Salve a tutti,
ho avuto oggi modo di passare una giornata curiosa litigando con IPSec
(kernel 2.6 e ipsec-tools, ovvero racoon). Dovendolo mettere in piedi
senza aver avuto l'occasione di studiare per bene ho improvvisato e come
risultato ... non ha funzionato. Il come, tuttavia, mi risulta alquanto
peculiare.
La situazione è la seguente:
10.17.61.0/24 .1 |--------| L R |--------| 10.0.0.0/24
--------------------------| NAT GW |-- ... ---| NAT GW |------------
| | |--------| |--------| |
| .46 | .60 | .15
|----------| |--------| |------|
| GW IPSec | | client | | host |
|----------| |--------| |------|
e presenta due peculiarità rispetto al classico schema left-right
delle VPN (L e R sono gli IP pubblici):
- la rete cui si vuole accedere consiste del solo host
indicato ed è individuata come 10.0.0.15/32;
- il gateway che implementa IPSec non è il GW che fa NAT ma
un banale host della rete 10.11.60.0/24.
Ciò detto, fino a un certo punto sono arrivato: per la precisione,
una volta lanciato racoon (il demone ISAKMP) tiro su la VPN con
racoonctl vpn-connect R
e ottengo la negoziazione della fase 1, fino a:
2005-03-24 18:11:30: INFO: NAT detected: ME
2005-03-24 18:11:30: INFO: KA list add: 10.17.61.46[4500]->x.y.z.w[4500]
2005-03-24 18:11:30: WARNING: unable to get certificate CRL(3) at ...
2005-03-24 18:11:30: INFO: ISAKMP-SA established
in cui a parte la CRL il gioco sembra funzionare. Il problema è che
oltre questo punto non sono riuscito ad andare: non c'è segno di
tentativi di negoziare la fase due.
Per di più, tentando ssh 10.0.0.15 mi risponde ... il gateway IPSec,
cosa che verifico perchè con le password entro.
Fedora Core 3, ipsec-tools 0.5, kernel 2.6.10-1.770.
Qualcuno ha qualche lume ?
Davide Bolcioni
--
There is no place like /home.
|