTH_ALGORITHM_AES_CBC, keysizemin=128, keysizemax=128
000 algorithm ESP auth attr: id=251, name=(null), keysizemin=0, keysizemax=0
000
000 algorithm IKE encrypt: id=0, name=(null), blocksize=16, keydeflen=131
000 algorithm IKE encrypt: id=3, name=OAKLEY_BLOWFISH_CBC, blocksize=8, keydeflen=128
000 algorithm IKE encrypt: id=5, name=OAKLEY_3DES_CBC, blocksize=8, keydeflen=192
000 algorithm IKE encrypt: id=7, name=OAKLEY_AES_CBC, blocksize=16, keydeflen=128
000 algorithm IKE encrypt: id=65004, name=OAKLEY_SERPENT_CBC, blocksize=16, keydeflen=128
000 algorithm IKE encrypt: id=65005, name=OAKLEY_TWOFISH_CBC, blocksize=16, keydeflen=128
000 algorithm IKE encrypt: id=65289, name=OAKLEY_TWOFISH_CBC_SSH, blocksize=16, keydeflen=128
000 algorithm IKE hash: id=1, name=OAKLEY_MD5, hashsize=16
000 algorithm IKE hash: id=2, name=OAKLEY_SHA1, hashsize=20
000 algorithm IKE hash: id=4, name=OAKLEY_SHA2_256, hashsize=32
000 algorithm IKE hash: id=6, name=OAKLEY_SHA2_512, hashsize=64
000 algorithm IKE dh group: id=2, name=OAKLEY_GROUP_MODP1024, bits=1024
000 algorithm IKE dh group: id=5, name=OAKLEY_GROUP_MODP1536, bits=1536
000 algorithm IKE dh group: id=14, name=OAKLEY_GROUP_MODP2048, bits=2048
000 algorithm IKE dh group: id=15, name=OAKLEY_GROUP_MODP3072, bits=3072
000 algorithm IKE dh group: id=16, name=OAKLEY_GROUP_MODP4096, bits=4096
000 algorithm IKE dh group: id=17, name=OAKLEY_GROUP_MODP6144, bits=6144
000 algorithm IKE dh group: id=18, name=OAKLEY_GROUP_MODP8192, bits=8192
000
000 stats db_ops: {curr_cnt, total_cnt, maxsz} :context={0,2,36} trans={0,2,1536} attrs={0,2,2048}
000
000 "sonicwall": 200.175.218.99<200.175.218.99>[@DC002A,+XC+S=C]...189.73.152.112<189.73.152.112>[@DC002B,+XS+S=C]===10.20.31.0/24; unrouted; eroute owner: #0
000 "sonicwall": myip=unset; hisip=unset;
000 "sonicwall": ike_life: 28800s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 1
000 "sonicwall": policy: PSK+ENCRYPT+TUNNEL+PFS+UP+AGGRESSIVE+IKEv2ALLOW+lKOD+rKOD; prio: 32,24; interface: eth2;
000 "sonicwall": dpd: action:clear; delay:0; timeout:0;
000 "sonicwall": newest ISAKMP SA: #0; newest IPsec SA: #0;
000 "sonicwall": IKE algorithms wanted: 3DES_CBC(5)_000-SHA1(2)_000-MODP1024(2); flags=-strict
000 "sonicwall": IKE algorithms found: 3DES_CBC(5)_192-SHA1(2)_160-MODP1024(2)
000 "sonicwall": ESP algorithms wanted: 3DES(3)_000-SHA1(2)_000; flags=-strict
000 "sonicwall": ESP algorithms loaded: 3DES(3)_192-SHA1(2)_160
000
000



# tail -f /var/log/auth.log
Mar 28 11:17:42 USEFW pluto[1614]: | next event EVENT_PENDING_DDNS in 24 seconds
Mar 28 11:17:42 USEFW pluto[1614]: | next event EVENT_PENDING_DDNS in 24 seconds
Mar 28 11:18:06 USEFW pluto[1614]: |
Mar 28 11:18:06 USEFW pluto[1614]: | next event EVENT_PENDING_DDNS in 0 seconds
Mar 28 11:18:06 USEFW pluto[1614]: | *time to handle event
Mar 28 11:18:06 USEFW pluto[1614]: | handling event EVENT_PENDING_DDNS
Mar 28 11:18:06 USEFW pluto[1614]: | event after this is EVENT_PENDING_PHASE2 in 60 seconds
Mar 28 11:18:06 USEFW pluto[1614]: | inserting event EVENT_PENDING_DDNS, timeout in 60 seconds
Mar 28 11:18:06 USEFW pluto[1614]: | event added at head of queue
Mar 28 11:18:06 USEFW pluto[1614]: | next event EVENT_PENDING_DDNS in 60 seconds

Alguma dica?
Pelo que me parece, estou com problemas na segunda fase. Algo relacionado a criptografia. Mas não sei o que fazer.


Algumas fontes aqui do VOL:
http://www.vivaolinux.com.br/artigo/Configurando-uma-VPN-IPSec-Openswan-no-SUSE-Linux-9.3
http://www.vivaolinux.com.br/artigo/VPN-SitetoSite-Openswan-x-ASA-%28Cisco%29

externas:
http://www.xantha.org/blog/?p=299
comments.gmane.org/gmane.network.openswan.user/17778

nanatinho
(usa Debian)

Enviado em 28/03/2012 - 12:41h

Bom vamos lá. Como nunca configurei um sonicwall, mas a teoria seria a mesma. Vamos exclarecer algumas coisas:
O IP 200.175.218.99, e a faixa 192.168.2.0/24 são da filial correto?
Já o IP 189.73.152.112 e a faixa 10.20.31.0/24, da matriz certo?

Sendo assim, não existe em algum lugar (sonicwall) para configurar o IP da Matriz (189.73.152.112)? - Na teoria deve existir.

Peer: 200.175.218.99
Local Network: 10.20.31.0/24
Destination Network: 192.168.2.0/24

Encryption: 3DES
Authentication: SHA1
Life Time: 28800
Protocol: ESP

IKE authentication:
Shared Secret: senhadavpn

Local IKE ID: DC002B
Peer IKE ID: DC002A


Já no ipsec, vamos tentar algo mais simples:

/etc/ipsec.conf

version 2.0 # conforms to second version of ipsec.conf specification

config setup
interfaces=%defaultroute
klipsdebug=none
plutodebug=none

conn %default
authby=secret
ike=3des-md5-modp1024
ikelifetime=28800
pfs=no
keylife=28800
esp=3des-md5-96
auth=esp

conn sonicwall
left= 200.175.218.99
leftsubnet= 192.168.2.0/24
right=189.73.152.112
rightsubnet=10.20.31.0/24
auto=start
ike=3DES-SHA1-modp1024
esp=3DES-SHA1

Se não funcionar desta forma, remova as linhas ike e esp logo acima, deixei-as repetivas na diretiva conn sonicwall e conn %default. Neste caso a que vai estar em vigor é a que está na conn sonicwall.

/etc/ipsec.secrets
Por enquanto deixe assim seu secret:

: PSK "senhadavpn"


OBS: Não esqueça de liberar nos firewalls a porta 500/udp, e o protocolo esp.


Se após as tentativas não funcionar, poste novamente a saída do comando: ipsec auto --status


Abraço e fique com DEUS!
"De graça recebei, de graça dai"

tbksly
(usa Ubuntu)

Enviado em 28/03/2012 - 13:45h

Buenas. Obrigado pela resposta rápida.
Fiz as alterações que orientou.

Respondendo ao questionamento quanto a estrutura.
Na matriz está o servidor ubuntu (estou aqui tb): 200.175.218.99 e lan 192.168.2.0
Na filial está o sonicwall: 189.73.152.112 e lan 10.20.31.0

Ao iniciar o ipsec:
# service ipsec stop
ipsec_setup: Stopping Openswan IPsec...

# service ipsec start
ipsec_setup: Starting Openswan IPsec 2.6.28...
ipsec_setup: No KLIPS support found while requested, desperately falling back to netkey
ipsec_setup: NETKEY support found. Use protostack=netkey in /etc/ipsec.conf to avoid attempts to use KLIPS. Attempting to continue with NETKEY

o Firewall não está configurado ainda então as postas estão livres.
Com esta config não funcionou:
Segue status

# ipsec auto --status
000 using kernel interface: netkey
000 interface lo/lo ::1
000 interface lo/lo 127.0.0.1
000 interface eth2/eth2 200.175.218.99
000 interface eth0/eth0 192.168.254.250
000 interface eth1/eth1 192.168.2.250
000 %myid = (none)
000 debug none
000
000 virtual_private (%priv):
000 - allowed 0 subnets:
000 - disallowed 0 subnets:
000 WARNING: Either virtual_private= is not specified, or there is a syntax
000 error in that line. 'left/rightsubnet=vhost:%priv' will not work!
000 WARNING: Disallowed subnets in virtual_private= is empty. If you have
000 private address space in internal use, it should be excluded!
000
000 algorithm ESP encrypt: id=2, name=ESP_DES, ivlen=8, keysizemin=64, keysizemax=64
000 algorithm ESP encrypt: id=3, name=ESP_3DES, ivlen=8, keysizemin=192, keysizemax=192
000 algorithm ESP encrypt: id=6, name=ESP_CAST, ivlen=8, keysizemin=40, keysizemax=128
000 algorithm ESP encrypt: id=7, name=ESP_BLOWFISH, ivlen=8, keysizemin=40, keysizemax=448
000 algorithm ESP encrypt: id=11, name=ESP_NULL, ivlen=0, keysizemin=0, keysizemax=0
000 algorithm ESP encrypt: id=12, name=ESP_AES, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=13, name=ESP_AES_CTR, ivlen=8, keysizemin=160, keysizemax=288
000 algorithm ESP encrypt: id=14, name=ESP_AES_CCM_A, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=15, name=ESP_AES_CCM_B, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=16, name=ESP_AES_CCM_C, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=18, name=ESP_AES_GCM_A, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=19, name=ESP_AES_GCM_B, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=20, name=ESP_AES_GCM_C, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=22, name=ESP_CAMELLIA, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=252, name=ESP_SERPENT, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=253, name=ESP_TWOFISH, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP auth attr: id=1, name=AUTH_ALGORITHM_HMAC_MD5, keysizemin=128, keysizemax=128
000 algorithm ESP auth attr: id=2, name=AUTH_ALGORITHM_HMAC_SHA1, keysizemin=160, keysizemax=160
000 algorithm ESP auth attr: id=5, name=AUTH_ALGORITHM_HMAC_SHA2_256, keysizemin=256, keysizemax=256
000 algorithm ESP auth attr: id=6, name=AUTH_ALGORITHM_HMAC_SHA2_384, keysizemin=384, keysizemax=384
000 algorithm ESP auth attr: id=7, name=AUTH_ALGORITHM_HMAC_SHA2_512, keysizemin=512, keysizemax=512
000 algorithm ESP auth attr: id=8, name=AUTH_ALGORITHM_HMAC_RIPEMD, keysizemin=160, keysizemax=160
000 algorithm ESP auth attr: id=9, name=AUTH_ALGORITHM_AES_CBC, keysizemin=128, keysizemax=128
000 algorithm ESP auth attr: id=251, name=(null), keysizemin=0, keysizemax=0
000
000 algorithm IKE encrypt: id=0, name=(null), blocksize=16, keydeflen=131
000 algorithm IKE encrypt: id=3, name=OAKLEY_BLOWFISH_CBC, blocksize=8, keydeflen=128
000 algorithm IKE encrypt: id=5, name=OAKLEY_3DES_CBC, blocksize=8, keydeflen=192
000 algorithm IKE encrypt: id=7, name=OAKLEY_AES_CBC, blocksize=16, keydeflen=128
000 algorithm IKE encrypt: id=65004, name=OAKLEY_SERPENT_CBC, blocksize=16, keydeflen=128
000 algorithm IKE encrypt: id=65005, name=OAKLEY_TWOFISH_CBC, blocksize=16, keydeflen=128
000 algorithm IKE encrypt: id=65289, name=OAKLEY_TWOFISH_CBC_SSH, blocksize=16, keydeflen=128
000 algorithm IKE hash: id=1, name=OAKLEY_MD5, hashsize=16
000 algorithm IKE hash: id=2, name=OAKLEY_SHA1, hashsize=20
000 algorithm IKE hash: id=4, name=OAKLEY_SHA2_256, hashsize=32
000 algorithm IKE hash: id=6, name=OAKLEY_SHA2_512, hashsize=64
000 algorithm IKE dh group: id=2, name=OAKLEY_GROUP_MODP1024, bits=1024
000 algorithm IKE dh group: id=5, name=OAKLEY_GROUP_MODP1536, bits=1536
000 algorithm IKE dh group: id=14, name=OAKLEY_GROUP_MODP2048, bits=2048
000 algorithm IKE dh group: id=15, name=OAKLEY_GROUP_MODP3072, bits=3072
000 algorithm IKE dh group: id=16, name=OAKLEY_GROUP_MODP4096, bits=4096
000 algorithm IKE dh group: id=17, name=OAKLEY_GROUP_MODP6144, bits=6144
000 algorithm IKE dh group: id=18, name=OAKLEY_GROUP_MODP8192, bits=8192
000
000 stats db_ops: {curr_cnt, total_cnt, maxsz} :context={0,2,36} trans={0,2,1536} attrs={0,2,2048}
000
000 "sonicwall": 192.168.2.0/24===200.175.218.99<200.175.218.99>[+S=C]...189.73.152.112<189.73.152.112>[+S=C]===10.20.31.0/24; unrouted; eroute owner: #0
000 "sonicwall": myip=unset; hisip=unset;
000 "sonicwall": ike_life: 28800s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0
000 "sonicwall": policy: PSK+ENCRYPT+TUNNEL+UP+IKEv2ALLOW+lKOD+rKOD; prio: 24,24; interface: eth2;
000 "sonicwall": newest ISAKMP SA: #0; newest IPsec SA: #0;
000 "sonicwall": IKE algorithms wanted: 3DES_CBC(5)_000-SHA1(2)_000-MODP1024(2); flags=-strict
000 "sonicwall": IKE algorithms found: 3DES_CBC(5)_192-SHA1(2)_160-MODP1024(2)
000 "sonicwall": ESP algorithms wanted: 3DES(3)_000-SHA1(2)_000; flags=-strict
000 "sonicwall": ESP algorithms loaded: 3DES(3)_192-SHA1(2)_160
000
000 #2: "sonicwall":500 STATE_MAIN_I1 (sent MI1, expecting MR1); EVENT_RETRANSMIT in 39s; nodpd; idle; import:admin initiate
000 #2: pending Phase 2 for "sonicwall" replacing #0
000


# tail -f /var/log/auth.log
Mar 28 13:36:43 USEFW sshd[3672]: Accepted password for root from 192.168.2.90 port 54593 ssh2
Mar 28 13:36:43 USEFW sshd[3672]: pam_unix(sshd:session): session opened for user root by (uid=0)
Mar 28 13:37:01 USEFW pluto[3591]: "sonicwall" #2: ignoring informational payload, type NO_PROPOSAL_CHOSEN msgid=00000000
Mar 28 13:37:01 USEFW pluto[3591]: "sonicwall" #2: received and ignored informational message
Mar 28 13:37:41 USEFW pluto[3591]: "sonicwall" #2: ignoring informational payload, type NO_PROPOSAL_CHOSEN msgid=00000000
Mar 28 13:37:41 USEFW pluto[3591]: "sonicwall" #2: received and ignored informational message
Mar 28 13:38:21 USEFW pluto[3591]: "sonicwall" #2: ignoring informational payload, type NO_PROPOSAL_CHOSEN msgid=00000000
Mar 28 13:38:21 USEFW pluto[3591]: "sonicwall" #2: received and ignored informational message
Mar 28 13:39:01 USEFW pluto[3591]: "sonicwall" #2: ignoring informational payload, type NO_PROPOSAL_CHOSEN msgid=00000000
Mar 28 13:39:01 USEFW pluto[3591]: "sonicwall" #2: received and ignored informational message


Retirei as linhas ike e esp como solicitou também e segue status:

# ipsec auto --status
000 using kernel interface: netkey
000 interface lo/lo ::1
000 interface lo/lo 127.0.0.1
000 interface eth2/eth2 200.175.218.99
000 interface eth0/eth0 192.168.254.250
000 interface eth1/eth1 192.168.2.250
000 %myid = (none)
000 debug none
000
000 virtual_private (%priv):
000 - allowed 0 subnets:
000 - disallowed 0 subnets:
000 WARNING: Either virtual_private= is not specified, or there is a syntax
000 error in that line. 'left/rightsubnet=vhost:%priv' will not work!
000 WARNING: Disallowed subnets in virtual_private= is empty. If you have
000 private address space in internal use, it should be excluded!
000
000 algorithm ESP encrypt: id=2, name=ESP_DES, ivlen=8, keysizemin=64, keysizemax=64
000 algorithm ESP encrypt: id=3, name=ESP_3DES, ivlen=8, keysizemin=192, keysizemax=192
000 algorithm ESP encrypt: id=6, name=ESP_CAST, ivlen=8, keysizemin=40, keysizemax=128
000 algorithm ESP encrypt: id=7, name=ESP_BLOWFISH, ivlen=8, keysizemin=40, keysizemax=448
000 algorithm ESP encrypt: id=11, name=ESP_NULL, ivlen=0, keysizemin=0, keysizemax=0
000 algorithm ESP encrypt: id=12, name=ESP_AES, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=13, name=ESP_AES_CTR, ivlen=8, keysizemin=160, keysizemax=288
000 algorithm ESP encrypt: id=14, name=ESP_AES_CCM_A, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=15, name=ESP_AES_CCM_B, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=16, name=ESP_AES_CCM_C, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=18, name=ESP_AES_GCM_A, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=19, name=ESP_AES_GCM_B, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=20, name=ESP_AES_GCM_C, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=22, name=ESP_CAMELLIA, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=252, name=ESP_SERPENT, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=253, name=ESP_TWOFISH, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP auth attr: id=1, name=AUTH_ALGORITHM_HMAC_MD5, keysizemin=128, keysizemax=128
000 algorithm ESP auth attr: id=2, name=AUTH_ALGORITHM_HMAC_SHA1, keysizemin=160, keysizemax=160
000 algorithm ESP auth attr: id=5, name=AUTH_ALGORITHM_HMAC_SHA2_256, keysizemin=256, keysizemax=256
000 algorithm ESP auth attr: id=6, name=AUTH_ALGORITHM_HMAC_SHA2_384, keysizemin=384, keysizemax=384
000 algorithm ESP auth attr: id=7, name=AUTH_ALGORITHM_HMAC_SHA2_512, keysizemin=512, keysizemax=512
000 algorithm ESP auth attr: id=8, name=AUTH_ALGORITHM_HMAC_RIPEMD, keysizemin=160, keysizemax=160
000 algorithm ESP auth attr: id=9, name=AUTH_ALGORITHM_AES_CBC, keysizemin=128, keysizemax=128
000 algorithm ESP auth attr: id=251, name=(null), keysizemin=0, keysizemax=0
000
000 algorithm IKE encrypt: id=0, name=(null), blocksize=16, keydeflen=131
000 algorithm IKE encrypt: id=3, name=OAKLEY_BLOWFISH_CBC, blocksize=8, keydeflen=128
000 algorithm IKE encrypt: id=5, name=OAKLEY_3DES_CBC, blocksize=8, keydeflen=192
000 algorithm IKE encrypt: id=7, name=OAKLEY_AES_CBC, blocksize=16, keydeflen=128
000 algorithm IKE encrypt: id=65004, name=OAKLEY_SERPENT_CBC, blocksize=16, keydeflen=128
000 algorithm IKE encrypt: id=65005, name=OAKLEY_TWOFISH_CBC, blocksize=16, keydeflen=128
000 algorithm IKE encrypt: id=65289, name=OAKLEY_TWOFISH_CBC_SSH, blocksize=16, keydeflen=128
000 algorithm IKE hash: id=1, name=OAKLEY_MD5, hashsize=16
000 algorithm IKE hash: id=2, name=OAKLEY_SHA1, hashsize=20
000 algorithm IKE hash: id=4, name=OAKLEY_SHA2_256, hashsize=32
000 algorithm IKE hash: id=6, name=OAKLEY_SHA2_512, hashsize=64
000 algorithm IKE dh group: id=2, name=OAKLEY_GROUP_MODP1024, bits=1024
000 algorithm IKE dh group: id=5, name=OAKLEY_GROUP_MODP1536, bits=1536
000 algorithm IKE dh group: id=14, name=OAKLEY_GROUP_MODP2048, bits=2048
000 algorithm IKE dh group: id=15, name=OAKLEY_GROUP_MODP3072, bits=3072
000 algorithm IKE dh group: id=16, name=OAKLEY_GROUP_MODP4096, bits=4096
000 algorithm IKE dh group: id=17, name=OAKLEY_GROUP_MODP6144, bits=6144
000 algorithm IKE dh group: id=18, name=OAKLEY_GROUP_MODP8192, bits=8192
000
000 stats db_ops: {curr_cnt, total_cnt, maxsz} :context={0,2,36} trans={0,2,1536} attrs={0,2,2048}
000
000 "sonicwall": 192.168.2.0/24===200.175.218.99<200.175.218.99>[+S=C]...189.73.152.112<189.73.152.112>[+S=C]===10.20.31.0/24; unrouted; eroute owner: #0
000 "sonicwall": myip=unset; hisip=unset;
000 "sonicwall": ike_life: 28800s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0
000 "sonicwall": policy: PSK+ENCRYPT+TUNNEL+UP+IKEv2ALLOW+lKOD+rKOD; prio: 24,24; interface: eth2;
000 "sonicwall": newest ISAKMP SA: #0; newest IPsec SA: #0;
000 "sonicwall": IKE algorithms wanted: 3DES_CBC(5)_000-MD5(1)_000-MODP1024(2); flags=-strict
000 "sonicwall": IKE algorithms found: 3DES_CBC(5)_192-MD5(1)_128-MODP1024(2)
000 "sonicwall": ESP algorithms wanted: 3DES(3)_000-MD5(1)_096; flags=-strict
000 "sonicwall": ESP algorithms loaded: 3DES(3)_192-MD5(1)_096
000
000 #2: "sonicwall":500 STATE_MAIN_I1 (sent MI1, expecting MR1); EVENT_RETRANSMIT in 20s; nodpd; idle; import:admin initiate
000 #2: pending Phase 2 for "sonicwall" replacing #0
000

nanatinho
(usa Debian)

Enviado em 28/03/2012 - 17:14h

Boa tarde.

Por favor, pare o serviço, depois levante o o tail -f /var/log/auth.log desta conexão, e após start novamente, ai poste o resultado aqui.

Para vermos o que está ocorrendo na fase 2.

nanatinho
(usa Debian)

Enviado em 28/03/2012 - 17:44h

Olha encontrei este howto que explica como configurar o sonicwall, dê uma olhada e vê se te ajuda:

http://www.jigsawboys.com/2008/10/23/how-to-configure-ipsec-with-sonicwall/


Abraço e fique com DEUS!

emilio-e
(usa Ubuntu)

Enviado em 29/03/2012 - 11:41h

bom dia senhore googlando por ai achei um unico topico que é relacionado a versão 11.04 os outros topicos não me ajudaram muito, então segue ai a dica

http://www.jigsawboys.com/2008/10/23/how-to-configure-ipsec-with-sonicwall/


depois é só usar.

boa sorte!

tbksly
(usa Ubuntu)

Enviado em 29/03/2012 - 11:53h

Pessoal que deu uma força, MUITO obrigado! Principalmente ao Nanatinho.
Encontrei o problema e consegui fechar o tunel.
Consegui contato com o pessoal responsavel pela administração do Sonicwall e pedi os logs da ponta de lá e aí fui realizando o ajuste fino conforme os erros foram mudando.

1- um havia um problema de rota onde minha saida estava chegando lá com outro IP (nao o 200.175.218.99 conforme configurado). Alterei o Default GW do linux e ajustou a rota.

2- a ponta de lá estava configurada para receber chavez IKE e na minha config nao tinha parametros para isto. entao adicionei no ipsec.conf a seguinte linha:
keyexchange=ike

3- no linux tinha configurado 1024 bits (ike=3DES-SHA1-modp1024) e no sonicwall o DH group estava 2 (2048). Alteramos lá.

Conectou!


000 #6: "sonicwall":500 STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 18250s; newest IPSEC; eroute owner; isakmp#5; idle; import:admin initiate
000 #6: "sonicwall" esp.20a87661@189.73.152.112 esp.b6cb9a5@200.175.218.99 tun.0@189.73.152.112 tun.0@200.175.218.99 ref=0 refhim=4294901761
000 #5: "sonicwall":500 STATE_AGGR_I2 (sent AI2, ISAKMP SA established); EVENT_SA_REPLACE in 18439s; newest ISAKMP; lastdpd=-1s(seq in:0 out:0); idle; import:admin initiate
000



Mas agora, dos males o menor.
Lá da rede eu consigo pingar meu linux e uma maquina q tem este como GW. Porêm daqui nao consigo pingar o sonicwall ou equipamentos da rede. Acredito que seja alguma regra de bloqueio ou roteamento no sonicwall, certo?

nanatinho
(usa Debian)

Enviado em 29/03/2012 - 14:36h

"Mas agora, dos males o menor.
Lá da rede eu consigo pingar meu linux e uma maquina q tem este como GW. Porêm daqui nao consigo pingar o sonicwall ou equipamentos da rede. Acredito que seja alguma regra de bloqueio ou roteamento no sonicwall, certo?"

Que bom que deu tudo certo. Parabéns parceiro!

Teóricamente não deve ser roteamento, pois ao estabelecer o túnelo ipsec, utiliza as redes informandas na configuração para criar as rotas. Mas de qualquer forma liste as rotas de ambas as pontas e poste-as aqui. Ou mande no meu email, caso não queira expor as rotas de sua rede.

Acredito também que possa ser regra de Firewall. Como por exemplo um NAT que está sendo aplicado para a saída para a Internet - pois terás que colocar como excessão a tua RI (Rede Interna), ou mesmo um bloqueio de encaminhamento.


Abraço e fique com DEUS!

tbksly
(usa Ubuntu)

Enviado em 29/03/2012 - 16:05h

Buenas!!!
TUDO certo agora!
O problema estava aqui
"iptables -t nat -A POSTROUTING -d 0/0 -o eth0 -j MASQUERADE"
havia criado isto para navegar na internet o servidor como GW da minha estação. Retirei o iptables da inicialização do Linux, reiniciei e "BOMBOU".

Mas no primeiro momento ainda não consegui pingar do Linux para o túnel. Então estudando o que acontecia descobri que por ele proteger o túnel não permite que roteie dele diretamente para dentro do túnel, então criei uma rota para a rede 10.20.31.4 vá para o ip da rede interna do meu servidor 192.168.2.250. desta maneira ele consegue mandar os pacotes pra dentro do túnel.

e era isto. Tudo funcionando perfeitamente.
Novamente agradeço muito a ajuda de todos.
Qualquer coisa estamos por aí!

Vou iniciar meus estudos com Iptables agora, quem sabe abro outro tópico para pedir mais um help hehehehe.

Obrigado pessoal!

removido
(usa Nenhuma)

Enviado em 29/03/2012 - 16:19h

Só uma pergunta... utilizando o openswan e sonicwall é possível as estações windows encontrarem a maquina da filial x matriz no ambiente de rede ? Qual a vantagem de utilizar uma VPN, no caso se a matriz tiver um servidor WTS, a filial pode conectar diretamente pelo IP da matriz certo ?

Outra pergunta o openswan não foi descontinuado o projeto ?

Meu conhecimento sobre VPN é um pouco limitado.

obrigado

tbksly
(usa Ubuntu)

Enviado em 29/03/2012 - 17:27h

Amigo, nao sei se entendi muito bem tua pergunta, se entendi bem, sim. é possivel pingar, abrir compartilhamentos, serviços tudo pelo ip interno de rede.
olha, existem N vantagens: a facilidade de acessar os recursos da rede pelo ip interno sem depender de portas, roteamentos, redirecionamentos. por exemplo:
na filial temos 2 servidores o X e o Y. para acessar o TS basta digitar no endereço X ou Y. caso nao tivesse VPN teria que usar portas distintas para cada servidor. o tunel (vpn) tambem te oferece segurança pois aplica criptografia nos pacotes que por ele trafegam.

Nao sei se o projeto está descontinuado, optei por openswan pois este é usado em outra solução de firewall que temos na empresa, o qual provavelmente será desativado.

removido
(usa Nenhuma)

Enviado em 29/03/2012 - 17:45h

Sim muito legal que funcionou... eu nunca precisei configurar vpn, mas eu andei lendo que foi descontinuado, mesmo assim muita gente utiliza o openswan ainda... mas ouvi falar muito bem do openvpn..

eu tinha essa dúvida simples mesmo, dos micros aparecer no ambiente de rede etc...

abraço