Indice del forum Emilia Romagna Linux Users Group
i forum di ERLUG
torna alla home page di ERLUG
 
 Forum SubscriptionsForum Subscriptions   FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

Domanda non banale su ipsec e SNAT

 
Nuovo argomento   Rispondi    Indice del forum -> ERLUG
Precedente :: Successivo  
Autore Messaggio
Fabio Muzzi
Ospite





MessaggioInviato: Mar 22 Mag 2007 19:10    Oggetto: Domanda non banale su ipsec e SNAT Rispondi citando

Dunque, dopo 8 ore di madonne furenti, finalmente ho messo su un tunnel
funzionante fra la mia linux box e un router Cisco (in ipsec) usando lo
stack ipsec compreso nel kernel 2.6 e racoon. 7 di queste 8 ore sono
state causate dal fatto che il router remoto se non ho ESATTAMENTE la
stessa definizione di routing (reti locali e remote) mi rifiuta la
connessione.

Ora funziona, ma ho un dubbio.

Questo setup non crea alcuna interfaccia virtuale (tipo tun o tap, per
dire), ma aggiunge al routing (non ho capito dove) qualche regola che
dice che la rete remota che definisco nel file /etc/racoon-tool.conf
deve essere passata al gateway remoto a mezzo del tunnel ipsec.

Ora, per vari motivi il remoto si aspetta che io parli con lui dalla
rete 151.95.160.0/28, pero` io ho i miei 100 pc nella rete 10.0.0.0/16.

Ora, come posso configurare il NAT sul firewall, il quale e` lo stesso
che fa da endpoint del tunnel? Cioe`, siccome non ho una interfaccia
associata al tunnel ipsec, la domanda e`: che cacchio di comando uso per
iptables? Qual'e` l'interfaccia di uscita dei miei pacchetti? A quale
interfaccia assegno un indirizzo nella rete 151.95.160.0/28, posto che
non ho alcuna interfaccia associata con il tunnel?

Oh, quanto era facile openvpn...




_________________
Fabio "Kurgan" Muzzi

Pubblicita` regresso: Visita www.maneanke.net
Top
m
Ospite





MessaggioInviato: Mer 23 Mag 2007 15:43    Oggetto: Domanda non banale su ipsec e SNAT Rispondi citando

* Fabio Muzzi (kurgan@xxxxxx.xyz) [070522 20:11]:
Citazione:

Ora, per vari motivi il remoto si aspetta che io parli con lui dalla
rete 151.95.160.0/28, pero` io ho i miei 100 pc nella rete 10.0.0.0/16.

Ora, come posso configurare il NAT sul firewall, il quale e` lo stesso
che fa da endpoint del tunnel? Cioe`, siccome non ho una interfaccia
associata al tunnel ipsec, la domanda e`: che cacchio di comando uso per
iptables? Qual'e` l'interfaccia di uscita dei miei pacchetti? A quale
interfaccia assegno un indirizzo nella rete 151.95.160.0/28, posto che
non ho alcuna interfaccia associata con il tunnel?


perche` ti serve un interfaccia ? non ti basta un -s 10.0.0.0/8 -d
$quel -j MASQUERADE

o qualcosa del genere ?

Citazione:
Oh, quanto era facile openvpn...


oh, my darling, oh my darling clementine

_________________
.*. finelli
/V\
(/ \) --------------------------------------------------------------
( ) Linux: Friends dont let friends use Piccolosoffice
^^-^^ --------------------------------------------------------------

I am not in the stallionship business anymore.

Nusco
Top
Fabio Muzzi
Ospite





MessaggioInviato: Mer 23 Mag 2007 15:46    Oggetto: Domanda non banale su ipsec e SNAT Rispondi citando

Hello m,

Wednesday, May 23, 2007, 4:43:29 PM, you wrote:


Citazione:
perche` ti serve un interfaccia ? non ti basta un -s 10.0.0.0/8 -d
$quel -j MASQUERADE

In effetti non e` detto che mi serva una interfaccia, occorre pero` vedere
se cosi` funziona... e lo scopriro` quando sara` troppo tardi per tornare
indietro se non funziona.




_________________
Fabio "Kurgan" Muzzi

La diagnosi del tecnico:
E` un problema con la VPN in PPTP, qualcosa che non va nell' MPPE.
Top
m
Ospite





MessaggioInviato: Mer 23 Mag 2007 15:48    Oggetto: Domanda non banale su ipsec e SNAT Rispondi citando

* Fabio Muzzi (kurgan@xxxxxx.xyz) [070523 16:46]:
Citazione:

Citazione:
perche` ti serve un interfaccia ? non ti basta un -s 10.0.0.0/8 -d
$quel -j MASQUERADE

In effetti non e` detto che mi serva una interfaccia, occorre pero` vedere
se cosi` funziona... e lo scopriro` quando sara` troppo tardi per tornare
indietro se non funziona.


why not ? e` un metodo consolidato che si usa tutte le volte che non sai
a priori che interfaccia avrai, come col ppp (sort of, e` piu` o meno
possibile assegnarle un interfaccia ppp staticamente, ma e` un po' un
accrocchio AFAIK)

_________________
.*. finelli
/V\
(/ \) --------------------------------------------------------------
( ) Linux: Friends dont let friends use Piccolosoffice
^^-^^ --------------------------------------------------------------

"He did decide, though, that with more time and a great deal of mental effort,
he could probably turn the activity into an acceptable perversion."
-- Mick Farren, _When Gravity Fails_
Top
tannoiser



Registrato: 02/04/07 10:06
Messaggi: 621

MessaggioInviato: Mer 23 Mag 2007 15:52    Oggetto: Domanda non banale su ipsec e SNAT Rispondi citando

* marted́ 22 maggio 2007, alle 20:11, Fabio Muzzi scrive:
Citazione:
Ora, per vari motivi il remoto si aspetta che io parli con lui dalla
rete 151.95.160.0/28, pero` io ho i miei 100 pc nella rete 10.0.0.0/16.

Ora, come posso configurare il NAT sul firewall, il quale e` lo stesso
che fa da endpoint del tunnel? Cioe`, siccome non ho una interfaccia
associata al tunnel ipsec, la domanda e`: che cacchio di comando uso per
iptables? Qual'e` l'interfaccia di uscita dei miei pacchetti? A quale
interfaccia assegno un indirizzo nella rete 151.95.160.0/28, posto che
non ho alcuna interfaccia associata con il tunnel?

Credo, ma prendi con ampio beneficio di inventario, che lo devi fare da
racoon, mediante le opzioni nat_traversal (nota che il default dovrebbe
essere off) nella definizione di remote bla bla { opzioni }.

Dovrebbe fare autodiscovery e usare poi pacchetti udp sulla porta 4500.

Se non va nat_traversal on, potresti provare force (lo fa anche se non
"sente" il nat).

Nota che, credo, tu debba specificare _tu_ l'interfaccia e la porta
(default sempre 4500) con listen { isakmp_natt address [port]; }.

HTH.

_________________
Maurizio - Tannoiser - Lemmo
Founder Member of ERLUG http://erlug.linux.it
-------------------------------------------------------------------------------
BOFH excuse #109:

The electricity substation in the car park blew up.
Top
Profilo Invia messaggio privato
Fabio Muzzi
Ospite





MessaggioInviato: Mer 23 Mag 2007 15:54    Oggetto: Domanda non banale su ipsec e SNAT Rispondi citando

Hello Maurizio,

Wednesday, May 23, 2007, 4:53:17 PM, you wrote:


Citazione:
Credo, ma prendi con ampio beneficio di inventario, che lo devi fare da
racoon, mediante le opzioni nat_traversal (nota che il default dovrebbe
essere off) nella definizione di remote bla bla { opzioni }.

no, non ci siamo capiti. non e` ipsec che deve attraversare il nat, e` il
box dove termina il tunnel che deve fare nat del traffico prima di
infilarlo nel tunnel, usando un pool di indirizzi IP che non esistono (non
sono assegnati a nessuna interfaccia)




_________________
Fabio "Kurgan" Muzzi

La diagnosi del tecnico:
Problema? No, non c'e` nessun problema.
Top
Fabio Muzzi
Ospite





MessaggioInviato: Sab 26 Mag 2007 15:47    Oggetto: Domanda non banale su ipsec e SNAT Rispondi citando

Hello m,

Wednesday, May 23, 2007, 4:48:41 PM, you wrote:

Citazione:
Citazione:
Citazione:
perche` ti serve un interfaccia ? non ti basta un -s 10.0.0.0/8 -d
$quel -j MASQUERADE
In effetti non e` detto che mi serva una interfaccia, occorre pero` vedere
se cosi` funziona... e lo scopriro` quando sara` troppo tardi per tornare
indietro se non funziona.


Citazione:
why not ? e` un metodo consolidato che si usa tutte le volte che non sai
a priori che interfaccia avrai, come col ppp (sort of, e` piu` o meno
possibile assegnarle un interfaccia ppp staticamente, ma e` un po' un
accrocchio AFAIK)

Ecco, non funziona.

Prima di tutto, non posso usare MASQUERADE perche` *non esiste* una
interfaccia di uscita (cioe` si`, esiste, ed e` quella pubblica che va
verso internet, ma non e` questo che vogliamo ottenere, no?) dalla quale
prendere un IP. Ti ricordo che ipsec nel kernel 2.6 non produce una
interfaccia virtuale di alcun tipo.

Secondariamente, usando (come ho provato)

iptables -t nat -A POSTROUTING -j SNAT -s 10.0.0.0/16 -d 151.95.0.0/16 --to-source 151.95.160.2

succede una serie di cose carine:

1- siccome 151.95.160.2 non e` un indirizzo assegnato a NESSUNA
interfaccia (dovrebbe essere assegnato alla virtuale ipsec, se ci fosse)
ho dovuto assegnarlo come alias ad una interfaccia a caso.

2- i pacchetti escono su internet attraverso il routing standard e non
entrano nel tunnel.


Allora ho tentato di aggiungere delle policy di routing dentro alla
configurazione di ipsec (si`, perche` il routing per ipsec e` a parte, e
non si legge con "ip route"), cosi`:

echo " spdadd 10.0.0.0/16[any] 151.95.0.0/16[any] any -P fwd ipsec esp/tunnel/83.211.205.162-81.200.226.14/require;" | setkey -c

Ora i pacchetti spariscono nel nulla e non entrano nel tunnel ipsec ne`
escono su internet ne` fanno qualsiasi altra cosa.

Mi sa che fare SNAT sulla stessa macchina che e` endpoint del tunnel NON
sia piu` supportato con il kernel 2.6.

Mi tocchera` montare una seconda macchina che fa da terminatore del
tunnel, attaccarla con un cavo cross al filrewall, e quest'ultimo fara`
SNAT e basta.

Ovviamente adesso siamo senza servizio fino a che non modifico tutto,
$divinita` $animale.



_________________
Fabio "Kurgan" Muzzi

Giaaaanniiii! Sono alcolista!!!
Vedo macchine con le calze a rete... porte che si masturbano!
Top
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ERLUG Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it

torna alla home page di ERLUG
Per informazioni o problemi, contattare info@erlug.linux.it.
La connettività per questo sito e per gli altri nostri servizi è offerta da Ehiweb.it