[FUGSPBR] VPN desafio.
Rafael Marconi
rafael em fastmodem.com.br
Seg Maio 20 08:49:10 BRT 2002
Existe uma configuracao para quem nao tem ip fixo, voce usaria 0/0 como o
ponto C e colocaria a sub-rede, mas isso diminue a segurança, jah que
qualquer ponto pode se conectar, desde que saiba a chave
entao voce pode gerar uma chave de uns 1024 bits soh pra dificultar
dah uma olhada no Freeswan para linux
ele tem uns conceitos legais para vpn, e para o estilo Road Warrior
----- Original Message -----
From: "Marcio F. Silva" <marcio em tre-df.gov.br>
To: <fugspbr em fugspbr.org>
Sent: Monday, April 01, 2002 7:23 PM
Subject: [FUGSPBR] VPN desafio.
> ------- ----------
> | |-----------------| |
> | C | | A |
> | | | |
> ------- | |
> ----------
> |
> |
> |
> |
> ------------
> | |
> | B |
> | |
> ------------
>
> Gateway A:
> xl0 -> 192.168.1.1/255.255.255.0
> xl1 -> 200.230.245.20/255.255.255.0
>
> Gateway B:
> xl0 -> 192.168.2.1/255.255.255.0
> xl1 -> 200.220.125.50/255.255.255.0
>
> Gateway C:
> xl0 -> 192.168.3.1/255.255.255.0
> xl1 -> 200.x.x.x/255.x.x.x
>
>
>
> Bem, tenho 3 localidades que estao nessa situacao, e quero fazer VPN
usando
> IPSec entre os 3 pontos. Entre o ponto A e B nao haverah nenhum problema,
ja
> que os ips sao fixos. O Ponto tipo A vai ser um "LInk Central das VPNs",
ou
> seja, todas as VPNs serao interligadas atraves dela.
> Segundo as configuracoes do IPSec, ele exige que ponha os ips das
intranets,
> e os ips da internet da VPN :
>
> Ligacao entre A e B
>
> NO GATEWAY A
>
> /usr/local/etc/rc.d/VPN.SH
>
> #!/bin/sh
> gifconfig gif0 200.230.245.20 200.220.125.50
> ifconfig gif0 192.168.1.1 192.168.2.1 netmask 0xffffffff
> route add -net 192.168.2.0/24 192.168.2.1
> setkey -f /etc/ipsec.conf
>
> /etc/IPSEC.CONF
>
> flush;
> spdflush;
>
> add 200.230.245.20 200.220.125.50 esp 9991 -E blowfish-cbc
> "Escolha_uma_Chave_para_a_conexao_A_B_quanto_maior_melhor";
> add 200.220.125.50 200.230.245.20 esp 9992 -E blowfish-cbc
> "Escolha_uma_Chave_para_a_conexao_B_A_quanto_maior_melhor";
>
> spdadd 192.168.1.0/24 192.168.2.0/24 any -P out ipsec
> esp/tunnel/200.230.245.20-200.220.125.50/require;
> spdadd 192.168.2.0/24 192.168.1.0/24 any -P in ipsec
> esp/tunnel/200.220.125.50-200.230.245.20/require;
>
>
>
> NO GATEWAY B
>
> /usr/local/etc/rc.d/VPN.SH
>
> #!/bin/sh
> gifconfig gif0 200.220.125.50 200.230.245.20
> ifconfig gif0 192.168.2.1 192.168.1.1 netmask 0xffffffff
> route add -net 192.168.1.0/24 192.168.1.1
> setkey -f /etc/ipsec.conf
>
>
> /etc/IPSEC.CONF
>
> flush;
> spdflush;
>
> add 200.230.245.20 200.220.125.50 esp 9991 -E blowfish-cbc
> "Escolha_uma_Chave_para_a_conexao_A_B_quanto_maior_melhor";
> add 200.220.125.50 200.230.245.20 esp 9992 -E blowfish-cbc
> "Escolha_uma_Chave_para_a_conexao_B_A_quanto_maior_melhor";
>
> spdadd 192.168.2.0/24 192.168.1.0/24 any -P out ipsec
> esp/tunnel/200.220.125.50-200.230.245.20/require;
> spdadd 192.168.1.0/24 192.168.2.0/24 any -P in ipsec
> esp/tunnel/200.230.245.20-200.220.125.50/require;
>
>
> Obs: Dados coletados do http://www.freebsd.ag.com.br
>
>
> Agora, se eu quiser interligar o ponto A com C, sendo que C eh ip
dinamico,
> como faria ??
> No ponto C seria tranquilo criar um SH pra pegar o ip da internet e gerar
o
> conf e o vpn.sh, que me foi cedido pelo eksffa no canal #FreeBSD, mas no
> ponto A como ficaria o conf sem saber o ip da internet do ponto C ? Serah
> que existe uma forma de por 200.x.x.x no conf ? Ou seja, qualquer ip que
> comece com 200. ele deixar estabelecer a VPN so conferindo a chave. Estou
> ciente que nao eh o ideal, mas preciso saber se ha como fazer. Alguem
> poderia dar uma luz pra solucao ?
>
>
>
> Abracos...
>
> Marcio F. Silva
>
> ----
> Para sair da lista envie um e-mail para majordomo em fugspbr.org
> com as palavras "unsubscribe fugspbr" no corpo da mensagem.
______________________________________________
http://www2.fugspbr.org/mailman/listinfo/fugspbr
Mais detalhes sobre a lista de discussão freebsd