http://www.zago.eti.br/vpn.txt FAQ e indicações de material sobre VPN. Veja também a continuação deste arquivo: http://www.zago.eti.br/vpn-cont1.txt Use CTRL+F para refinar a pesquisa. veja também neste diretório (site) FAQ Pcanywhare neste FAQ tabmém mensagens sobre Pcanywhare, use CTRL+F para localiza-las, neste FAQ e também no FAQ vnc.txt ************************************************************** VPN é uma rede privada criada através da Internet (Virtual Private Network). Cria-se um "túnel" que liga dois computadores através do qual tudo é encriptado, trabalha com protocolos de criptografia tipo IPSEC, pode interligar duas maquinas ou dois servidores com seus clientes, assim interligando duas redes de forma segura. ************************************************************** Neste texto tem mensagens sobre FreeS/WAN, IPSEC & IKE. ************************************************************** Aprendi nesses locais : http://www.conectiva.com/doc/livros/online/6.0/guia_pratico/vpn-config.html http://www.conectiva.com/doc/livros/online/6.0/guia_pratico/vpn-apresenta.html OpenVPN http://openvpn.sourceforge.net/ Clique no link "Brazilian Portuguese [HOWTO]" pra acessar: http://www.altoriopreto.com.br/openvpn/howto.html http://www.linuxdocs.org/HOWTOs/mini/VPN.html http://www.linuxdocs.org/HOWTOs/VPN-Masquerade-HOWTO.html http://www.linuxdocs.org/HOWTOs/VPN-HOWTO.html http://www.freeswan.org/doc.html http://www.crosswinds.net/~anstein/unix/vpnd.html http://www.freeswan.org O software FreeSwan conecta duas redes através de VPN. http://www.linuxman.pro.br/vpn/ http://www.secforum.com.br/article.php?sid=1033 tutorial VPN em português. http://www.secforum.com.br/article.php?sid=1033 http://www.linuxman.pro.br/vpn/ http://www.item.ntnu.no/~runhan/ipsec/FreeSwan-pgpnet.htm http://www.conectiva.com/doc/livros/online/guia_pratico/vpn.html http://www.servidoreslinux.com.br http://openvpn.sourceforge.net/ OpenVPN is an easy-to-use, robust, and highly configurable VPN (Virtual Private Network) daemon which can be used to securely link two or more private networks using an encrypted tunnel over the internet http://coisa.im.ufba.br/~tiago/ procure por VPN no link - Ver todas atualizações - http://www.poptop.org/ Link indicado por Rogerio , informa que na parte de documentação tem tudo explicado de como levantar um servidor VPN, inclusive tem documentação em portugues. http://poptop.sourceforge.net/dox/redhat-howto.html Poptop on RedHat Mini-Howto (Richard de Vroede) Link indicado por Sávio da Linux-br, informa que tem um passo a passo muito bom, pra configurar Poptop no RH. Manual de uma VPN com o protocolo PPTP em Linux Neste artigo explicaremos como montar uma VPN baseado no Conectiva Linux sobre o protocolo PPTP, possibilitando aos usuários de Linux adquirirem conceitos para que consigam montar a VPN com o protocolo PPTP de forma rápido e fácil. http://www.guiadohardware.net/artigos/277/ Implementando soluções de VPN http://www.linuxrapido.org/modules.php?name=Sections&op=viewarticle&artid=100 Soluções de VPN integrando Linux, FreeBSD e Windows http://www.dicas-l.com.br/dicas-l/20051115.php ************************************************************** IPSEC http://www.ipsec-howto.org/ The official IPsec Howto for Linux ************************************************************** :. Manual de uma VPN com o protocolo PPTP em Linux - Por Eduardo Assis e Antônio Ricardo Leocadio Neste artigo explicaremos como montar uma VPN baseado no Conectiva Linux sobre o protocolo PPTP, possibilitando aos usuários de Linux adquirirem conceitos para que consigam montar a VPN com o protocolo PPTP de forma rápido e fácil. Veja mais em http://www.guiadohardware.info/artigos/277/ ************************************************************** Comandos úteis: ipsec auto --status ************************************************************** VPN entre Linux pesquise os softwares "openvpn" e "vtun", VPN em plataformas mistas pesquise os softwares "freeswan" que faz IPSec. ************************************************************** De: dicas-l-owner@unicamp.br Assunto: [Dicas-L] How-to do IPsec FreeS/WAN Data: 03 Dec 2002 00:16:01 -0200 -------------------------------------------------------------------- Endereço: http://www.Dicas-l.com.br/dicas-l/20021203.shtml -------------------------------------------------------------------- How-to do IPsec FreeS/WAN ========================= Colaboração: Luis Dosso O Linux FreeS/WAN é uma implementação de IPSEC & IKE para Linux. O IPSEC é o Internet Protocol Security. Ele usa criptografia forte para prover autenticação e serviços de criptografia. A autenticação assegura que os pacotes são do remetente correto e que não foram alterados em trânsito. A criptografia previne leitura não-autorizada do conteúdo dos pacotes. Estes serviços lhe permitem construir túneis seguros por redes não confiáveis. Tudo que passa através da rede não confiável é codificado pela máquina gateway IPSEC e é decodificado pelo gateway na outra ponta. O resultado é Virtual Private Network ou VPN, isto é, uma rede que é efetivamente privada embora inclua máquinas em vários locais diferentes conectados pela Internet. A Dextra Sistemas (http://www.dextra.com.br) desenvolveu um how-to para a instalação e configuração do IPSEC FreeS/WAN em sistemas Red Hat Linux 7.3. A publicação deste material é parte da política da Dextra Sistemas para contribuir com a comunidade de Software Livre. O howto se encrontra no endereço abaixo: www.dextra.com.br/opensource/howto/freeswan.htm (http://www.dextra.com.br/opensource/howto/freeswan.htm) Dextra Sistemas www.dextra.com.br +55 19 3256-6722 ---' ************************************************************** Vá em sunsite.dk/vpnd ou http://www.crosswinds.net/~anstein/unix/vpnd.html Implementei em uma empresa e é muito competente. Permite através de um único link de internet prover várias VPNS. É muito simples de configurar e não interfere no kernel, ou seja, não tem impacto de implantação ( nem precisa rebootar pra ter idéia). MARCOLINUX Em Segunda 17 Setembro 2001 11:27, Luiz Galvez - LINUX escreveu: > Mais uma vez vou pedir a ajuda de voces. Estou precisando montar um > servidor para testes de vpn. Qual seria a melhor alternativa para fazer > isso tudo sobre linux ? Quero que este servidor seja o "servidor de VPN", > para que o pessoal remoto possa acessar uma determinada rede local. ************************************************************** Subject: (linux-br) Instalando um gateway VPN Como instalar e operar um gateway VPN baseado em IPSec com um firewall usando Linux bootável via um só disquete. http://noframes.linuxjournal.com/article.php?sid=4772 ************************************************************** Para quem vê VPN como uma solução para sua rede, existe uma page http://poptop.lineo.com/ , que disponibiliza o daemon do protocolo que precisa estar rodando no servidor vpn ( PPTPD), e também ensina como configurar, e já fiz porém a criptografia e a própria VPN causam um delay considerável, cerca de 40 a 60 ms, portanto dependendo da situação a VPN pode ser usado , no meu caso migrei para outra solução. ************************************************************** MONTAR VPN tem um tutorial em inglês em http://jixen.tripod.com/ que dá exemplo de diversas configurações de VPN com Linux... Dê uma olhada no FreesWan http://www.freeswan.org/ Walter ************************************************************** De: Carlo Pires Para: Eri Ramos Bastos Cc: Lista Linux Assunto: Re: (linux-br) VPN IPSec FreeSwan Data: 31 Jul 2002 10:21:21 -0300 Eri Ramos Bastos wrote: Fala, galera! Recebi vários e-mails pedindo ajuda pra configurar ipsec e resolvi fazer um mini how-to. http://www.linuxman.pro.br/vpn/ Abraços, Eri R. Bastos Ocorre um erro ao abrir esta página. Algum outro link ? -- _ Carlo Pires .com.br ************************************************** Virtual Private Networks --------------------------------------------------------------------- Para permitir que redes privadas distribuidas comuniquem-se umas com as outras, e necessario proteger os dados em transito de serem interceptados. VPNs, ou Virtual Private Networks, resolvem este problema criando uma rede virtual de modo a permitir que usuarios remotos, a partir de uma rede privada se comuniquem livremente e em seguranca atraves de uma rede nao confiavel e publica, como por exemplo a Internet. Uma VPN tipicamente utiliza a Internet como o meio de transporte para estabelecer conexoes seguras com parceiros de negocios, extender comunicacoes para escritorios regionais e isolados e diminuir significativamente o custo de comunicacoes para uma comunidade de funcionarios crescentemente movel. O acesso e frequentemente local e muito menos dispendioso do que o necessario para o uso dedicado de um servidor de acesso remoto. Existem solucoes comerciais e freeware para a implementacao de VPNs. Dentre as solucoes free, vale a pena avaliar o produto VPS (Virtual Private Server), que roda em sistemas Linux. O produto e totalmente gratuito e maiores informacoes podem ser obtidas em http://www.strongcrypto.com/ ************************************************** De: Rafa Para: Linux-BR Assunto: RE: (linux-br) Freeswan Data: 10 Aug 2002 17:20:43 -0300 >Quando dou um start no ipsec (No lado A) dar a >seguinte msg : >/etc/rc.d/init.d/ipsec start >ipsec_setup: (/etc/ipsec.conf, line 2) section header >interfaces=0efaultroute has wrong number of fields (1) >-- `start' aborted Cara, esse erro aparece pq o ipsec não consegue encontrar a sua rota padrão à internet. Tente colocar a placa que vc se conecta à internet : interfaces="ipsec0=eth0" ( supondo que sua placa de acesso à internet seja eth0, é claro ) Esse erro deve sumir, faça isso, depois do próximo erro vc manda pra cá de novo. Rafael Barbosa ************************************************** De: crg Responder-a: crg3k@terra.com.br Para: Luis Fidalgo , linux-br Assunto: Re: (linux-br) VPN !!! Data: 16 Sep 2002 18:31:05 -0300 Oi Quando eu usava VPN PPTP eu fazia assim: iptables -A INPUT -p tcp -i eth0 --dport 1723 -j ACCEPT iptables -A INPUT -p 47 -i eth0 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 1723 -j DNAT --to 192.168.0.5:1723 iptables -t nat -A PREROUTING -p 47 -i eth0 -j DNAT --to 192.168.0.5 No caso estou supondo que eth0 eh a interface que aponta para a Internet. On Sábado 21 Setembro 2002 15:32, Luis Fidalgo wrote: > Tenho um servidor de VPN dentro de minha rede interna com numer no IP > 192.168.0.5. > Tenho uma outra maquina que está servindo de firewall, e que compartilha a > internet para nossa rede interna. > Gostaria de saber como faço no Iptables, que esta nessa maquina que > compartilha a Internet, para usuarios remotos conseguirem acessar o > servidor VPN que está na minha rede interna e se Autenticar, via PPTP. - -- CRG ************************************************** De: Marco Para: Sérgio Valério Cc: Lista - Linux Assunto: Re: (linux-br) VPN Data: 14 Oct 2002 15:42:40 -0300 Obrigado por responder! Bom o que acontece é o seguinte eu testei aqui na minha rede interna pela hub por exemplo duas máquinas com freeswan e beleza criou o túnel belezinha (ipsec look), e ok quando eu configuro uma máquina que está com um ADSL com ip fixo e um ADSL com ip dinâmico, eles não criam o túnel na inicialização dá o seguinte erro! [root@gateway /etc]# ipsec auto --up teste 102 "teste" #3: STATE_MAIN_I1: initiate 010 "teste" #3: STATE_MAIN_I1: retransmission; will wait 20s for response 010 "teste" #3: STATE_MAIN_I1: retransmission; will wait 40s for response 031 "teste" #3: max number of retransmissions (2) reached STATE_MAIN_I1 [root@gateway /etc]# os conf´s estão assim: # /etc/ipsec.conf - FreeS/WAN IPSEC configuration file # More elaborate and more varied sample configurations can be found # in FreeS/WAN's doc/examples file. config setup interfaces="ipsec0=eth0" klipsdebug=none plutodebug=none plutoload=%search plutostart=%search conn %default keyingtries=1 esp=3des-md5-96 conn teste left=10.0.0.139 (eth0 do ip fixo) leftsubnet=10.100.1.0/24 leftnexthop=200.125.478.41 (ip válido na internet) leftrsasigkey=0x0103abfe... right=10.0.0.140 (eth0 do ip dinâmico) rightsubnet=10.100.2.0/24 rightnexthop=200.147.125.41 (IP atribuído neste momento pelo provedor) rightrsasigkey=0x010357... auto=add authby=rsasig Eu já perdi algum tempo com isso aqui e nada de funcionar, já mudei as redes para a mesma faixa e nada também, só sei que tá bem complicado! rs derrepente uma coisinha má que estou me batento a isso tô! Desde já agradeço marco ************************************************** De: Rodrigo Rodrigues Dias Para: linux-br Assunto: (linux-br) RES: (linux-br) VPN Net-to-Net Data: 14 Apr 2002 10:45:19 -0300 Em Thu, 7 Nov 2002 09:25:23 -0300 (ART), Antonio escreveu: >Desculpe a ignorancia, mas pra que serve a VPN? O que >é? > VPN (Virtual Private Nertork) È uma rede privada usando um meio físico público (a Internet). No meu casa (Net-to-Net) possibilita a conexão entre estações de uma rede priva de uma matriz a outra rede privada da filial através da internet. Todos os dados que trafegam pela Internet são criptografados, formando um tunel seguro entre as redes. Os amigos da lista podem complementar, porem a ideia basica e essa. Um abraco, Rodrigo Rodrigues Dias ************************************************** De: crg Responder-a: crg3k@terra.com.br Para: ralbina@tubosapolo.com.br, linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Ducumentação IPSEC - VPN Data: 24 Oct 2002 21:02:22 -0200 On Quinta 24 Outubro 2002 14:10, Rodrigo Fortes wrote: > Onde encontrar uma boa documentação sobre IPSEC, VPN. De preferência em > portuga http://www.linuxman.pro.br/vpn/ http://www.conectiva.com/doc/livros/online/guia_pratico/vpn.html Tambem estou procurando mais infos sobre VPN no Linux, no momento estou encalhado tentando descobrir como compilar o modulo ipsec. ************************************************** De: Otavio Augusto Para: Lista Linux - SuperIP , linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Mapear unidade de rede Data: 12 Dec 2002 15:25:50 -0200 COnsulte sobre rede VPN é uma sistema de tunelamente via internet . Voce pode criar uma dede Privada , segura usando a internet nao importa se é adsl ou wireless ,etc.. mas de preferencia que uma das pontas tenha um ip fixo se nao vc vai ter dor de cabeça recomendo o pptpd assim vc pode ter um servidor linux na ponta onde tem o ip fixo e onde o ip é dinamico vc pode usar windows mesmo. mas se conseguir colocar as duas pontas com ip fixo e servidores linux entao use o freeswan no site da underlinux tem alguns tutoriais sobre o assunto www.underlinux.com.br FAlou's ************************************************** De: alrferreira@carol.com.br Para: Edson - Empresa , linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Help Configurar uma VPN Data: 17 Dec 2002 10:11:19 -0200 Edson, Saiu recentemente um artigo no site SecForum, explicando como configurar uma VPN com o Freeswan e o Ipsec. Eu recomendo que dê uma olhada: http://www.secforum.com.br []´s ************************************************** De: Marcus Lima Responder-a: marcuslima@marcuslima.eti.br Para: Lista Linux - SuperIP , Sérgio Valério Cc: linux-br@bazar.conectiva.com.br Assunto: (linux-br) RES: (linux-br) VPN X Win98 Data: 22 Dec 2002 13:34:43 -0200 Olá Sérgio, Esta é uma lista de Linux e realmente eu não deveria dar uma resposta falando de Windows, mas como presto consultoria para soluções de TI e trabalho com diversos sistemas operacionais, estou sempre adaptando as soluções a realidade do cliente. No seu caso, se você tiver seus Windows licenciados, existe uma solução mais simples. Se você já possui ADSL Home nas filiais e ADSL Empresarial (com IP fixo) na matriz, porque não instalar um Servidor SSH no Windows 98 que está na matriz e clientes SSH nas filiais? O protocolo SSH já é criptografado por natureza o que te garantiria segurança durante as consultas. Servidores SSH para Windows 9x: SSH Communications - http://www.ssh.com/products/security/secureshellwks/ US$ 116.00 (Hoje: R$ 402,63) Cygwin32 - (https://www.redhat.com/download/cygwin.html) Free Você pode usar o PGPNet também (aí sim você faria uma VPN usando o FreeS/WAN no Linux). Neste caso, você teria bastante trabalho para conseguir a coisa, procurei bastante no google e não achei o PGPNet para download. Pode ser que minha busca tenha sido mal feita, já que fiz rápido. Gudiluqui, - Marcus Lima. ************************************************** De: Sérgio Valério Para: Daniel Rezende Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) VPN com ADSL Data: 18 Dec 2002 19:04:01 -0200 Olá Daniel, Daniel Rezende wrote: Estou tentando fazer uma VPN com Freeswan. Beleza... A minha rede tem a seguinte configuração: Subnet1 <----->Linux1<--- Roteador======Internet=====Modem ADSL-->Linux2<----->Subnet2 Padrão... Subnet1: 172.16.0.0/16 Linux1: 200.xxx.xxx.179 (172.16.1.1) Roteador: 200.xxx.xxx.177 Modem ADSL: 200.xxx.xxx.193 Linux2: 200.xxx.xxx.207 (192.168.0.1) Subnet2: 192.168.0.0/24 Ou estou comendo bola em alguma outra configuração..? Alguém já conseguiu estabelecer uma VPN com ADSL da Telefonica ? Grato pela ajuda. Daniel Rezende Já fiz VPN com dois links ADSL da Telefonica ( na verdade mais de dois...) e funcionou sem problema. Pode ser o nexthop do lado do roteador... Pode ser a chave RSA, enfim precisamos ver seu ipsec.conf e o ipsec.secrets, o sysctl.conf. Se puder enviar, posso dar uma olhada... []´s Sérgio ************************************************** De: Sérgio Valério Para: Edson - Empresa Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Help IPSec Data: 18 Dec 2002 13:37:16 -0200 Oi Edson, o site oficial do FreeSwan é : http://www.freeswan.org. Existe também o http://www.freeswan.ca É relativamente simples fazer uma VPN com o FreeSwan, basta seguir o manual. Vc não vai se arrepender. []´s ************************************************** ************************************************** De: Marcus Lima Responder-a: marcuslima@marcuslima.eti.br Para: Sérgio Valério Cc: Uso Linux , linux-br Assunto: (linux-br) RES: (linux-br) Freeswan Data: 07 Dec 2002 14:32:09 -0200 Bom, eu não vou olhar no site, se você está dizendo que funcionar então OK. A documentação que li (não lembro a versão do freeswan) dizia que tinha que ter o seginte formato: : RSA { O resultado do ipsec rsasigkey 128 } E lá dizia que as chaves que fecham não poderiam ficar na mesma identação dos dois pontos (:). Inclusive se você quiser definir mais de uma chave privada para falar com outra conexão teria que fazer assim: 10.0.0.1 10.0.1.1: RSA { Resultado do ipsec rsasigkey 128 } 10.0.0.1 192.168.0.1: RSA { Resultado de outro ipsec rsasigkey 128 } Mas fiz isso a tanto tempo que posso estar enganado sim... - Marcus Lima. ************************************************** De: Sérgio Valério Para: Uso Linux Cc: linux-br Assunto: Re: (linux-br) IPSEC não estou conseguindo. Data: 07 Dec 2002 10:44:36 -0200 Bom dia Cristhiano: Uso Linux wrote: Pessoal fiz as configurações no IPSEC, gerei as chaves... etc.. Configurei as duas redes, matriz e filial. Beleza... Vejo o log /var/log/secure , no log diz que estabeleceu a conexão, porém quando digito o comando netstat -an não aparece nenhuma conexão estabelecida?! É normal? Acho que deve aparecer uma conexão estabelecida, me corrijam se eu estiver errado... Que versão de Freeswan vc está utilizando ? Tente os seguintes comandos : 1- ipsec look ( qual a resposta ?) 2- ipsec whack --status ( qual a resposta ?) 3- ipsec verify ( depende da versão ) ( qual a resposta ?) Tento dar um ping de uma estação da matriz na filial, e dá time out. De estação para estação ? O que eu posso verificar? Alguém tem alguma dica? Várias ... ************************************************** De: Jorge Godoy Para: Cleyton Luiz Scherer Cc: linux-br Assunto: Re: (linux-br) Perfomance VPN IPSec Data: 06 Jan 2003 13:28:56 -0200 "Cleyton Luiz Scherer" writes: > Pessoal, > > Eu configurei uma VPN com IPSec com linux sendo que de um lado o link é 512 > k ADLS Brasil Telecom e do outro, 256 k xDLS Speedy, mas está muito lento, > sendo que esse link é utilizado apenas para a aplicação matriz-filial, sem > nenhum tráfego de e-mail, www, etc... > > Normal isso ? A velocidade limitante é o upstream do menor link. Por exemplo, aqui na BrT antigamente tínhamos 256kbps de downstream e 64kbps de upstream. Isso significa que numa comunicação entre minha máquina e qualquer outra, quando eu estiver baixando algo, posso baixar a no máximo 256 kbps e posso enviar algo a 64 kbps. Isso ainda terá, é claro, adição de bits de controle, paridade, encapsulamento no IPSec, etc... Sds, -- Godoy. ************************************************** De: Andreas Hasenack Para: Paulo Pimentel Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Problemas no ipsec Data: 17 Jan 2003 23:28:51 -0200 Em Fri, Jan 17, 2003 at 02:33:58PM -0300, Paulo Pimentel escreveu: > [root@guardiao-rec ipsec]# service ipsec stop > ipsec_setup: Stopping FreeS/WAN IPsec... > ipsec_setup: /usr/lib/ipsec/spi: pfkey write failed, returning -1 with = > errno=3D12. *Talvez* você esteja usando uma versão do freeswan diferente daquela com o qual o seu kernel foi compilado... Os dois precisam bater... ************************************************** De: Paulo Pimentel Para: linux-br@bazar.conectiva.com.br Assunto: (linux-br) Problemas no ipsec Data: 17 Jan 2003 14:33:58 -0300 Hi Lista, alguem ja teve este problema com o ipsec. [root@guardiao-rec ipsec]# service ipsec stop ipsec_setup: Stopping FreeS/WAN IPsec... ipsec_setup: /usr/lib/ipsec/spi: pfkey write failed, returning -1 with = errno=3D12. ipsec_setup: Unknown socket write error 12. Please report as much = detail as possible to development team. ipsec_setup: ipsec: Device or resource busy [root@guardiao-rec ipsec]# Quando eu reseto o micro ele para a nao apresentar este problema que surge depois de muito tempo o micro ligado. Eh um servidor 24x24 (24 horas ligado). Sera problema de hardware ??? -- Paulo Pimentel ************************************************** De: Uso Linux Para: linux-br Assunto: (linux-br) Freeswan + iptables Data: 09 Dec 2002 12:19:34 -0200 Olá lista, bom dia!!! Estou configurando o Freeswan 1.99_2.4.18-3-0 no RedHat 8.0 DADOS: IP interno matriz: 192.168.0.0/24, IP FIXO: 200.171.xx.xxx DADOS: IP interno filial: 192.168.1.0/24, IP FIXO: 200.171.yy.yyy Aparentemente está configurado tudo em perfeita ordem, vejam: [root@internet root]# ipsec auto --up AAA 104 "AAA" #3: STATE_MAIN_I1: initiate 106 "AAA" #3: STATE_MAIN_I2: sent MI2, expecting MR2 108 "AAA" #3: STATE_MAIN_I3: sent MI3, expecting MR3 004 "AAA" #3: STATE_MAIN_I4: ISAKMP SA established 112 "AAA" #4: STATE_QUICK_I1: initiate 004 "AAA" #4: STATE_QUICK_I2: sent QI2, IPsec SA established mas, quando pingo de uma estação da matriz para a estação da filial dá "TIME OUT". Vejam um resumo do netstat: [root@internet root]# netstat -na (da matriz) udp 0 0 200.171.xx.xxx:500 0.0.0.0:* Active UNIX domain sockets (servers and established) Proto RefCnt Flags Type State I-Node Path unix 2 [ ACC ] STREAM LISTENING 23460 /var/run/pluto.ctl unix 2 [ ACC ] STREAM LISTENING 2038 /dev/gpmctl Estou com uma dúvida, na linha do udp, fica assim mesmo ou tem que estar ESTABLISHED com o IP da filial?? UDP estabelece conexão? Vejam minha tabela de roteamento na matriz: Destination Gateway Genmask Flags Metric Ref Use Iface 200.171.xx.xxx 0.0.0.0 255.255.255.192 U 0 0 0 eth0 200.171.xx.xxx 0.0.0.0 255.255.255.192 U 0 0 0 ipsec0 192.168.1.0 200.171.xx.xxx 255.255.255.0 UG 0 0 0 ipsec0 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo 0.0.0.0 200.171.xx.xxx 0.0.0.0 UG 0 0 0 eth0 Encontrei na documentação do freeswan.org que seria necessário colocar esta regra do iptables nos 2 gateways, mas dá o seguite erro. Será que o problema é esse?? [root@internet root]# iptables -A FORWARD -s 192.168.0.0/24 -d ! 192.168.1.0/24 -j MASQ iptables v1.2.6a: Couldn't load target `MASQ':/lib/iptables/libipt_MASQ.so: cannot open shared object file: No such file or directory Try `iptables -h' or 'iptables --help' for more information. [root@internet root]# Obrigado a todos.... ************************************************** De: Marcus Lima Responder-a: Marcus Lima Para: Uso Linux , linux-br Assunto: Re: (linux-br) Freeswan Data: 06 Dec 2002 10:11:22 -0200 > Estou precisando criar o rightrsasigkey e o leftrsasigkey para colocar no > arquivo ipsec.conf ipsec rsasigkey 128 Ele irá gerar uma chave pública que será o que você irá colocar neste campo (terá que fazer isso em cada lado ok) E também irá gerar a chave privada que será utilizada no ipsec.secrets 128 é o tamanho da chave, você pode usar mais ou menos, mas isso vai influenciar no desempenho da comunicação também. - Marcus Lima. ************************************************** De: Elcio Luiz Pagani Bortolin Para: Danilo Ventura Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Link SLDA Data: 20 Jan 2003 22:31:30 -0300 Caro Danilo! Pelo que entendi os seus modems são sincronos. Nesse caso voce vai precisar de um roteador. Aqui eu sempre usei as SLDAs assincronas usando modems assincronos para conexão através do linux. Tenho hoje funcionando 12 SLDAs a 115200bps funcionam muito bem. Tenho tambem, mas agora estamos retirando o serviço uma SLDA funcionando a 512Kbps usando modens sincronos e roteadores. Aqui a telefonica não fornece os modems. Então eu faço a opcao pelos assincronos para usar com linux direto na serial do micro. Caso voce queira adquir outros modems veja em www.atmc.com.br []'s Elcio ----- Original Message ----- From: "Danilo Ventura" To: "Linux-BR - Lista Conectiva" Sent: Monday, January 20, 2003 1:20 PM Subject: (linux-br) Link SLDA Aos amigos da lista, Estou encarecidamente precisando conectar dois pontos de um cliente meu via uma linha SLDA, nome comercial Telemar TC DATA Turbo. É Uma linha dedicada em 48k síncrono, chegando nas duas pontas a modems NewBridge V-24. E, pra melhorar (como sempre) a dita cuja Telemar não deixou manual nem mesmo suporte, então o papai aqui está se virando como pode. Mas sejamos breves. Existia antigamente outro link em moldes parecidos, porém em 19200 assíncrono com modems TRANSEND-ONE, que funcionava (creio eu) com o seguinte comando: (/usr/sbin/pppd /dev/ttyS1 57600 nocrtscts 192.168.1.101:192.168.2.101 persist) & Sendo que uso o mesmo comando nas duas pontas, variando somente a ordem dos IP's. Tudo que consegui não passou do LED de Ready piscando nas duas pontas. PS: será que esse modem pode se comunicar diretamente com a serial do micro ou precisaria de um roteador pra fazer o serviço??? ************************************************** De: Umberto Lima Diniz - NetSol Ltda Responder-a: umberto@netsol.psi.br Para: Marco Aurelio Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) VPN com Client Remoto Data: 16 Jan 2003 08:18:13 -0200 Marco Aurelio wrote: Sei que configurar uma VPN Linux ==> Linux é possível, ou seja, site-to-site. Alguém já configurou ou saberia me indicar como fazer para configurar uma VPN site-to-client, ou seja, o Server seria um Linux e os clientes estariam acessando remotamente e infelizmente com W$2K ? Lembrando que o IP dos Clients são dinâmicos, por isso minha dúvida. Olá, dá sim, voce pode liberar o acesso a qualquer IP usando 0.0.0.0/0 como IP Cliente, mas se vc quiser restringir o acesso, vc ainda pode incluir parte da mascara do cliente (ex. 10.10.10.*) Ou ainda pode configurar o seu DHCP (se tiver um) para verificar os endereçcos Ethernet das placas e reservar o IP de cada. Fica a seu Critério. ************************************************** De: Edson Cardoso Ribeiro Junior Para: Thyago Guimaraes Cc: Linux-BR Assunto: Re: (linux-br) matriz e 4 filias com vpn Data: 21 Jan 2003 01:38:04 -0200 No site da Conectiva tem alguma documentação sobre VPN com o IPSEC: http://www.conectiva.com/doc/livros/online/6.0/guia_pratico/vpn-apresenta.html Não é o supra sumo da documentação, mas no meu caso ajudou um bocado. []s Edson Em Seg, 2003-01-20 às 11:16, Thyago Guimaraes escreveu: > Ola lista, alguém poderia me indicar alguma documentação para utilizar vpn > para interligar uma matriz a varias filias? ************************************************** De: Rois Lima Para: Lista-Linux-BR Lista Assunto: Re: (linux-br) Modem ADSL BrasilTelecom (VPN - PPTP) Data: 24 Jan 2003 15:21:38 -0200 Eu já fiz funcionar. Ficou muito bom. Um tunel com pptp entre o Alcatel e o Linux. A soluçaõ encontrei em: http://www.altoriopreto.com.br/artigo1.html Rois Lima. ----- Original Message ----- From: "Marco Aurélio" To: "Lista-Linux-BR Lista" Sent: Friday, January 24, 2003 12:06 PM Subject: (linux-br) Modem ADSL BrasilTelecom (VPN - PPTP) Alguem aqui da lista não sei quem tinha me perguntado se eu já tinha feito VPN com o modem da Alcatel usando PPTP, bem eu pelo o q eu sei o suporte a pptp que existe nesse modem funciona para se fazer um tunel entre o modem e uma maquina, assim a maquina que ira fazer o tunel tera que ter um software para pptp instalado, esse software pode ser baixado no site da propia BrasilTelecom: 200.181.57.254 soh q aqui soh tem pra windows, pra linux e soh procurar na net se eu não me engano o nome do software para linux e POPTOP. ************************************************** De: Listas XTMS Para: Marcos Vinicio Dornas Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) VPN com Proxy Data: 24 Jan 2003 13:13:20 -0200 Se o protocolo da VPN for IPSec, o mesmo não é "NATiável", ou seja, não vai funcionar atrás do firewall. On Fri, 24 Jan 2003 10:35:05 -0200 Marcos Vinicio Dornas wrote: >Alguem > tem alguma ideia do que pode estar acontecendo ? ************************************************** De: Marco Aurélio Para: Lista-Linux-BR Lista Assunto: (linux-br) Modem ADSL BrasilTelecom (VPN - PPTP) Data: 24 Jan 2003 12:06:24 -0200 Alguem aqui da lista não sei quem tinha me perguntado se eu já tinha feito VPN com o modem da Alcatel usando PPTP, bem eu pelo o q eu sei o suporte a pptp que existe nesse modem funciona para se fazer um tunel entre o modem e uma maquina, assim a maquina que ira fazer o tunel tera que ter um software para pptp instalado, esse software pode ser baixado no site da propia BrasilTelecom: 200.181.57.254 soh q aqui soh tem pra windows, pra linux e soh procurar na net se eu não me engano o nome do software para linux e POPTOP. Falow.. M.A. > > > > - Alcatel Speed Touch Pro - Esse não é um cinza que tem um G em verde? Já > > usei ele em Floripa, demora muito para conectar na rede da BRTelecom > > Não o Alcatel e um preto e muito bom, funciona como roteador e tem suporte a > PPTP, esse que tem o G deve ser Great Speed da NEC. > ************************************************** De: crg Responder-a: crg3k@terra.com.br Para: linux-br@bazar.conectiva.com.br Cc: paulino@nobel.com.br, mnsc@cdlto.com.br Assunto: Re: (linux-br) vtun Data: 10 Oct 2002 09:46:09 -0300 E por falar em vtun de uma olhada no que eu encontrei: http://ducky.platypus.bc.ca/~bishop/vtundconfgen.php ************************************************** De: Erik Costa Para: Marco Cc: linux-br@bazar.conectiva.com.br Assunto: (linux-br) Solucao - Ip Dinamico e FreesWan Data: 27 Jan 2003 09:47:54 -0200 Bom,eh o seguinte voce vai no ipsec.conf da maquina com ip dinamico e adiciona os parametros: left=200.xx.xx.1 (ip do gw com ip fixo) right=%defaultroute leftid=@suamaquina.sedominio rightid=@suamaquina1.seudominio auto=start Lembrando que voce pode ver como esta o nome da sua maquina com o comando "hostname -f" voce pode alterar o nome pelo arquivo "/etc/hosts" Na maquina com o ip fixo voce coloca no ipsec.conf: left=200.xx.xx.1 (ip do gw com ip fixo) right=0.0.0.0 leftid=@suamaquina.sedominio rightid=@suamaquina1.seudominio auto=add Este "start" e "add" faz com que as maquinas que tem ip dinamico automaticamente ao iniciarem tentam levantar a conexao com o gw de ip fixo e o mesmo esta esperando uma conexao de qualquer ip. para maior seguranca ele so dexa conectar se a maquina requisitante tiver sua rsakey e sua id. -- ************************************************** De: Paulo Responder-a: onzeonze@terra.com.br Para: Dicas Linux-BR Assunto: (linux-br) FreeSwan com cliente IPSec MS Windows 98 Data: 27 Jan 2003 23:54:34 -0200 Fala pessoal, Alguem aqui já utilizou o cliente IPsec que saiu na Microsoft para o Windows 98 com servidores Linux FreesWan ? Esse cliente saiu no meio do ano passado e está disponivel no endereço http://www.microsoft.com/windows2000/server/evaluation/news/bulletins/l2tpcl ient.asp Alguem tem algum DOC sobre o assunto ? Abraços ************************************************** De: Sérgio Valério Para: Uso Linux Cc: linux-br Assunto: Re: (linux-br) Freeswan - Matriz e 3 filiais. Data: 29 Jan 2003 11:31:39 -0200 Bom dia Cristhiano, Sim tem como fazer e você pode adotar dois modelos : 1- VPN entre cada filial e a matriz - mais difícil de administrar 2- HUB Spoke ou HUB Tunnel - tudo passa pela matriz.. O Freeswan pode ser usado em qualquer do dois modelos : aconselho o HUB Spoke pela facilidade de administração. Ele tem o problema de que se cair o link, ninguém fala com ninguém... []´s Sérgio Uso Linux wrote: Pessoal, já consegui montar uma VPN entre a Matriz e a FilialA, agora estou precisando montar com a FilialB e FilialC. Tem como? ************************************************** De: Elvis Pfützenreuter Para: Uso Linux , linux-br Assunto: Re: (linux-br) Freeswan - Matriz e 3 filiais. Data: 29 Jan 2003 02:29:04 -0200 Em Terça 28 Janeiro 2003 16:35, Uso Linux escreveu: > Pessoal, já consegui montar uma VPN entre a Matriz e a FilialA, agora estou > precisando montar com a FilialB e FilialC. Crie uma VPN para cada filial, da mesma forma que você fez com a primeira. VPN é ponto-a-ponto. Se as filiais tiverem de se comunicar entre si, você pode ainda adotar 2 estratégias: - rotear através da matriz (mais fácil, se o tráfego for realmente pequeno) - criar VPNs diretas entre as filiais (mais complexo, haverá uma explosão combinatorial no número de VPNs, mas evita queimar a banda da matriz). ************************************************** De: Marco Aurelio Para: usolinux@raisernetwork.com, linux-br Assunto: Re: (linux-br) Freeswan - Matriz e 3 filiais. Data: 03 Feb 2003 12:24:55 -0200 Tem como sim... No arquivo .secrets vc deve colocar apontar as outras filais ex: 10.0.0.1 192.168.1.1 "senha" #matriz==>A 192.168.1.1 10.0.0.1 "senha" #A==>matriz 10.0.0.1 192.168.1.2 "senha" #matriz==>B 192.168.1.2 10.0.0.1 "senha" #B==>matriz 10.0.0.1 192.168.1.3 "senha" #matriz==>C 192.168.1.3 10.0.0.1 "senha" #C==>matriz e assim vai, se por acaso vc quiser fazer uma VPN entre C e B deve existir a ida e volta para C e B tambem etc. vc deve criar uma outra conn com as respectivas configurações... Espero ter dado uma Luz... []s MR Em Jan 2003, Uso Linux escreveu: >Pessoal, já consegui montar uma VPN entre a Matriz e a FilialA, agora estou >precisando montar com a FilialB e FilialC. >Tem como? ************************************************** De: Andreas Para: Franco Catena Cc: Linux - BR Assunto: Re: (linux-br) FREESWAN Data: 12 Feb 2003 10:31:08 -0200 On Thu, Feb 13, 2003 at 08:14:57PM -0300, Franco Catena wrote: > das vezes NAO. Das maquinas linux eu jamais consegui pingar o outro lado, > mas as estações eventualmente sim. Do FAQ do freeswan: http://www.freeswan.org/freeswan_trees/freeswan-1.99/doc/faq.html#cantping Trecho: "The standard subnet-to-subnet tunnel protects traffic only between the subnets. To test it, you must use pings that go from one subnet to the other." Em outras palavras, o túnel ipsec é entre as subredes, por isso que ping de um gateway para o outro (com os ips privados) não funciona. Se quiser que funcione, adicione conexões específicas para os gateways no ipsec.conf. ************************************************** De: Jorge Godoy Para: Raul Luchtenberg Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Adsl + Vpn Data: 12 Feb 2003 22:42:33 -0200 "Raul Luchtenberg" writes: > consigo configurar impressoras em samba para que possa mandar > impressoes de um lado para o outro Talvez com WINS se o samba for necessário. Entretanto, podes usar o CUPS diretamente. Ele permite a impressão em rede e, pela VPN, o outro lado está numa rede tua... Apenas configure os gateways/firewalls/túneis de maneira adequada. -- Godoy. ************************************************** De: Antonio S. Martins Jr. Para: Wilson Bom Cc: Linux-br Assunto: Re: (linux-br) FreeS/WAN Data: 11 Mar 2003 19:36:03 -0300 On 11 Mar 2003, Wilson Bom wrote: > Alguém poderia me indicar um link ou uma receita de bolo para configurar > o FreeS/WAM com ip fixo no modem ? De uma olhada em www.freeswan.org, eh soh seguir a instalacao. Se for no conectiva pule a compilacao, e passe para a configuracao. Lembrando de atentar para a versao do freeswan instalada na hora de ler os documentos. ************************************************** De: Jose Paulo Batista Silva Para: linux-br@bazar.conectiva.com.br Assunto: (linux-br) Re: [seguranca] Re: (linux-br) VPN: IPSEC + CL8 + ADSL BRT Data: 15 Apr 2003 11:36:58 -0300 Experimente colocar a regra que sugeri (claro adaptada p/ iptable), pois pode haver uma política default restritiva. Outra coisa: além de iniciar o serviço ipsec também tem de iniciar o túnel propriamente: /sbin/ipsec manual --up nome_da_conexão_no_ipsec.conf Isto pode ser confirido através do comando: /sbin/ipsec look José Paulo Batista Silva Linux user #143502 Em Ter, 2003-04-15 às 10:32, Listas Inter.Net escreveu: > Não sei a do Marcelo, mas estou usando o kernel 2.4.X > e apenas ativei o forward de pacotes, não fiz mais > nada . > Não tenho nenhuma regra no iptables. > > Vocês já verificaram as regras do iptables/ipchains? > > Em ambas as pontas deve haver uma regra para forward > > sem masquarede > > tipo: > > ipchains -I forward 1 -b -s 192.168.0.0/24 -d > > 192.168.30.0/24 -j ACCEPT > > José Paulo Batista Silva ************************************************** De: Sérgio Valério Para: marcos_linux@gpoli.com.br Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) VPN - FreesWan Data: 04 Jun 2003 11:18:08 -0300 Bom dia Marcos, Normalmente não uso o freeswan que vem com o Conectiva. Pego do site do freeswan e compilo o kernel.. marcos_linux@gpoli.com.br wrote: Caro Sergio. Então... Há aqui na empresa, uma rede com máquinas rodando windows, de 98 a 2000. Temos dois servidores rodando linux. Um de dados, e um de internet. Até aí sem problemas... Sendo que no de internet roda com roteador/firewall com iptables, o sendmail, e o squid. (Eu não tinha uma máquina só pra roteador) Nos dois servidores, está rodando o conectiva 8.0. O freeswan é o freeswan-1.95-1cl. Esta sua versão de freeswan é antiga. A versão atual é a 2.0. Mas você pode pegar a versão 1.99 em http://www.freeswan.org , assim como a documentação, que é bem completa e vasta... Há uma outra rede que preciso interligar, via internet, com as mesmas características. Sem problemas.. Fiz as configurações seguindo as instruções do site http://www.conectiva.com/doc/livros/online/6.0/guia_pratico/vpn-apresenta.html, mas parece que está desatualizado, pois alguns arquiivos de configuração, eu não encontrei na minha máquina. Bastante desatualizada, pois fala do Freeswan 1.3 ... Na verdade, até parece ser fácil a configuração do ipsec. Mas como se trata de uma questão de segurança, não é bom arriscar a sair mexendo em configurações, sem ter certeza de que não abrirá a máquina para possíveis ataques. Em princípio você não terá grandes problemas com segurança, até porque a idéia básica do IPSec é prover comunicação segura entre duas redes/hosts.. Bom, aí vai o resultado do comando ipsec setup start : Uma dúvida crucial é : O que faz o rp_filter = '0' que ele pede para alterar. E eu tentei alterar no /proc/sys/net/ipv4/conf/ipsec0/rp_filter, mas ele não deixa, porque quando eu para o ipsec, e restarto os arquivos são recriados. No /proc/sys/net/ipv4/conf/eth1/rp_filter eu consigo alterar para zero, mas não tenho certeza pra que serve, então voltei para _1_ Você deve alterar este parâmetro no sysctl.conf para que ele esteja sempre lá. Quanto ao rp_filter, segue abaixo : http://www.lwolenczak.net/index.php?page=rpfilter rp_filter.... The illusion of spoofing defense.... Also known as... Why will my weird ass config not work? Most linux distributions set /proc/sys/net/ipv4/conf/all/rp_filter to 1. This gives the illusion of security. It causes linux to ignore packets that are not directly adressed to it, or that are not originating on a directly connected interface/network. This reeks havoc with virtual interfaces (ipsec0, gre0, ipip0, et cetra). Hell, if it's enabled, you won't even see packets in tcpdump. This can drive an admin to BOFH insanity. My advice: First thing you do in your firewall/nat scripts, turn off rp_filter!!!!!!!!! Example: echo "0" >>/proc/sys/net/ipv4/conf/all/rp_filter http://www.test.mydomain.com/api-doc/proc-view?proc=rp%5ffilter rp_filter (private) rp_filter why Defined in packages/acs-tcl/tcl/request-processor-procs.tcl This is the first filter that runs. It sets up ad_conn and handles session security. Parameters: why ***************** [root@netserv /]# ipsec setup start ipsec_setup: Starting FreeS/WAN IPsec 1.95... ipsec_setup: Warning: loading /lib/modules/2.4.18-2cl/kernel/net/ipsec/ipsec.o will taint the kernel: no license ipsec_setup: WARNING: ipsec0 has route filtering turned on, KLIPS may not work ipsec_setup: (/proc/sys/net/ipv4/conf/ipsec0/rp_filter = `1', should be 0) ele está informando que rp_filter deve ser colocado em "0" ipsec_setup: WARNING: eth1 has route filtering turned on, KLIPS may not work ipsec_setup: (/proc/sys/net/ipv4/conf/eth1/rp_filter = `1', should be 0) ****************** Muito obrigado. De nada ************************************************** De: Sérgio Valério Para: Luciano S. de Paula Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) VPN - FreesWan Data: 04 Jun 2003 19:55:36 -0300 Boa noite Luciano, Criptografia menor ? Normalmente o pessoal quer maior... Bom tenho usado o FreeSwan sempre com criptografia maior que 1024 bits.. []´s Sérgio Luciano S. de Paula wrote: Olá pessoal, alguém já conseguiu configurar uma VPN com o Freeswan versão 1.99 , com criptografia menor de 512 bits ? Obrigado ! ************************************************** De: Sérgio Valério Para: Claudio Santos Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Conexao co VPN Data: 29 Jun 2003 11:19:35 -0300 Bom dia Cláudio, Se todo o resto estiver correto, você tem um problema ( novidade !!!). Provavelmente está fragmentando os pacotes de negociação do isakamp. Talvez você tenha que abaixar o MTU nos dois lados para algum valor menor que o default ( ou o que você escolheu ). Só por curiosidade , qual versão do Freeswan você está usando ? []´s Sérgio Claudio Santos wrote: Por favor, alguem sabe me informar porque eu recebo esta mensagem no log: (discarding duplicate packet), eu não consigo fazer a conexao porque esta me enviando esta mensagem. # basic configuration config setup # THIS SETTING MUST BE CORRECT or almost nothing will work; # %defaultroute is okay for most simple cases. interfaces=%defaultroute tente colocar aqui interfaces="ipsec0=ethx" onde ethx é sua placa que fala com o ADSL. ************************************************** De:  Sérgio Valério Para:  Claudio Santos Cc:  linux-br@bazar.conectiva.com.br Assunto:  Re: (linux-br) Conexao co VPN Data:  Sun, 29 Jun 2003 11:19:35 -0300 Bom dia Cláudio, Se todo o resto estiver correto, você tem um problema ( novidade !!!). Provavelmente está fragmentando os pacotes de negociação do isakamp. Talvez você tenha que abaixar o MTU nos dois lados para algum valor menor que o default ( ou o que você escolheu ). Só por curiosidade , qual versão do Freeswan você está usando ? []´s Sérgio Claudio Santos wrote: Por favor, alguem sabe me informar porque eu recebo esta mensagem no > log: (discarding duplicate packet), eu não consigo fazer a conexao > porque esta me enviando esta mensagem. > > # basic configuration > config setup >     # THIS SETTING MUST BE CORRECT or almost nothing will work; >     # %defaultroute is okay for most simple cases. >     interfaces=%defaultroute > tente colocar aqui interfaces="ipsec0=ethx" onde ethx é sua placa que fala com o ADSL. ************************************************** De:  mms Para:  Marcelo Gomes , lista linux Assunto:  Re: (linux-br) VPN com pptpd Data:  Sat, 24 May 2003 13:22:21 -0300 Utilize o PoPToP... eu estou utilizando em minha empresa e está funcionando bem. Acho que o site do projeto é www.poptop.org t+ > Estou precisando implantar uma solução de VPN com o pptpd, alguém tem > alguma documentação que possa me passar? ************************************************** De:  Francisco Jr Para:  linux-br@bazar.conectiva.com.br Assunto:  Re: (linux-br)VPN entre filiais Data:  Thu, 07 Aug 2003 08:23:28 -0300 Tente: 1) Freeswan/ipsec (http://www.freeswan.org)  (altamente recomendado) 2) vtund 3) http://sunsite.dk/vpnd/ 4) www.poptop.org Ate + > Possuo um RH 8 em meu escritório e preciso comunica-lo com outro RH 8 em > uma filial... é possível fazer via internet? Como faço a VPN entre eles? >  Preciso urgente de uma solução! Por favor me ajudem! :) ************************************************** De:  Henrique Cesar Ulbrich Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)VPN entre filiais Data:  Thu, 7 Aug 2003 12:30:35 +0000 Historiadores acreditam que, em Qua 06 Ago 2003 17:28, Eduardo Bruno Silva disse: > RH 8 <-> RH 8 em uma filial... Como faço a VPN ? >Quem tiver HowTo, favor mandar! Antes de começar a ver VPN, a leitura recomendada é http://www.faqs.org/docs/Linux-HOWTO/Networking-Overview-HOWTO.html http://www.linuxdoc.org/HOWTO/Kernel-HOWTO.html http://www.linuxdoc.org/HOWTO/PPP-HOWTO/index.html http://www.openssh.org/ Pra começar: http://www.zago.eti.br/menu.html Depois: http://kubarb.phsx.ukans.edu/~tbird/vpn/FAQ.html http://www.faqs.org/docs/Linux-HOWTO/VPN-HOWTO.html http://www.faqs.org/docs/Linux-mini/ppp-ssh.html http://andrew2.andrew.cmu.edu/rfc/rfc2406.html (ESP) http://andrew2.andrew.cmu.edu/rfc/rfc2402.html (AH) http://andrew2.andrew.cmu.edu/rfc/rfc2408.html (IKE) http://andrew2.andrew.cmu.edu/rfc/rfc2637.html (PPTP) http://www.freeswan.org/ http://www.antd.nist.gov/cerberus/ http://poptop.lineo.com/ http://www.counterpane.com/pptp.html http://sites.inka.de/sites/bigred/devel/cipe.html http://cipe-win32.sourceforge.net/ http://www.linuxdoc.org/HOWTO/mini/Cipe+Masq.html Este aqui não se aplica mais a sistemas Linux modernos, mas para o caso de você ter um ancião rodando... http://www.linux.org/docs/ldp/howto/mini/VPN.html > Preciso urgente de uma solução! Por favor me > ajudem! :) Que tal pedir ajuda pro seu amigo de todas as horas, ANTES de disparar contra a lista? http://www.google.com/linux Quem procura, acha... > Grato, De nada -- Henrique Cesar Ulbrich Editor - Digerati Books henrique@digerati.com.br ************************************************** De:  leolistas@solutti.com.br Para:  seguranca@distro2.conectiva.com.br Assunto:  Re: [seguranca] Implementacao VPN Data:  Sat, 6 Sep 2003 12:19:53 -0300    Ou pode usar ainda o IPSec, implementado pelo FreeSWAN (http://www.freeswan.org). A vantagem de usar IPSec é que você vai poder estabelecer VPNs com (teoricamente) QUALQUER equipamento que também implemente IPSec, já que esse é um protocolo definido por RFCs.    Tenho algumas poucas VPNs rodando em IPSec, mas já consegui com sucesso configurar VPNs entre: Linux e Cisco PIX, Linux e Windows 2000, Linux e Windows XP .... tudo com IPSec.    Não tenha dúvida nenhuma que IPSec vai ser a solução mais complicada e chata que alguém pode te recomendar, mas como recompensa, você vai poder estabelecer VPNs com tudo. As versões mais novas do FreeSWAN implementam um recurso chamado 'Oportunistic Encryption (OE)' que é bem interessante. A idéia dele é que o servidor FreeSWAN consiga 'descobrir' quais clientes são IPSec-enabled e, automaticamente, criptografar os dados para aquele cliente. Bem interessante, apesar de que esse recurso eu nunca mexi.    Atenciosamente,    Leonardo Rodrigues    Solutti Tecnologia Citando Tiago Bortoletto Vaz : > Olá, > > voce pode usar o PoPToP, servidor pptp do GNU/Linux, ou se preferir, o > l2tpd. > > > Caros Colegas: > > > >     Tenho que implementar uma VPN com um srv Linux aqui em SSA, e um > >     notebook > > com WinXP, que irá fazer acessos remotos. Sempre implementei VPN > > Linux-Linux. Alguem tem algum case, ou exemplo de como poderia criar > > essa VPN? ************************************************** De:  Sérgio Valério Para:  Gilberto Nunes Ferreira Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Liberar protocolo IPSEC Data:  Fri, 19 Sep 2003 11:14:50 -0300 Olá Gilberto, Segundo o manual do Freeswan (RTFM), temos o seguinte exemplo para o iptables ( somente na parte de liberação das portas - você precisa implementar as outras regras...) # IKE negotiations iptables -A INPUT -p udp --sport 500 --dport 500 -j ACCEPT iptables -A OUTPUT -p udp --sport 500 --dport 500 -j ACCEPT # ESP encryption iptables -A INPUT -p 50 -j ACCEPT iptables -A OUTPUT -p 50 -j ACCEPT # AH authentication iptables -A INPUT -p 51 -j ACCEPT iptables -A OUTPUT -p 51 -j ACCEPT # Liberar para a aplicação iptables -A INPUT -p tcp --sport 2020 --dport 2020 -j ACCEPT iptables -A OUTPUT -p tcp --sport 2020 --dport 2020 -j ACCEPT # Comunicacao entre Matriz e Filial1 iptables -A FORWARD -s 192.168.19.0/24 -d 192.168.1.0/24 -j ACCEPT iptables -A FORWARD -d 192.168.19.0/24 -s 192.168.1.0/24 -j ACCEPT Gilberto Nunes Ferreira wrote: Olá lista.... > > Tenho que liberar um firewall para acessar um servidor VPN. > Segundo me informaram, tenho que liberar duas coisas: > > ---->>>> Protocol UDP Port 500 > ---->>>> Protocol  IPSEC-  Port 50 & 51 > > O UDP tudo bem, que eu liberaria com iptables: > > iptables -A INPUT -p udp -s $MYNET -d $VPN --dport 500 -j ACCEPT > > Mas e o IPSEC? Tentei liberar o protocolo tcp (pois se não me falha a > memória, ipsec é uma implementação ip) sob ADSL mas não funcionou. > Depois de liberara estas portas, teria que utilizar um cliente Windows, > chamado de Conivity VPN Client, para conectar no servidor VPN. > E acho que o seu cliente é o Contivity da Nortel, certo ? Temos estes links e sugestões : 1-   (http://www.freeswan.ca/docs/Contivity) 2 - Not with FreeS/WAN.  The Nortel uses XAUTH, a draft extension to IKE, which expired and never made it to the RFC stage.  No one has implemented support for it in FreeS/WAN. 3- You have 2 options: 3.1) Get the latest version of the Nortel Client (4.15d I think) which supports NAT Traversal over UDP, and ensure this is enabled on the Nortel Contivity. 3.2) Connect FreeS/WAN to the Nortel Contivity, as a branch office.  See http://www.freeswan.ca/docs/Contivity/ for details on doing this. []´s Sérgio ************************************************** De:  Jefferson B. Limeira Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Rotas estaticas Data:  Mon, 22 Sep 2003 11:25:38 -0300 Bom Dia,       Qual o erro completo? Tenho implementado sim, e está funcionando bem legal, duas redes invalidas se acham através do túnel pela internet. Acontece que os dois servidores, onde estão instalados a VPN, não se falam, e um não fala diretamente com a rede remota, somente as redes mesmo. Isso está documentado, e até entendo o porque vendo a tabela de rotas depois do ipsec rodando.   --  Jefferson B. Limeira TurboPro Internet http://www.turbopro.com.br     Citando Juliano :   > Bom dia! >  > Qdo o ipsec sobe ele tenta criar uma rota para o servidor B, so  que > analizando os logs vi que esta dando erro qdo ele executa o "route add" > para > este servidor.. Vc tem isto imlementado? Funciona com servidorer que nao > estejam num mesmo segmento de redes? ************************************************** De:  laea@rapport.com.br Responder-a:  laea@rapport.com.br Para:  Roterdan Macedo Cc:  seguranca@distro2.conectiva.com.br Assunto:  Re: [seguranca] VPN com VELOX Data:  Wed, 24 Sep 2003 18:32:35 -0300 Eu tenho usado essa solução com sucesso. Atualmente administro 3 sites com essa configuração, além de mais 2 por acesso cable (que também é IP Dinamico). No caso do Velox a dificuldade é o login. Nem sempre o login automatico funciona. A chamada ao programa "atualizador do dyndns" é feita no script de login. Também há um script que roda a cada hora confirmando o ip dinamico, só por garantia. Para VPN uso FreeS/WAN. No ipsec.conf coloque o endereço dyndns, em vez do ip address. E lembre-se de executar "ipsec auto --replace xxxxx" e depois "ipsec auto --up xxxxxx" após cada conexão. Isso também é colocado no script de login do Velox. ************************************************** De:  Sérgio Valério Para:  Coelho, Wagner Cc:  linux-br@bazar.conectiva.com.br Assunto:  Re: (linux-br)Vpn Freeswan Data:  Wed, 01 Oct 2003 18:32:01 -0300 Boa tarde Wagner, Basta dar uma lida no manual do Freeswan que você verá que eles aceitam conexões de "road warriors", ou seja máquinas que se conectam à internet por linha discada e também de sub redes... Coelho, Wagner wrote: Olá pessoal, estou procurando montar um tipo de Vpn que ainda não encontrei nenhum material util na internet e que na minha opinião deve ser muito importante. O que estou tentando fazer é o seguinte. >             isdn        internet > Notebook -------------||||||||||||---------Gateway VPN---------rede internet... > Ou seja eu quero montar um gateway vpn que aceite conecção diretas de meus clientes com windows 2000. > Se alguem puder me ajudar agradeço. > Obrigado. ************************************************** De:  Luiz Henrique Gomes Para:  alfrare@terra.com.br Cc:  Linux-Br Assunto:  RES: (linux-br)Problemas com PPTP e Client W2K Data:  Tue, 4 Nov 2003 09:13:26 -0200 >Eu estou tentando fazer funcionar uma VPN no Conectiva 9 com os usuário que >utilizam W2K em seus notebooks, mas não consigo fazer funcionar. >Eu usei o pacote pptpd-1.1.3-1.i386.rpm para esta solução. Adriano, em primeiro lugar, bem vindo a luta :)) E esta luta está feia. Eu tb estou configurando um servidor para estações Win2k a quase um mês e ainda não está tudo funcionando, mas eu já consegui reunir algumas informações: Se você utilizar os parametros mppe-40 ou mppe-128, você precisa instalar o ppp com suporte a mppe, recompilar o kernel com o patch para mppe e colocar a instrução "alias ppp-compress-18 ppp_mppe" no modules.conf. Se você utilizar os parametros +chapms ou +chapms-v2, você precisa instalar o ppp com suporte ou recompilar o ppp com o patch correto. Outro detalhe: Se você não for utilizar o mppe, sua conexão não será criptografada e será necessário configurar a conexão no Win2k para que ela aceite isto, pois o default e recusar conexões não criptografadas. (pelo log este parace ser o problema). Qualquer dúvida estamos ai. Luiz ************************************************** De:  Frederico Vaz Para:  'supmino' , 'linux' Assunto:  RES: (linux-br)Problema em migrar o W2000 para o Linux - VPN Data:  Sat, 8 Nov 2003 14:51:11 -0300 > supmino escreveu em: > terça-feira, 4 de novembro de 2003 22:57 > Tenho 2 estações com Win2000 e um proxy Win2000 Server. > As 2 estações conectam ao mesmo tempo via VPN em um provedor. > Estou tentando trocar o meu proxy Win2000Server pelo Linux Conectiva 8. > Quando eu faço essa mudança, SOMENTE 1 estação consegue a conexão da VPN. > No proxy Linux está habilitado NAT, a porta 1723 e tambem o protocolo GRE, > mas não resolve. > Oque posso fazer????alguma dica????? Luiz Gustavo, A empresa que terceiriza a folha de pagamento para a empresa que eu trabalho, disponibilizou uma VPN para consulta das informações utilizando PPTP. Na empresa que trabalho utilizamos NAT (IPTABLES) e inicialmente aconteceu a mesma coisa. A primeira estação que conectava era a única que conseguia manter a conexão. Resolvi o problema com a utilização de NAT 1:1 para as estações que necessitavam consultar as informações. Como eram três estações tive que disponibilizar três IP válidos para utilização da VPN proposta por esta empresa terceirizada. Optei por está solução analisando os Logs do Firewall, pois quando outra estação solicitava conexão após alguma outra conectada os pacotes transmitidos pelo servidor PPTP eram enviados somente para quem já estava conectado. Tecnicamente ainda não tive tempo de verificar o motivo, mas acredito que a limitação está no servidor PPTP.   _  ºVº    Frederico Vaz /(_)\   Linux User # 195722  ^ ^    fredvaz@vipbr.com.br ************************************************** De:  Luiz Antonio Cassetari Vieira Filho Para:  Walter Ehrlich Domingues Cc:  Lista Conectiva Assunto:  Re: (linux-br)VPN - Linux , Quais as desvantagens? Data:  Thu, 13 Nov 2003 13:43:55 -0200 Em Quarta 12 Novembro 2003 00:34, Walter Ehrlich Domingues escreveu: > Olá amigos, > Sugeri ao meu diretor de informática  a implantação de uma VPN ligando meu > Site (Santos) ligado a outro Site (SP) através de um link com a Speedy > (usaria a Banda larga - uma conexão de 512Mbps) > > Atualmente usamos um link dedicado de 128Kbps, que trafega mensagens de > e-mail, uma intranet, e eventualmente acessamos remotamente de Santos > através de VNC as estações de trabalho localizadas em SP. > > Pergunto: > Uma VPN usando Speedy 512Mbps (em ambas as pontas)  atenderia minhas > necessidades? > Como medir a sua performance? > E quanto a criptografia nas duas pontas? Quanto isso custaria em > performance para a rede? > > Onde posso encontrar artigos que  abordam melhor esta idéia. Gostaria de > convence-lo (meu diretor) a implantarmos esta solução como uma contingência > eficiente. > Ele alega que implantar uma VPN usando Speedy não é interessante. Diz que a > criptografia deixa o tráfego mais lento e usar este tipo de banda larga é > pura enganação. > > Concordo que não teríamos 512Mbps dedicados em nenhuma das pontas, mas > seria mais que 128kbps certo? > > Sds, > Walter Você pode dar uma olhada nesse artigo. http://www.altoriopreto.com.br/artigo_vpn.php Quanto a criptografia, ela adiciona um pouco de latência na rede, especialmente se você usar roteadores com pouca capacidade. Em 128k, usando durons 900, tivemos um acrecimo de 2ms na latência. Usando P133, tivemos um acrecimo de 50ms na latência ;) -- Luiz Antonio Cassetari Vieira Filho Linux Registered User #161254 PGP Key 0xC3D195F0 Uin: #153522423 lcassetari@uol.com.br ************************************************** De:  Jorge Godoy Para:  Walter Ehrlich Domingues Cc:  Lista Conectiva Assunto:  Re: (linux-br)VPN - Linux , Quais as desvantagens? Data:  Thu, 13 Nov 2003 09:20:11 -0200 "Walter Ehrlich Domingues" writes: > Atualmente usamos um link dedicado de 128Kbps, que trafega mensagens > de e-mail, uma intranet, e eventualmente acessamos remotamente de > Santos através de VNC as estações de trabalho localizadas em SP. O tipo de tráfego permanecerá o mesmo? Há previsão de crescimento? Qual a porcentagem de utilização do link atual? Em qual direção o tráfego é maior? > Uma VPN usando Speedy 512Mbps (em ambas as pontas)  atenderia minhas > necessidades? 512 Mbps com certeza. Se você quer dizer, entretanto, 512Kbps, a coisa já é mais passível de análise. Para a primeira você teria fibra óptica ;-) Se tuas necessidades atuais forem as mesmas, provavelmente. Lembre-se que o Speedy usa tecnologia ADSL onde a velocidade dos canais não é a mesma para upstream e downstream. Você está olhando a velocidade de downstream, que é a maior. Para uma comunicação bidirecional usando ADSL a maior limitação está justamente no oposto: o upstream. Cheque qual é a velocidade disponibilizada pela Telefónica (chuto que sejam os mesmos 128 Kbps, logo você não terá ganho algum e poderá ter até mesmo perda de desempenho). > Como medir a sua performance? Como você mede hoje? Acredita no que te dizem quanto à banda? Há diversas ferramentas que medem o tráfego, podendo até mesmo separá-lo por protocolos. Use uma destas. > E quanto a criptografia nas duas pontas? Quanto isso custaria em > performance para a rede? O custo no desempenho devido à criptografia gira em torno de 10% a 30%, dependendo do tipo de criptografia utilizada, da qualidade do canal, etc. > Onde posso encontrar artigos que abordam melhor esta idéia. Gostaria > de convence-lo (meu diretor) a implantarmos esta solução como uma > contingência eficiente. Será para contingência ou para substituição do link atual? > Ele alega que implantar uma VPN usando Speedy não é > interessante. Diz que a criptografia deixa o tráfego mais lento e > usar este tipo de banda larga é pura enganação. Dependendo da aplicação ele está correto. > Concordo que não teríamos 512Mbps dedicados em nenhuma das pontas, > mas seria mais que 128kbps certo? Pode ser. Veja qual é a velocidade do upstream. E você sabe que para usar este tipo de aplicação você terá que contratar algo como um Speedy Business, não? AFAIK o contrato do Speedy residencial proíbe esse tipo de uso (não sou de São Paulo, mas a Brasil Telecom aqui no Paraná tem este tipo de restrição). Minha sugestão? Contratem uma consultoria para avaliar isso para vocês. Se quiser negociar, entre em contato em particular... -- Godoy.      ************************************************** De:  Sérgio Valério Para:  Walter Ehrlich Domingues Cc:  Lista Conectiva Assunto:  Re: (linux-br)VPN - Linux , Quais as desvantagens? Data:  Fri, 14 Nov 2003 10:05:19 -0200 Bom dia Walter, Como diria Jack, vamos por partes.. Walter Ehrlich Domingues wrote: Olá amigos, > Sugeri ao meu diretor de informática  a implantação de uma VPN ligando meu > Site (Santos) ligado a outro Site (SP) através de um link com a Speedy > (usaria a Banda larga - uma conexão de 512Mbps) > Até aqui tudo bem, mas aconselho usar Speedy Business Atualmente usamos um link dedicado de 128Kbps, que trafega mensagens de > e-mail, uma intranet, e eventualmente acessamos remotamente de Santos > através de VNC as estações de trabalho localizadas em SP. > Qual o CIR deste link ? Com este tipo de link, você normalmente tem toda esta banda para passagem de dados, o que não acontece num link ADSL, pois as velocidades de upstream e downstream são diferentes. Pergunto: > Uma VPN usando Speedy 512Mbps (em ambas as pontas)  atenderia minhas > necessidades? > 512 MBps ? Uau! com certeza... mas o novo Speedy Business tem em 300, 450, 600 Kbps e 1 e 2 Mbps para downstream e upstream variável ( até 600 Kbps o upstream é de 128 Kbps ) e o mais importante : tem limite de consumo ( 10, 20 30 e 50 Gb /mês ) - o que acho uma sacanagem. Quanto às suas necessidades : e-mails sem muito problema, VNC também funcionaria legal, mas o que roda em sua Intranet ? > Como medir a sua performance? > Existem várias ferramentas para fazer isso. E quanto a criptografia nas duas pontas? Quanto isso custaria em performance > para a rede? > Olha tenho VPNs instaladas entre por exemplo matriz e 20 filiais rodando e-mail interno, uma intranet, transferência de arquivos via FTP de hora em hora  e VNC e funciona muito bem usando gateways com k6-II 450 com 64MB de memória e FreeSwan. Onde posso encontrar artigos que  abordam melhor esta idéia. Gostaria de > convence-lo (meu diretor) a implantarmos esta solução como uma contingência > eficiente. > Tem que dar uma procurada na internet. Ele alega que implantar uma VPN usando Speedy não é interessante. > Discordo. Pode ser bem interessante e bem barato, mas você tem uqe levar em conta que normalmente o SLA para um link dedidcado é bem mais rigoroso que para Speedy ( tipicamente 4 horas para o link dedicado e 48 horas para o Speedy ) e isso pode ser importante. Diz que a criptografia deixa o tráfego mais lento e usar este tipo de banda larga é pura enganação. Não é "enganação" se você souber o que está comprando e se for adequado às suas necessidades, o que pode ser determinado por uma análise do seu ambiente. Concordo que não teríamos 512Mbps dedicados em nenhuma das pontas, mas seria > mais que 128kbps certo? > De forma alguma. Como contingência funciona ou como uma maneira econômica de interligação de redes/hosts, dependendo do que você roda Sds, > Walter > []´s Sérgio ************************************************** De:  Andreas Para:  Alberto Fabiano Cc:  seguranca@distro2.conectiva.com.br Assunto:  Re: RES: [seguranca] FreeSWAN CA 2.02 x PIX - problemas na phase 2 Data:  Thu, 2 Oct 2003 13:18:34 -0300 On Thu, Oct 02, 2003 at 10:09:51AM -0300, Alberto Fabiano wrote: >       ...para quem não se lembra, estou com FreeSWAN CA 2.02 e estou com uma > certa dificuldade para fechar uma VPN com um parceiro que possui um PIX, > utilizando 3DES, MD5, IKE/PSK, PFS e DH2, pois na phase 1 o SA é > estabelecido mas na phase 2 está ocorrendo uma pequena falha... Já deu uma olhada no manual de interoperabilidade do freeswan? Lá tem uma lista de produtos com os quais o freeswan "conversa", e os truques que podem ser necessários para fazer isso funcionar. ________________________________________________________ Lista seguranca seguranca@distro2.conectiva.com.br http://distro2.conectiva.com.br/mailman/listinfo/seguranca ************************************************** De:  mysterx Responder-a:  clubedopinguim@yahoogrupos.com.br Para:  clubedopinguim@yahoogrupos.com.br Assunto:  Re:[Clube do Pingüim] VPN Data:  Mon, 27 Oct 2003 15:18:56 -0200 A VPN ( VIRTUAL PRIVATE NETWORK ) aplica-se em casos que exigem segurança no trafego de dados para interligar duas redes distantes através da internet a baixo custo. Os conexão é feita através de um tunel de dados criado na internet com criptografia que pode variar de 512 a 2048 bits, talves ja existam soluções para mais bits criptografados porem nunca utilizei mais do que 2048 bits de criptografia. Quando se instala uma VPN é comun dos administradores de rede reclamarem da lentidão da internet principalmente quando se fala de sistemas ERP via VPN. Para que isto não ocorra é necessário um controle de banda, ou seja, disponibilizar apenas o necessário para os usuários navegarem. A VPN é uma ótima solução para interligar duas empresas distantes sem muito investimento inicial. Porem pode prejudicar o link de internet, o minimo será um link de 128k. Abraços Rodrigo Verna Comp-Lan Informática --------------------------------------------------------- > Gostaria de matar minha duvida, em quais casos eu utili zaria uma > vpn??? > > Se utilizar alguem poderia me dar uma luz do que precis o para > configurar como se conectar, e abusando um pouco uma ma neira de > configurar uma vpn????? ************************************************** De:  Henrique Wendell Sales de Abreu Para:  Carlos Ribeiro , seguranca@distro2.conectiva.com.br Assunto:  Re: [seguranca] VPN com IP dinâmico Data:  Thu, 18 Dec 2003 08:51:26 -0300 Caro Carlos, Segue o caminho das pedras para vc implantar a tecnica de "road warrior" Lembrando que este topico jah foi discutido na lista. http://www.freeswan.org/freeswan_snaps/CURRENT-SNAP/doc/intro.html http://jixen.tripod.com/#RW-PGP-to-Fwan http://www.freeswan.org/freeswan_trees/freeswan-1.99/doc/interop.html Existem outras tecnicas mas estas sao as mais praticas, com menos "hacking". ************************************************** De:  Sérgio Valério Para:  Kolbe Sistemas - Desenvolvimento Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)VPN {Scanned} Data:  Fri, 12 Dec 2003 12:20:22 -0200 Boa tarde Kolbe Sistemas - Desenvolvimento, Em português tem algumas receitas de bolo por aí, inclusive no site da Conectiva http://www.conectiva.com.br/cpub/pt/incConectiva/suporte/pr/aplicativos.freswan.html mas recomendo o site do próprio em http://www.freeswan.org . Sim, é possível criar uma VPN entre um Ip fixo e um dinâmico. Sim é possível usar Linux e Windows para criar a sua VPN com Freeswan. Recomendo o FreeSwan pois usa o IPSec que é um padrão de mercado. []´s Sérgio Kolbe Sistemas - Desenvolvimento wrote: Alguém conhece um tutorial preferência em português para criação de vpn?  E > da para criar vpn  entre um computador com ip fixo e outro dinâmico? e ainda > um Linux e outro Windows? ************************************************** De:  Andreas Para:  Listas Inter.Net Cc:  seguranca@distro.conectiva.com.br Assunto:  Re: [seguranca] Freeswan - Roadwarrior/consideracoes Data:  Thu, 25 Dec 2003 19:15:54 -0200 On Thu, Dec 25, 2003 at 02:16:17PM -0300, Listas Inter.Net wrote: > Primeiro, um feliz natal a todos ! > Gostaria de saber dos membros da lista, se alguem aqui > ja conseguiu usar o windows XP/2000 conectar em um > freeswan, sem utilizar clientes ipsec de outros > fornecedores (Raptor/SSH Sentinel / PGPnet...), tudo > nativo MS ? Sim, já fiz isso entre o freeswan com patch x509 e windows 2000 server. Foi chato pra caramba. Escrevi um documento interno para o pessoal daqui, vou ver se dá para liberar. Os pontos chatos (e talvez eu tenha feito errado, por isso foram chatos, mas enfim) foram: - gerenciar os certificados. Precisa prestar atenção e ser metódico, é muito fácil se confundir. Que certificado é de que host, qual a CA, marcar a CA como confiável nos dois lados, etc. - regras de filtragem no windows 2000. Tem uma tal de security policy que se aplica ao tráfego ipsec que foi chato de entender e fazer funcionar, tinha que criar regras para o envio e para o retorno do tráfego. Tinha um documento na internet tentando ser um passo a passo disso, mas ainda assim foi chato. Se não me engano o site tinha "jynx" no nome e era no tripod, toda hora ficava fora do ar. Para descomplicar, sugiro primeiro tentar estabelecer a "conexão" usando PSK (pre-shared-key), para só então partir para os certificados x509. ************************************************** De:  Sérgio Valério Para:  Sandro Carvalho Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)instalacao do freeswan Data:  Tue, 07 Oct 2003 11:18:49 -0300 Bom dia Sandro, Do manual (RTFM) do FreeSwan :] http://www.freeswan.org/freeswan_trees/freeswan-1.98b/doc/faq.html#noKLIPS ipsec_setup: Fatal error, kernel appears to lack KLIPS These messages indicate an installation failure. The kernel you are running does not contain the KLIPS (kernel IPsec) code. Note that the "modprobe: Can't locate module ipsec" message appears even if you are not using modules. If there is no KLIPS in your kernel, FreeS/WAN tries to load it as a module. If that fails, you get this message. Commands you can quickly try are: uname -a     to get details, including compilation date and time, of the currently running kernel ls / ls /boot     to ensure a new kernel is where it should be. If kernel compilation puts it in / but lilo wants it in /boot , then you should uncomment the INSTALL_PATH=/boot line in the kernel Makefile. more /etc/lilo.conf     to see that lilo has correct information lilo     to ensure that information in /etc/lilo.conf has been transferred to the boot sector If those don't find the problem, you have to go back and check through the install procedure to see what was missed. Here is one of Claudia's messages on the topic: > I tried to install freeswan 1.8 on my mandrake 7.2 test box. ... > It does show version and some output for whack. Yes, because the Pluto (daemon) part of ipsec is installed correctly, but as we see below the kernel portion is not. > However, I get the following from /var/log/messages: > > Mar 11 22:11:55 pavillion ipsec_setup: Starting FreeS/WAN IPsec 1.8... > Mar 11 22:12:02 pavillion ipsec_setup: modprobe: Can't locate module ipsec > Mar 11 22:12:02 pavillion ipsec_setup: Fatal error, kernel appears to lack > KLIPS. This is your problem. You have not successfully installed a kernel with IPSec machinery in it. Did you build Linux FreeS/WAN as a module? If so, you need to ensure that your new module has been installed in the directory where your kernel loader normally finds your modules. If not, you need to ensure that the new IPSec-enabled kernel is being loaded correctly. See also doc/install.html, and INSTALL in the distro. No manual do FreeSwan tem as respostas para todas suas dúvidas... []´s Sérgio Valério Sandro Carvalho wrote: Ola lista.. > fiz td segundo o manual conectiva.. mas qunado vou startar o servico ipsec... > > #./ipsec start > ipsec_setup: Starting FreeS/WAN IPsec 1.9... > ipsec_setup: modprobe: Can't locate module ipsec > ipsec_setup: Fatal error, kernel appears to lack KLIPS. > Cannot continue IPsec startup. > > alguem sabe o q pode ser??? ************************************************** De:  Andre Ruiz Para:  Roterdan Macedo Cc:  seguranca@distro2.conectiva.com.br Assunto:  Re: [seguranca] VPN com VELOX Data:  Wed, 24 Sep 2003 23:33:36 -0300 (BRT) Sim, uso exatamente isto há 3 anos, nunca falhou. Uso o vtun, mas creio que qualquer programa irá funcionar bem (openvpn também é interessante). IPSec é mais chato, nunca testei. []s Once upon a time, Roterdan Macedo wrote: > Amigos, > > Desculpem minha igonorancia... > > Mas alguem já consegui fazer uma VPN usando o VElOX, o pobrema é q os IPS > sempre mudam e nao tenho nenhum IP fixo, pensei na ideia de usar um dyndns > da vida e colocar o o nome do host ao inves do IP no ipsec.conf, alguem já > teve sucesso cum isso ou com outra solucao? ************************************************** De:  Andreas Para:  Allan Machado Cc:  Lista Seguranca (E-mail) Assunto:  Re: [seguranca] VPN - Srv Linux -> Client MS Data:  Tue, 25 Nov 2003 13:33:44 -0200 On Tue, Nov 25, 2003 at 12:27:37PM -0300, Allan Machado wrote: > Caros Colegas: > >       Já tenho configurado uma VPN entre 02 srv Linux usando o FreeSwan, ou seja, > uso os srv para fechar um tunel entre duas redes. O problema eh que agora > necessito liberar o acesso a rede a alguns notebook´s com WinXP PRO que > acessam a Internet ataves de linha discada. Como posso fazer isso usando o > CL 9? Jah pesquisei na internet mas ateh agora nao obitive sucesso. Supondo que o winxp pro é semelhante ao win2k server nesse aspecto, você vai precisar usar autenticação por certificados. Já fiz isso entre um freeswan e um win2k server, talvez seja semelhante com o winxppro. Aqui tem mais informações: http://www.strongsec.com/freeswan/ Note que o patch x509 já está aplicado no freeswan do CL9, veja apenas a documentação da url acima sobre como usá-lo. ************************************************** De:  Sérgio Valério Para:  locao.vma Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)VPN Data:  Sun, 01 Feb 2004 20:11:28 -0200 Boa tarde Marco, Bom, voltei de férias hoje e a CPU ainda está esquentando ( o carvão que vai aquecer a caldeira que vai girar a turbina....hehehe..) mas para adiantar : o FreeSwan passa por NAT sim. Falemo-nos []´s Sérgio locao.vma wrote: Bom Dia! > > Volto a me bater com isso aqui, bom é o seguinte tenho 03 ADSL´s: > 1 IP-FIXO Brasil Telecom com Alcatel Speed Touch Pro (Router) > 1 Dinâmico Brasil Telecom com Alcatel Speed Touch Pro (Router) > 1 Dinâmico GVT com D-Link. (Router) ************************************************** De:  Thiago Macieira Para:  linux-br@bazar2.conectiva.com.br, filisbino@clips.com.br Assunto:  Re: (linux-br) Algumas dúvidas VPN c/ pptp Data:  Tue, 10 Feb 2004 19:35:40 -0200 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Junior wrote: >Pessoal > >Configurei uma vpn c/ pptp. [corta] >Qual os problemas que isso pode me causar? Falhas de segurança. O protocolo PPTP tem falhas de desenho e expõe riscos de segurança. Use IPSec. - --   Thiago Macieira  -  Registered Linux user #65028    thiagom (AT) mail (dot) com     ICQ UIN: 1967141   PGP/GPG: 0x6EF45358; fingerprint:     E067 918B B660 DBD1 105C  966C 33F5 F005 6EF4 5358 -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.4 (GNU/Linux) ************************************************** De:  Thiago Macieira Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)VPN Data:  Mon, 16 Feb 2004 12:18:54 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Joaquim-linux wrote: >Não é recomendável usar PPTP em lugar nenhum. É inseguro. Fui eu quem escreveu isso. >Gostaria de criar uma rede com varios computadores da internet > acessando a vários serviços da minha rede de forma segura. Como > alguns deste computadores usam Rwindows pensei em usar PPTP... Dado o que eu disse acima, não é uma boa idéia se você pretende usar de forma segura. >Alguem ja fez isto? aconselha ou nao? Não aconselho PPTP. Use IPSec (que funciona em Windows também). - --   Thiago Macieira  -  Registered Linux user #65028    thiago (AT) macieira (DOT) info     ICQ UIN: 1967141   PGP/GPG: 0x6EF45358; fingerprint:     E067 918B B660 DBD1 105C  966C 33F5 F005 6EF4 5358 -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.4 (GNU/Linux) ************************************************** De:  Thiago Macieira Para:  linux-br@bazar2.conectiva.com.br Cc:  Geraldo Assunto:  Re: (linux-br)VPN Data:  Tue, 23 Mar 2004 22:50:26 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Geraldo wrote: >Estou precisando fazer uma conexao de VPN onde na ponta A terei um > linux rodando NAT e as estacoes serao windows. Na ponta B terei um > Win2000 Server rodando o PPTP. Preciso fechar uma VPN das estacoes > windows na Ponta A ate o WIN2000 server na ponta B. Para isso terei > que fazer o linux como cliente PPTP ou simplesmente configura-lo como > um firewall e as estacoes win como cliente PPTP? Alguem ja fez isso > !!!!! Alguem ja configurou o linux como cliente PPTP de um > win200server? Coloque o Linux e o tal servidor Win2k numa VPN em IPSec. Não use  PPTP (o protocolo tem falhas de projeto que comprometem a segurança). Dessa maneira creio ser melhor porque evita a proliferação de VPNs, uma por máquina na localidade A. - --   Thiago Macieira  -  Registered Linux user #65028    thiago (AT) macieira (DOT) info ************************************************** De:  Alex Para:  linux-br Assunto:  Re: (linux-br)VPN Linux x Windows Data:  Sun, 11 Apr 2004 05:05:50 -0700 (PDT)    Segue o seguinte artigo: http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=337&pagina=1    Ele mostra o passo a passo para compilar o kernel ... só que para a versão 2.4.25, procura no google o patch linux-2.4.21-openssl-0.9.6b-mppe.patch.gz.    No sourceforge também tem o pacote do pptpd: http://sourceforge.net/project/showfiles.php?group_id=44827    Onde você pode baixar o pptpd-1.1.4-b4.i386.rpm, que instala até o script de inicialização no init.d. No site do Sourceforge, você também encontra versões de kernel pré-compilado com suporte a mppe, apesar de que é melhor compilar o 2.4.25.    Outro artigo que pode servir de base também: http://www.guiadohardware.net/artigos/277/    Espero que isso ajude :) Falows --- horst@alternet.com.br wrote: > > eu consigo fazer essa mesma sua com o RedHat 7.3 ? > preciso instalar alguma coisa > a mais e compilar kernel ? ************************************************** De:  Thiago Macieira Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br) Serviço VPN pptpd não inicializa no CL9 Data:  Sat, 22 May 2004 20:20:34 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Leonardo Pinto wrote: >Estou montando uma VPN para um cliente, e este utiliza o CL9. >Instalei o pacote PPTPD como manda o figurino >http://www.guiadohardware.net/artigos/277/. Só que ao iniciar o >o serviço /usr/sbin/pptpd este não retorna nenhuma mensagem Isso não significa nada. Normalmente, não dizer nada significa que tudo está ok. >e além do mais NÃO SEI ONDE FICA O ARQUIVO DE LOGS messages no >CL9. Como não? Fica como em todas as outras: no /var/log. >Seguem minhas configurações: >pptpd-1.1.3-1.i386.rpm Esse pptpd não é do CL. Não quer usar um que seja? Aliás, não quer _não_ usar PPTP e preferir algo mais seguro como IPSec? >Kernel 2.4.21-31301U90_15cl > >Se alguém puder me dar um help, ou melhor dizendo um "how-to" >agradeço muito. Tente www.tldp.org, tem vários HOWTOs, inclusive sobre VPN e IPSec. Talvez tenha sobre PPTP, mas continuo recomendando que não o use em circunstância alguma. - --   Thiago Macieira  -  Registered Linux user #65028    thiago (AT) macieira (DOT) info     ICQ UIN: 1967141   PGP/GPG: 0x6EF45358; fingerprint: De:  Thiago Macieira Para:  Leonardo Pinto Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br) Serviço VPN pptpd não inicializa no CL9 Data:  Sun, 23 May 2004 12:06:04 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Leonardo Pinto wrote: >A questão é que preciso usar clientes VPN Rwindows apesar destes >estarem por traz de NAT Linux, o IPSec funciona para redes Rwin? Claro. E até já vem com o próprio Windows 2000. Além disso, existem muitas alternativas comerciais. >Pois gostaria da mesma facilidade que me parece ter o pptpd. >Existe vulnerabilidade no pptpd, pq este é tão desaconselhável?! Existe vulnerabilidade. Basta você ir ao Google e fazer uma pesquisa simples que você encontra informações. Eu já postei na lista um resumo de várias notícias sobre o PPTP. Veja o histórico. Para resumir o resumo, a implementação do PPTP no Windows é tão furada que comete até erros amadores. E o único jeito de consertar é jogar tudo fora e começar de novo. >Se for por questões de afeição, gostaria de continuar com o pptpd, >onde posso achar o RPM para CL9??? Não é afeição. E não tem nenhum pacote oficial. Se você quiser mesmo utilizá-lo, mesmo depois de todos os avisos que eu dei, pegue o código fonte e compile você mesmo. Eu tenho um pacote RPM que eu criei há alguns anos atrás, da versão 1.0.1. >E já que estou cego, segue meu conteúdo /var/log: > >[root@servidor root]# l /var/log/ [corta diretório sem 'messages'] >[root@servidor root]# Seu syslogd está rodando? Está configurado para gravar onde? Todos os CLs que eu instalei gravam no /var/log/messages. Então de duas, uma: você configurou o CL para gravar em algum outro lugar ou então ele não está gravando em lugar nenhum por falta do syslogd. - --   Thiago Macieira  -  Registered Linux user #65028    thiago (AT) macieira (DOT) info     ICQ UIN: 1967141   PGP/GPG: 0x6EF45358; fingerprint:     E067 918B B660 DBD1 105C  966C 33F5 F005 6EF4 5358 ************************************************** De:  netmask@webset.net Para:  Leonardo Pinto Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: RES: (linux-br)Servi ço VPN pptpd não inicializa no CL9 Data:  Tue, 25 May 2004 14:52:47 -0300 (BRT) Leonardo Pinto disse: > Baixei teu RPM, instalei e não acho o programa pptpd. > - Onde este se encontra, como posso iniciar o serviço? Você pode rodar o "pptp-command" para configurar. Depois de configurado, use  "pptp-command start" para iniciar o tunel default. > Além do comando "modprobe ppp" me retornar o seguinte: Esse é um erro em que já estou trabalhando a algumas semanas. Quando eu compilo o módulo na minha máquina, ele embute os símbolos que só existem na minha kernel local. Quando levo o módulo para outra máquina, esses símbolos são diferentes, então dá erro de dependência. Tenho duas possíveis soluções, mas não sei como FAZER. Se alguém da lista puder ajuda, agadeço: a) Compilar o módulo de forma a ficar independente da versão dos símbolos; ou b) Trocar as versões embutidas no módulo para bater com a kernel instalada -- --< Mauricio Teixeira --< netmask@webset.net - Maceió/AL --< Especialista em soluções Linux, Cyclades e Cisco ************************************************** De:  Marcelo Barreto Nees Para:  linux-br@bazar2.conectiva.com.br, Coolins Paker Assunto:  Re: (linux-br)SpeedStream DSL c/ VPN Data:  Thu, 27 May 2004 10:56:12 -0300 Em Qua 26 Mai 2004 12:45, Coolins Paker escreveu: >            Alguém pode me dar alguma idéia de como fazer funcionar uma VPN > onde uma das > pontas desta(servidor) está atraz de um modem SpeedStream. >            Já tentei muita coisa, redirecionei portas, usei DMZ(Default > Workstation) e até tentei > fazer com que o modem não discasse a conexão, mas sim o meu servidor. >             Até agora não obtive exito. >             Estou usando IPSEC, e o problema parece ser que este protocolo > não funciona muito > bem atraz de NAT´(isso é verdade ?). Até onde sei, não funciona atráz de nat. Tem que ativar o modo pptp no modem e fazer o servidor linux se autenticar. Você deve criar algumas regras no seu firewall para liberar o tráfego necessário para o funcionamento da VPN. Depois é só seguir a documentação do IPSEC para criar as chaves etc.. Ex. de regras do iptables: ---------------------------------------------------------------------------------- SRC_IPSEC=IP_DO_SERVIDOR_DO_OUTRO_LADO_DA_VPN # IPsec - IKE negotiations ${IPTABLES} -A INPUT  -p udp -s ${SRC_IPSEC} --sport 500 --dport 500 -j ACCEPT ${IPTABLES} -A OUTPUT -p udp -s ${SRC_IPSEC} --sport 500 --dport 500 -j ACCEPT # IPSec - ESP encrypton and authentication ${IPTABLES} -A INPUT  -p 50 -s ${SRC_IPSEC} -j ACCEPT ${IPTABLES} -A OUTPUT -p 50 -s ${SRC_IPSEC} -j ACCEPT # IPSec -  AH authentication header ${IPTABLES} -A INPUT  -p 51 -s ${SRC_IPSEC} -j ACCEPT ${IPTABLES} -A OUTPUT -p 51 -s ${SRC_IPSEC} -j ACCEPT ---------------------------------------------------------------------------------- Obs: No exemplo acima estou utilizando uma VPN gateway-to-gateway. --  .''`.  Marcelo Barreto Nees : :'  : Pref. de Jaraguá do Sul - SC / Supervisão de Adm. de Redes `. `'`  GNU/Linux user #78191 - http://counter.li.org   `-    To err is human, to really foul up requires the root password. ************************************************** De:  Roger Freitas Lovato Para:  Leonardo Pinto Cc:  Lista Conectiva Assunto:  Re: (linux-br)Entendendo o IPSec, parte 2 Data:  Fri, 28 May 2004 08:41:38 -0300 (EST) Olá, 50 e 51 não são portas, são protocolos, ou seja, use com a opção -p 50 e -p 51 no iptables. []'s Roger > Realmente estou com uma questão grande: > > Não vejo porta nenhuma aberta após iniciar o serviço. > Estou utilizando o "nmap localhost" e não vejo tais > portas 500 UDP, 50 e 51 TCP, qual seria a porta para > que eu possa liberar no iptables??? ************************************************** De:  Pires, Willian Para:  linux-br@bazar2.conectiva.com.br Assunto:  (linux-br) Mais de uma conexão VPN atrás de NAT Data:  Fri, 28 May 2004 11:28:34 -0300 Bom dia Pessoal, Estou com um problema e talvez alguem pode me dar uma força, tenho duas empresas (matriz e filial) nas duas tenho adsl com ip fixo e um servidor de firewall em cada ponta. Dentro das redes tenho servidores Windows 2003 com vpn configurada, dai em cada firewall eu fiz a seguinte regra para colocar as pessoas de fora na vpn no windows 2003 : #Vpn para windows 2003 ppptp# $IPTABLES -t nat -A PREROUTING -d 200.xx.xx.111 -p tcp --dport 1723 -j DNAT --to 192.168.2.1 $IPTABLES -t nat -A PREROUTING -d 200.xx.xx.111 -p 47 -j DNAT --to 192.168.2.1 Blz tudo esta funcionando perfeitamente, só que quando eu tento fazer mais de uma conexão vpn de dentro da filial, ele não faz, me traz um erro, só que se eu tento fazer conexões vpns de diferentes lugares eu consigo tranquilamente até com o mesmo usuário. Andei lendo alguns artigos, onde um deles dizia que o nat do linux não suporta mais de uma vpn saindo pelo mesmo ip, que para isto eu precisaria instalar um patch no kernel, mas o artigo não disse o nome do patch. Detalhe, antigamente a matriz tinha o servidor linux e a filial tinha um windows shared e isso funcionava, quando migrei a filial pra linux parou de funcionar. Alguem teria uma luz para esta questão ??? Agradeço desde ja Willian ************************************************** De:  Márcio Luciano Donada Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)VPN com IPSec/FreeSWan Data:  Sat, 29 May 2004 13:29:45 -0300 Boa Tarde, 1º. O samba está no mesmo gateway da vpn? Se sim, então sugiro o samba/wins estar num servidor dentro da rede 192.168.1.0/24 e assim a outra ponto 192.168.2.0/24 fará a conexão via wins do servers samba que está dentro da rede 192.168.1.0/24. ok? 2º. Você pode ter quantos servidores wins você quizer dentro da vpn mas em redes separadas; 3º. O protocolo que o samba utiliza o CIPS (para estabelecer conexão com o nebius) NÃO é roteável, por isso a necessidade de se ter servidores wins em sua rede; 4º. Acredito que uma boa leitura em alguns livro sobre TCP/IP seriam bem interessantes nesse caso, isso é puramente teórico e muito funtamental para essa sua atividade, caso contrario esta realmente contruindo um servidor de "bomba atomica", pois isso pode uma hora funcionar e outra pode para tudo sem saber o pq, ok? []'s Márcio > > Prezados Linuxers, > > Conectei a rede da matriz e filial, porém não se pode ter mais que > um servidor WINS na mesma rede. O problema está ai, pois tenho que > estabelecer na filial o parâmetro do SAMBA > "wins server = IP_DO_SERVIDOR_WINS_DA_MATRIZ" que na matriz é o > próprio Firewall/Gateway/Servidor. E todo mundo sabe que os gateways > numa VPN não se enxergam, somente as estações. > > Como posso contornar esse impasse, e fazer com que os gateways > se enxerguem??? > Preciso tb que as estações enxerguem os serviços no servidor. > > Se alguém conseguiu sair dessa lama agradeceria humildemente qq/ > ajuda. > ************************************************** De:  netmask@webset.net Para:  Marcio Katan Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Conectar duas redes por velox Data:  Mon, 31 May 2004 15:40:02 -0300 (BRT) Marcio Katan disse: > Olá lista. Estou precisando interligar duas redes (uma da matriz e outra Se eu entendi bem, você vai precisar de um serviço de DNS dinâmico (dynDNS ou no-ip.com, por exemplo). Se você tem um roteador Velox externo (ou seja, não é uma máquina Linux), o próprio ddclient (do dynDNS, que até vem no CL) pode ser configurado para pegar o IP a partir de alguma informação disponível no roteador (aí só lendo o manual). Feito isso, cada máquina vai ter um nome, por exemplo, maq1-ladoA.dyndns.org e maq2-ladoB.dyndns.org. Daí é só você colocar algum VPN (Freeswan, Openvpn,  etc) e apontar para os nomes. O resto é padrão... -- --< Mauricio Teixeira --< netmask@webset.net - Maceió/AL --< Analista TI (Linux) e Telecom (Cyclades, Cisco e Nortel) ************************************************** De:  Joaquim-abc Para:  lista linux-br Assunto:  Re: (linux-br)Conectar duas redes por velox Data:  Mon, 31 May 2004 15:46:51 -0300 > Olá lista. Estou precisando interligar duas redes (uma da > matriz e outra de > uma filial) ambas servida por velox (ADSL no Rio). Gostaria > de saber se > existe um script ou tutorial que faça esta interligação entre > as duas redes. > o script velox.sh eu já tenho, o problema fica por conta dos > ips do velox que > são dois: um externo e um interno. Alguem tem uma dica, site ? > Obrigado > Boa tarde marcio Eu uso o openVPN, comecei com uma conexao ip-fixo - ip-fixo, agora tem conexoes fixo-fixo, fixo-dinamico e dinamico-dinamico, funcina para linux e rwindows... Quando Instalei a acesso dinamico ainda estava em beta como nao tive falhas estou usando a beta, pode dar uma olhada aqui: aqui (ip fixo); http://www.altoriopreto.com.br/artigo_vpn.php aqui (ip dinamico); http://openvpn.sourceforge.net/ ************************************************** De:  Leonardo Pinto Para:  'Marcio Katan' Cc:  Lista Conectiva (E-mail) Assunto:  RES: (linux-br)Conectar duas redes por velox Data:  Mon, 31 May 2004 10:50:32 -0300 Olá Márcio, O que vc quer chama-se VPN com IP dinâmico, e pelo pouco que eu pesquisei só achei este: http://br-linux.org/tutoriais/000833.html Este material pressupõe que de um lado é dinâmico e o outro é fixo, porém use sua criatividade e adapte-o, ok?! Obs.: Comigo conectou que foi uma blza, os problemas foram outros. A medida que vc aprende sua ambição cresce, daí de modo geral tutoriais tornam-se pequenos. Boa sorte, Leonardo Pinto. > Olá lista. Estou precisando interligar duas redes (uma da > matriz e outra de > uma filial) ambas servida por velox (ADSL no Rio). Gostaria > de saber se > existe um script ou tutorial que faça esta interligação entre > as duas redes. > o script velox.sh eu já tenho, o problema fica por conta dos > ips do velox que > são dois: um externo e um interno. Alguem tem uma dica, site ? > Obrigado ************************************************** De:  Leonardo Pinto Para:  Lista Conectiva (E-mail) Assunto:  (linux-br) VPN em curta escala é com OpenVPN Data:  Tue, 1 Jun 2004 12:56:21 -0300 Grandes Amigos, O que seria de mim sem esta lista maravilhosa?!!! Pois é rapaziada, estou de boa agora!!! Consegui minha façanha graças a comunidade. Tentei PPTPD (pouco seguro), IPSec (muito pro), cheguei então ao OpenVPN, noooooossa que programa literalmente de ponta. Acho definitivamente que ele deveria ser incluso nas distros. Consegui fazer meus gateways se enxergarem, e mais, com toda a segurança criptografada. Se alguém quiser se aventurar vai aí um projeto muito completo por suas referências. http://www.altoriopreto.com.br/artigo_vpn.php Agradecimento em especial aos Linuxers: William da Rocha Lima, Marcelo da Silva, Joaquim-abc, Luiz Ignatti, Sérgio Valério entre outros que não consigo me lembrar agora. SDS, Leonardo Pinto OpenLogic Informática Ltda. Tel.: (71) 316-1235/9944-6206 leonardo@openlogic.com.br ************************************************** VPN COM IP DINAMICO. De:  netmask@webset.net Para:  Cristhiano Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)VPN Server-to-Server com IP din âmico? Data:  Wed, 2 Jun 2004 11:30:48 -0300 (BRT) Cristhiano disse: > Gostaria de saber se alguém já conseguiu montar uma VPN Server-to-Server > com ip´s dinâmicos? Eu já. As duas máquinas estavam rodando Smoothwall, atualizado. A conexão nas duas pontas era via Velox empresarial (ADSL padrão, autenticação usando o id-velox.pl). Encontrei nos fóruns do Smooth um patch para fazer com que o VPN reconhecesse endereços pelo FQDN (nome de host + domínio). O padrão é ele aceitar apenas IP. Apliquei o patch sem problema. Configurei cada máquina para ter um nome no NO-IP.com (ex. maq01.no-ip.com e maq02.no-ip.com). Configurei o serviço no próprio sistema interno do Smooth (ele tem suporte a vários dns dinâmicos). Depois foi só criar um script para rodar no CRON que checar de 5 em 5 min se o VPN está ativo. Se não estiver, roda a atualização do DNS (acho que ddupdate) e tenta subir a VPN (ipsec start, se não me engano). Pronto. Ps.: Isso dá um HOWTO??? Pior que nem tenho como escrever direitinho porque as máquinas pifaram e o cliente não fez backup, nem me chamou pra fazer de novo. -- --< Mauricio Teixeira --< netmask@webset.net - Maceió/AL --< Analista TI (Linux) e Telecom (Cyclades, Cisco e Nortel) ************************************************** De:  Joaquim-abc Para:  Lista Conectiva (E-mail) Assunto:  Re: (linux-br)OpenVPN no Rwindows ruim de conectar Data:  Wed, 02 Jun 2004 11:38:35 -0300 Em Ter, 2004-06-01 às 21:45, Leonardo Pinto escreveu: > Olá Linuxers, > > Seguinte pessoal, segue minha síndrome: > > CL9 <========> CL9 Conexão Ok > CL9 <========> Rwin Conexão Bad > > Do lado cliente OpenVPN-2.0_Beta2: > > Tue Jun 01 19:58:34 2004 TLS Error: TLS key negotiation failed to occur > within 60 seconds > Tue Jun 01 19:58:34 2004 TLS Error: TLS handshake failed > > Do lado servidor OpenVPN-1.3.2-27.i586: > > Jun  1 20:29:35 openvpn[8439]: TLS Error: TLS handshake failed > Jun  1 20:29:41 openvpn[8433]: TLS Error: unknown opcodeunix2dos -n funcionarios/padrao/cliente.conf funcionarios/$FUNCIONARIO/cliente.ovpn received from > > Seria algo com as versões server/client?!!! > Seria algo com cliente Rwindows que não consegue usar > autenticação "handshake"?! Li algo a respeito... > > Agora com a autenticação "secret", conectou na boa. A parte > que ta dando um problemão entender são as rotas. > Noooooossa que confusão, pessoalmente acho que a configuração > da parte cliente Linux e Rwindows deveriam ser iguais, mas pelo > visto não é nem um pouco. Alguém poderia me indicar um exemplo > de arquivos de configuração reais?!!! > As configurações podem ser identicas, porem os arquivos devem estar no padrao correto de texto. Voce pode gerar o arquivo de configuraçao do cliente no linux e converter o padrao de testo para windows com o seguinte comando: unix2dos -n cliente.conf cliente.ovpn Um exemplo de configuraçao de cliente (cliente.ovpn): ------------------------------------------ port 50xx dev tun remote 200.xxx.xxx.xxx float # Parametros do TLS # # no diretorio do openvpn deve estar os seguintes arquivos # ca.crt   cliente.crt cliente.key tls-client ca ca.crt cert cliente.crt key cliente.key # Se o seu servidor for multi-cliente precisa do pull pull verb 3 ------------------------------------------------------- joaquim abc ************************************************** De:  William da Rocha Lima Responder-a:  William da Rocha Lima Para:  Fabio Ricardo Schneider , linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)PPTPD atras de NAT Data:  Thu, 3 Jun 2004 02:10:32 -0300 Caro Fabio, Use essa regra X.X.X.X=ip da sua wan Y.Y.Y.Y=ip do servidor pptpd -A PREROUTING -t nat -p tcp -d X.X.X.X --dport 1723 -j DNAT --to Y.Y.Y.Y:1723 Até, -- William da Rocha Lima wrochal@linuxit.com.br www.linuxit.com.br Linux User: 289392 ************************************************** De:  Thiago Macieira Para:  linux-br@bazar2.conectiva.com.br Cc:  Fabio Ricardo Schneider Assunto:  Re: (linux-br)PPTPD atras de NAT Data:  Fri, 4 Jun 2004 00:09:33 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Fabio Ricardo Schneider wrote: >Ola galera > >Estou instando uma VPN com PPTPD em um servidor que esta atraz de um > NAT de um modem ADSL Alcatel SpeedTouch. >Direcionei a porta 1723 do modem para o IP falso do servidor mas não > consigo conectar. >Provavelmente preciso criar alguma regra com IPTables. Redirecione o protocolo (não a porta) extra que o PPTP usa. Não lembro com certeza qual é, mas acho que é o GRE. Mas antes disso tenho dois conselhos: 1) não use PPTP 2) não faça VPN atrás de NAT - --   Thiago Macieira  -  Registered Linux user #65028    thiago (AT) macieira (DOT) info     ICQ UIN: 1967141   PGP/GPG: 0x6EF45358; fingerprint: ************************************************** De:  Jorge Anselmo Para:  Fabio Ricardo Schneider , linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)PPTPD atras de NAT Data:  Fri, 4 Jun 2004 09:18:01 -0300 iptables -A INPUT -p ALL --destination-port 1723 -j ACCEPT coloquei como protocolo "ALL", pois não sei qual específico usar....nunca fiz uma VPN, mas vc deve saber, assim é só colocar o protocolo correto. acho q isso pode te ajudar, Anselmo Em Qui 03 Jun 2004 23:45, Fabio Ricardo Schneider escreveu: > Ola galera > > Estou instando uma VPN com PPTPD em um servidor que esta atraz de um NAT de > um modem ADSL Alcatel SpeedTouch. > Direcionei a porta 1723 do modem para o IP falso do servidor mas não > consigo conectar. > Provavelmente preciso criar alguma regra com IPTables. ************************************************** De:  Joaquim-abc Para:  Cristhiano Cc:  Lista Conectiva (E-mail) Assunto:  Re: RES: (linux-br)Dificuldades com OpenVPN no Windows Data:  Fri, 11 Jun 2004 15:12:45 -0300 Em Sex, 2004-06-11 às 14:11, Cristhiano escreveu: > Amigos, para ver em ambos os ambientes, vocês precisaram configurar o > serviço de WINS, só assim, vocês conseguiram ver as máquinas do outro lado > pela VPN no ambiente de rede. > Abrs, > CL Realmente, obrigado Cristhiano, funciona !!!.   Tenho várias filiais conectadas e cada uma tem um ambiente de rede rwindows própio com workgroup diferente e cada uma com seu proprio servidor wins (a propria servidora samba). Fiz um teste entre duas filiais:   Fui no konqueror e digitei smb://maquina, me pediu usuário e senha, quando forneci vi os objetos exportados pela maquina remota.      Nao estava via vpn, porem acredito que se as rotas estiverem ok, e nao houver filtro entre as redes, poderia ser via vpn tambem. joaquim abc ************************************************** De:  joaquim abc Para:  caio ferreira Cc:  Linux-br Assunto:  Re: (linux-br)vpn por linux Data:  Fri, 18 Jun 2004 10:16:28 -0300 Em Qui 17 Jun 2004 18:30, you wrote: >       Eu ja montei vpn, tanto com o freeswan quanto com o openvpn. > >       O que eu estou querendo saber eh se eh necessario somente o software > iproute + kernel com patch para criptografia, no caso do kernel 2.6 essa > opcao ja vem embutido, ou eh necessario mais alguma coisa. > >       Somente isso que eu quero saber. > Se é assim, entendi mal, me desculpe aqui vai o que eu sei sobre o openvpn: Com ele voce pode montar vpns assim: servidor <-> varios clientes (windows ou linux), a partir da versao 2 (beta, que stou utilizando) servidor <-> servidor (windows ou linux) o openvpn utiliza porta udp (default 5000) para criar um tunel e transmitir pacotes entre as redes, com isto, tanto faz voce estar atras de um firewall com nat ou nao. Voce nao precisa nada de especial no kernel somente a possibilidade de criar tuneis que (no caso do suse, que utilizo) ja esta configurada. Voce precisa do openssl para ter um túnel seguro. No site http://openvpn.sourceforge.net/ voce vai encontrar documentaçao do openvpn inclusive com exemplos de configuraçao de conexao de um ponto para varios. No site http://www.altoriopreto.com.br voce vai encontrar documentaçao do openvpn versao 1xx que funciona somente servidor - servidor conectando um ponto a outro. Inclusive documentaçao de como gerar e configurar certificados (openssl). Estou utilizando a versao beta e nao tive nenhum problema ate agora. joaquim abc.   ************************************************** De:  Leonardo Pinto Para:  'Adenilson' Cc:  Lista Conectiva (E-mail) Assunto:  (linux-br)RES: OpenVpn Data:  Tue, 29 Jun 2004 18:03:14 -0300 Olá Adenilson, Pois é cara, e é legal em tudo que se faz na vida saber dos bastidores, do makingoff. Bom, essa é minha opinião. Isso mesmo, vc tem que gerá-lo como se faz com qq/ chave. Olhe o comentário no matriz.conf: # You can also generate key.txt manually # with the following command: # Você pode também gerar o key.txt manualmente # com o seguinte comando: openvpn --genkey --secret key.txt Obs.: Repare também os arquivos .up ok?! SDS, Leonardo Pinto. > Ok Leonardo, estou precisando mesmo de mais teoria. > > Só mais uma dúvida, o arquivo key.txt, preciso gerá-lo? > > > > Olá Adenilson, > > Seguem os arquivos devidamente comentados. Aconselho você > estudar mais, > pois numa empreitada dessa de muita responsabilidade é > preciso saber o que > se está fazendo, e pelo que vi no seu caso está faltando muita teoria. > Pesquisa na internet, tem muito material bom por aí. Um dos > que eu mais > gostei foi do www.AltoRioPreto.com.br. ************************************************** De:  Thiago Macieira Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Vpn Data:  Fri, 2 Jul 2004 23:09:38 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 maximoluis wrote: >  Alguem sabe como instalar uma versao do freeswan superior a >1.99 no conectiva 9. Assim: 1) baixe a versão mais nova; 2) leia as instruções para instalação; 3) execute as instruções para instalação. ou seja, não é diferente de programa nenhum, exceto que provavelmente vai necessitar mexer no kernel também. Em qual desses passos você está tendo problema? Quais foram as mensagens de erro? O que tentou para resolver? Se encontrou algum site na Internet que dê alguma pista, indique-o também. Dica: http://www.catb.org/~esr/faqs/smart-questions.html - --   Thiago Macieira  -  Registered Linux user #65028    thiago (AT) macieira (DOT) info     ICQ UIN: 1967141   PGP/GPG: 0x6EF45358; fingerprint: ************************************************** De:  Sergio Chaves Responder-a:  sergio@turbocorp.com Para:  Rodrigo Haag , linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Problema criacao certifificados - openvpn Data:  Fri, 20 Aug 2004 06:00:01 -0400 Ola Rodrigo. De acordo c/ uma rapida pesquisa no Google, achei isto: you should have a line in your openssl.cnf like: > > database        = $dir/index.txt        # database index file. > > this file needs to exist before you can create a certificate. Just do >  touch $dir/index.txt > where $dir is the same $dir as in your openssl.cnf > Em outras palavras:  Voce so precisa editar o arquivo openssl.cnf, inserir esta linha database        = $dir/index.txt        # database index file e criar o arquivo index.txt touch $dir/index.txt no mesmo diretorio onde o openssl.cnf se encontra. Espero que isto te ajude. Sergio Rodrigo Haag wrote: Alguem já passou por isso ? > > > > Certificate is to be certified until Aug 14 19:53:27 2007 GMT (1095 days) > Sign the certificate? [y/n]:y > failed to update database > TXT_DB error number 2 > > Obrigado >   > --  °v°          Sergio Chaves            °v° /(_)\       www.turbocorp.com         /(_)\    ^ ^    Enhanced Solutions Computing   ^ ^               770.532.2239            Linux User #221305                  ************************************************** De:  netmask@webset.net Para:  Rodrigo Faria Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)VPN com PPTPD Data:  Mon, 30 Aug 2004 09:47:56 -0300 (BRT) Rodrigo Faria disse: > Vou instalar uma VPN com PPTPD, no CL 9.0 ja vem os modulos do kernel > habilitado para fazer a VPN ? A kernel do CL9 não tem suporte ao MPPE, necessário para encriptação dos dados, então não adianta nada fazer um túnel não encriptado. Nesse caso, você teria que aplicar os patches na kernel e recompilar. No CL10, pelo menos o módulo já está pronto, daí é só você baixar os pacotes RPM do site do PPTP, instalar, e estará tudo funcionando. Ps.: Eu uso como cliente no CL10. -- --< Mauricio Teixeira (a.k.a. netmask) --< netmask {at} webset {dot} net - Maceió/AL/Brazil --< http://mteixeira.webset.net --< Analista TI (Linux) e Telecom (Cyclades, Cisco e Nortel) ************************************************** De:  Thiago Macieira Para:  linux-br@bazar2.conectiva.com.br Cc:  Eddy Martins Assunto:  Re: (linux-br)Freeswan Data:  Wed, 1 Sep 2004 01:33:02 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Eddy Martins wrote: >tenho uma vpn jah configurada >mas quero acrescentar mais uma rede nesta vpn >como vou fazer para adicionar mais redes nesta vpn ? Não tem segredo nenhum. Adicione uma conexão VPN depois da outra. Você só vai ter que escolher um servidor que centralizará as conexões e que, portanto, saberá a tabela de roteamento. Os outros simplesmente têm que saber a rota para a rede global da empresa. - --   Thiago Macieira  -  Registered Linux user #65028    thiago (AT) macieira (DOT) info     ICQ UIN: 1967141   PGP/GPG: 0x6EF45358; fingerprint:     E067 918B B660 DBD1 105C  966C 33F5 F005 6EF4 5358 ************************************************** De:  Thiago Macieira Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)vpn Data:  Wed, 1 Sep 2004 01:45:48 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Nilton Camargo wrote: >Preciso criar uma vpn aqui na empresa, para alguns clientes acessarem um >software que roda em sql. Já tenho o ip fixo.... >Duvidas: >1- é possível que através da vpn um cliente microsoft rode uma aplicação > sql que está em outro servidor? Com uma VPN, qualquer coisa roda. Como o nome diz, é uma rede. >2- a segurança é feita aonde no firewall, na vpn ou no servidor sql? No ponto final da VPN e no firewall, que normalmente são a mesma máquina. O servidor não faz a menor idéia do que está acontecendo. >3- após conectado ele passa a ser visto como um usuário local? Depende de sua VPN e de o que você quer dizer por "usuário local". Uma VPN funciona como se você tivesse um cabo ligando o seu ponto final de VPN ao micro do cliente. - --   Thiago Macieira  -  Registered Linux user #65028    thiago (AT) macieira (DOT) info     ICQ UIN: 1967141   PGP/GPG: 0x6EF45358; fingerprint:     E067 918B B660 DBD1 105C  966C 33F5 F005 6EF4 5358 ************************************************** De:  caio ferreira Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)vpn Data:  Wed, 01 Sep 2004 11:27:49 -0300 Nilton Camargo wrote: Olá a  todos! > tenho a seguinte situação: > Preciso criar uma vpn aqui na empresa, para alguns clientes acessarem um > software que roda em sql. Já tenho o ip fixo.... > Duvidas: > 1- é possível que através da vpn um cliente microsoft rode uma aplicação > sql que está em outro servidor? >         Sim, eh possivel. Eu montei uma vpn para interligar duas lojas, onde um sistema desenvolvido em delphi instalado nas estacoes acessava a base de dados da outra loja, instalada em um servidor linux. 2- a segurança é feita aonde no firewall, na vpn ou no servidor sql? >         A seguranca eh feita na vpn, pois os dados que sao trafegados entre os micros sao criptografados. 3- após conectado ele passa a ser visto como um usuário local? >         Sim. ************************************************** De:  scsantos at unigranrio com br Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)vpn escritorio-casa linux-windows Data:  Thu, 02 Sep 2004 13:29:18 -0300 Esta semana enviamos sobre o assunto foi citado OPENVPN (vpn usando ssl) entre outras. Veja em: http://www.linuxclube.com.br/documentos/download.php?doc_id=93&PHPSESSID=0aa95e8adfcdb317e6fef184f8aa7509 Um fraterno abraço       Silvio Cesar L. dos Santos   Divisão de Tecnologia da Informação Universidade do Grande Rio - UNIGRANRIO  (o_  //\            - Software Livre -  V_/_     conhecimento ao alcance de todos ************************************************** De:  scsantos at unigranrio com br Para:  linux-br@bazar2.conectiva.com.br, Everton Lima Horst Assunto:  Re: (linux-br)vpn erro config. filial Data:  Fri, 03 Sep 2004 12:44:02 -0300 Segundo o google. "De acordo c/ uma rapida pesquisa no Google, achei isto: you should have a line in your openssl.cnf like: database        = $dir/index.txt        # database index file. this file needs to exist before you can create a certificate. Just do  touch $dir/index.txt where $dir is the same $dir as in your openssl.cnf Em outras palavras: Voce so precisa editar o arquivo openssl.cnf, inserir esta linha database        = $dir/index.txt        # database index file e criar o arquivo index.txt touch $dir/index.txt no mesmo diretorio onde o openssl.cnf se encontra. Espero que isto te ajude. Sergio" Um fraterno abraço       Silvio Cesar L. dos Santos   Divisão de Tecnologia da Informação Universidade do Grande Rio - UNIGRANRIO  (o_  //\            - Software Livre -  V_/_     conhecimento ao alcance de todos ************************************************** De:  scsantos at unigranrio com br Para:  linux-br@bazar2.conectiva.com.br, Thiago Caminha da Silva Assunto:  Re: (linux-br)Perguntas sobre VPN Data:  Wed, 08 Sep 2004 11:27:45 -0300 Recomendo OPENVPN. porque? Não precisa recompilar kernel É baseada no OPENSSL Muito fácil de fazer e funciona que é uma beleza. O caminho das Pedras (tipo copiar e colar) http://www.linuxclube.com.br/documentos/download.php?doc_id=93&PHPSESSID=0aa95e8adfcdb317e6fef184f8aa7509 Um fraterno abraço       Silvio Cesar L. dos Santos   Divisão de Tecnologia da Informação Universidade do Grande Rio - UNIGRANRIO  (o_  //\            - Software Livre -  V_/_     conhecimento ao alcance de todos ************************************************** De:  scsantos at unigranrio com br Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Problema com o SSL (OpenVPN) Data:  Thu, 09 Sep 2004 09:34:06 -0300 Acho que essa pergunta já foi efetuada e respondida anteriormente ou algo relacionado. Verifique os paths no seu /etc/ssl/openssl.cnf lá está o problema. Sendo mais específica na seguinte linha: /root/certificados/private/cakey.pem Um fraterno abraço       Silvio Cesar L. dos Santos   Divisão de Tecnologia da Informação Universidade do Grande Rio - UNIGRANRIO  (o_  //\            - Software Livre -  V_/_     conhecimento ao alcance de todos ************************************************** De:  caio ferreira Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)VPN com ADSL residencial Data:  Tue, 14 Sep 2004 07:57:41 -0300 Everton Lima Horst wrote: Olá todos, > > alguem esta usando vpn com Adsl residencial de 300kbps na ponta do servidor > e com modem router ? e esta funcionando perfeitamente ?? > > pois tentei redirecionar com nat no modem a porta 5000, com OpenVPN, mas nao > ta chegando o acesso, parece q a Brasiltelecom bloqueia as portas para > conexao externa...foi o que o suporte me informou... >         Voce por acaso chegou a verificar se a pora 5000 esta sendo filtrada ? Voce por acaso tem acesso a algum micro onde voce possa passar um portscan, principalmente na porta 5000, para ver o estado da porta ?!!?         A firewall da vpn que eu montei esta assim: # Permite que pacotes do OpenVPN entrem. # Duplique a linha a seguir para cada # cada tunel OpenVPN, trocando a opção --dport # para a porta usada no tunel. # # No OpenVPN o número da porta é # controlado pela opção --port n. # Se você colocar essa opção no arquivo de # configuração, você pode remover o '--' # # Se você está usando stateful firewall, # pode comentar essa linha. $IPTABLES -A INPUT -p udp --dport 5000 -j ACCEPT # Permite que pacotes vindo de uma interface # TUN/TAP entrem na rede. # Quando o OpenVPN é iniciado em modo seguro, # ele irá autenticar os pacotes antes de # permitir a sua entrada na interface TUN/TAP. # interface.  Portanto, não é necessario adicionar # qualquer filtro aqui, a menos que você queira # restringir o tráfego que pode passar pelo seu túnel. $IPTABLES -A INPUT -i tun+ -j ACCEPT $IPTABLES -A FORWARD -i tun+ -j ACCEPT $IPTABLES -A INPUT -i tap+ -j ACCEPT $IPTABLES -A FORWARD -i tap+ -j ACCEPT ************************************************** De:  caio ferreira Para:  linux-br Assunto:  Re: (linux-br)Freeswan - Problemas de routeamento Data:  Wed, 15 Sep 2004 10:11:11 -0300 neptuno wrote: Estou tentando fazer net-to-net, veja: > > conn vpn1 >        left=200.576.143.200 >        leftsubnet=192.168.201.0/24 >        leftid=@brainless.crazyness.com >        leftnexthop=200.576.143.1 >        > leftrsasigkey=0sAQNWR7mUjpednz0tQf98JqMZYO8so53FXJMwWpRMh1ERYVViavihzLX >        right=200.185.4.245 >        rightsubnet=192.168.200.0/24 >        rightid=@octopus.crazyness.com >        rightnexthop=200.185.6.254 >        > rightrsasigkey=0sAQN0TnLB5v9znqtWZzmQFhB+wg/L/kImN2zSa4UJV7lxZx0wQlK2z6 >        auto=add > > O left é um cable modem da virtua e o right é um adsl brasil telecom.... > imagine a q loucura vai ser... > > A vpn estabelece nas duas pontas como pode ver: (mas aqui esta o log só > da left) > 004 "vpn1" #1: STATE_MAIN_I4: ISAKMP SA established > 112 "vpn1" #2: STATE_QUICK_I1: initiate > 010 "vpn1" #2: STATE_QUICK_I1: retransmission; will wait 20s for response > 010 "vpn1" #2: STATE_QUICK_I1: retransmission; will wait 40s for response > 004 "vpn1" #2: STATE_QUICK_I2: sent QI2, IPsec SA established > {ESP=>0xdb90ff29 <0xd010d1a9} > > Não pinga nada... nem gateway nem hosts na subnet... nada mesmo... > (...) >         Nao sei se eh defeito do freeswan, mas eu perdi um dia inteiro configurando uma vpn, uma das pontas era Virtua e a outra era Telefonica Speed. Depois de configurar a vpn eu tentava pingar o gateway da outra ponta e nao tinha nenhuma resposta. Depois de bater a cabeca para descobrir o que estava causando problema com a vpn, descobri que com o freeswan os gateway nao "entram" na vpn, entao nao adianta pinga de um gateway para outro gateway ou host, o que tem que fazer eh pingar de host para host. Com o OpenVPN esse "problema" ja nao existe. ************************************************** De:  Mauricio Teixeira (netmask) Para:  Everton Lima Horst Cc:  linux-br Assunto:  Re: (linux-br)Samba, passando por VPN Data:  Wed, 15 Sep 2004 10:17:58 -0300 (BRT) Everton Lima Horst disse: > numero ip q ta no "dominio" na janela de logon, ele diz q "nao havia > servidor para validar a senha" ia quando coloco 192.168.1.1 (ip do Samba), Não sou especialista no asunto, mas até onde eu sei o protocolo SMB não pode ser roteado pois ele envia pacotes de broadcast na rede para localizar o servidor de logon (herança do NetBEUI). Ou seja, o servidor de logon e a estação precisam estar na mesma sub-rede lógica (mesma faixa de IP). Pra resolver isso, você poderia colocar um servidor secundário na rede local e sincronizar as máquinas. Sei lá, só um chute. -- --< Mauricio Teixeira (a.k.a. netmask) --< netmask {at} webset {dot} net - Maceió/AL/Brazil --< http://mteixeira.webset.net --< Analista TI (Linux) e Telecom (Cyclades, Cisco e Nortel) ************************************************** De:  caio ferreira Para:  linux-br Assunto:  Re: (linux-br)Freeswan - Problemas de routeamento Data:  Thu, 16 Sep 2004 14:10:16 -0300 Rafael Nery wrote: Caio... eu configurei a openvpn aqui na empresa seguindo alto rio preto > e algumas dicas su tb, mas não pinga uma ponta na outra.... > Os ips que é colocado no .conf são ips que serão distribuidos? Pq quando > eu uso o ip ex: 192.168.0.1 dá erro pois meu apache uso esse ip. Tenho > que colcoar ips que não estão sendo usado pela minha rede... Outra > coisa, no .up da matriz o ip que é colocado é o ip  de host da filial? >         Voce por acaso ativou o modulo do kernel nescessario para montar a vpn com o openvpn ?!?!?    http://www.altoriopreto.com.br/openvpn/howto.html     Descricao da vpn. (matriz)                            (filial) (rede)----------(gateway)----net----(gateway)------(rede) 192.168.0.0/24  200.245.x.x         200.235.x.x   192.168.1.0/24 ## matriz ## IP - 200.245.x.x REDE - 192.168.0.0/24 ## filial ## IP - 200.235.x.x REDE - 192.168.1.0/24     Seguindo o que esta no texto voce deve os seguintes arquivos de configuracao : ########## # matriz # ########## << static-matriz.conf >> (.....) # A outra ponta OpenVPN eh o gateway da filial. remote 200.235.x.x # 192.168.0.1 é o endereço do gateway final da VPN (matriz). # 192.168.1.1 é o endereço do gateway remoto final da VPN (filial). ifconfig 192.168.0.1 192.168.1.1 # Esse script irá setar as rotas # assim que a VPN for ativada. up ./filial.up (.....) << filial.up >> #!/bin/bash route add -net 192.168.1.0 netmask 255.255.255.0 gw $5 ########## # filial # ########## << static-filial.conf >> (.....) # A outra ponta OpenVPN eh o gateway do filialitorio. remote 200.245.x.x # 192.168.1.1 é o endereço do gateway final da VPN (filia). # 192.168.0.1 é o endereço do gateway remoto final da VPN (matriz). ifconfig 192.168.1.1 192.168.0.1 # Esse script irá setar as rotas # assim que a VPN for ativada. up ./matriz.up (.....) << matriz.up >> #!/bin/bash route add -net 192.168.0.0 netmask 255.255.255.0 gw $5 ************************************************** De:  caio ferreira Para:  linux-br Assunto:  Re: (linux-br)vpn freeswan configuracao de mais um ponto Data:  Wed, 13 Oct 2004 12:49:41 -0300 eddy wrote: jah tenho uma vpn com o freeswan funcionando em duas pontas, > uma em sampa e outra no interior, mas acontece o seguinte problema > agora. > minha empresa tem obras para o brasil todo > estou querendo interligar as obras na minha rede pela vpn > como eu vou adicionar esta obras na vpn ? > queria q me passasem um link ou um tutorial para fazer isso > ou ate mesmo uma ipsec.conf para eu dar uma olhada >         Basta voce acrescentar no mesmo arquivo de configuracao, ipsec.conf, da matriz(sampa) as outras vpn, as configuracoes de left e right. Ja nas filiais fica igual a que voce tenha na filial do interior. ************************************************** De:  Thiago Macieira Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Atualmente, o que se usa para fazer VPN? Data:  Tue, 14 Dec 2004 21:33:49 -0200 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Djames Suhanko wrote: >  Atualmente, com o que se faz uma VPN? IPSec e OpenVPN. >  Li alguns artigos, mas FreeSwan não é mais desenvolvido, Foi parado por um tempo, mas está no ar de novo >estou incerto pois não li muito a respeito >ainda, mas com pptp é para conexão discada, certo? PPTP não é usado para conexão discada. Nunca foi. >Aqui na empresa temos IPs fixos. Estou lendo sobre o OpenVPN. > >Para que eu não me introduza em uma tecnologia ultrapassada, o que vocês >recomendam (inclusive howto)? IPSec, através do FreeS/WAN (não mudaram de nome para OpenS/WAN?) - --   Thiago Macieira  -  Registered Linux user #65028    thiago (AT) macieira (DOT) info ************************************************** De:  Alejandro Flores Responder-a:  Alejandro Flores Para:  Thiago Macieira Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Atualmente, o que se usa para fazer VPN? Data:  Wed, 15 Dec 2004 08:46:49 -0300 Thiago, > IPSec, através do FreeS/WAN (não mudaram de nome para OpenS/WAN?) O projeto FreeSwan tem 2 forks, o OpenSwan(1) e o StrongSwan(2). Entre os patrocinadores do OpenSwan estão a Novell, Suse e Astaro. Abraço! Alejandro Flores ************************************************** De:  Luiz Henrique G. Granja Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)VPN + (1 IP Fixo e 2 IP Randomicos) Data:  Tue, 28 Dec 2004 00:58:22 -0300 Jugleni, veja o projeto vtun (http://vtun.sourceforge.net). Há nele um exemplo de túnel bem fácil de fazer...vale a visita Há tb o projeto freeswan (http://www.freeswan.org), onde vc pode fazer as três vpn's que vc quer!! []'s Luiz Granja "Eu apoio/uso Software Livre!!" Jugleni Jr escreveu: Estou projetando uma vpn simples... terei 3 sedes sendo que uma é ip > fixo (Sede Matrix) e 2 ip randomico (Filiais). > > Estudei sobre o pptpd é verifiquei que poço usa-lo assim: > > a Matrix c/ ip fixo fornece a conexao, as Filiais solicitaria a > conexao p/ a Matrix em mode ssh e depois autentica a conexao. > > A dúvida é: > > Estou fazendo de uma maneira correta? > Existe modos mais facil e seguro para esta vpn? > o pptpd pode trab somente com um ip fixo? > > Agradeço.. > >   ************************************************** De:  Mauricio Teixeira (netmask) Para:  Jugleni Jr Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)VNP + (1 IP fixo e 2 Randomicos) parte 2 Data:  Wed, 29 Dec 2004 15:19:38 -0200 Em Qua, 2004-12-29 às 09:47, Jugleni Jr escreveu: > agora estou tentando configurar o pptp em meu conctiva 10 para discar > e autenticar mas observei que nao tenho o pptp-command... O pptp-comand está no pacote pptp-linux que está em um repositório de contribuições do CL10. http://www.ccl-br.com.br/wiki/index.php/Reposit%C3%B3rio_de_Contribui%C3%A7%C3%B5es_para_Conectiva_Linux > bom como faço para configurar esta autenticaçao do modem??? Se o modem já está conectando, e só falta autenticação, sugiro verificar o site do Manoel Pinho (mpinho.cjb.net) que lá tem um script pra isso. -- --< Mauricio Teixeira (a.k.a netmask) --< netmask {at} webset {dot} net - Maceió/AL --< Analista TI e Telecom / Especialista em ARL --< http://mteixeira.webset.net ************************************************** De: Delima Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br) OpenVPN é veloz ? Data: Fri, 25 Feb 2005 11:48:29 -0300 Em Sex 25 Fev 2005 11:06, Henrique Cesar Ulbrich escreveu: > > Vou ter ganho de velocidade no tráfego com o OpenVPN ? Se alguém puder > > comentar, eu agradeço. > > Desculpe, eu posso estar falando uma bobagem muito grande, mas as VPNs em > geral causam PERDA de tráfego, não ganho. Sim, certamente ocorrerá uma perda de velocidade comparado a uma conexão normal. Visto que o dado é criptografado e dependendo da chave de criptografia (512, 1024, 2048) quanto maior, mais lento. Porem, existe um recurso no OpenVPN de compressao Lzo que faz com q o dado seja transportado mais rapido e comprimido do que o normal. Para Linux x Linux essa solução funciona maravilhosamente. Para windows nunca consegui. Agora, se vc prentende estudar outros tipos de VPn, experimete o Freeswan (ou os derivados dele como Openswan). Veras que este tambem eh uma otima VPN. Tambem tem o poptop..no qual uso para conexoes CHAP com senhas smbpasswd para maquinas clientes Windows. Abracos -- Marcel de Oliveira Lima delima_lima@yahoo.com.br ICQ UIN #9322320[ ------------------------- Linux Registered User: 220037 Distro: Slackware 10.0 ************************************************** De: Henrique Cesar Ulbrich Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br) OpenVPN é veloz ? Data: Fri, 25 Feb 2005 11:06:18 -0300 Historiadores acreditam que, em Qui 24 Fev 2005 18:49, Sérgio Pinheiro disse: > Vou ter ganho de velocidade no tráfego com o OpenVPN ? Se alguém puder > comentar, eu agradeço. Desculpe, eu posso estar falando uma bobagem muito grande, mas as VPNs em geral causam PERDA de tráfego, não ganho. Se sua velocidade está igual com e sem VPN, vc deveria acender uma vela pro seu santo, em agradecimento. -- Henrique We've always had him! http://www.ericblumrich.com/thanks.html ************************************************** De: Rodrigo Faria Tavares Para: Marciel Cc: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)VPN pptpd na Conectiva 9 Data: Tue, 22 Feb 2005 10:08:40 -0300 Maciel, libera assim iptables -A INPUT -i ethX -s 0/0 -d 0/0 -p 43 -j ACCEPT Att, Rodrigo Faria Tavares Analista de Suporte Liux >A porta 1723 tcp eu já liberei no meu firewall. O que seria liberar >"protocolo 47", seria outra porta? >Vou fazer o seguinte... eu tenho o CL9 instalado em outra máquina, vou >tentar De: Rodrigo Faria Tavares Para: Marciel Cc: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)VPN pptpd na Conectiva 9 Data: Tue, 22 Feb 2005 09:46:55 -0300 Maciel, Basta habilitar o debug nos dois arquivos, eu uso essa versao pptpd-1.1.4-b4.i386 tem a versao 1.1.3 também ... Outra coisa se tiver um firewall no seu linux, voce tem de liberar a porta 1723 tcp e o protocolo 47, pode ser por isso que nao esta chegando logs no seu message, faz um teste com sua rede local aposto que vai gerar logs. Att, Rodrigo Faria Tavares Analista de Suporte Linux >Olá Rodrigo, >qual a forma correta de se habilitar a opção "debug" no pptpd? Eu >notei que está opção está nos arquivos "options.pptpd" e "pptpd.conf", >é isso mesmo? Mesmo assim não funciona. Será que estou equecendo de >ativar algum serviço? Eu uso o comando "service pptpd start" para >iniciar o serviço pptpd, essa é a maneira correta? >Obrigado pela atenção! >Marciel. De: Rodrigo Faria Tavares Para: Marciel , Lista Linux Conectiva Assunto: Re: (linux-br)VPN pptpd na Conectiva 9 Data: Tue, 22 Feb 2005 09:07:28 -0300 Caro Maciel, Para funcionar o ppp_mppe no CL 9 voce tem de aplicar o patch no source do kernel 2.4.20-8, e atualizar a versao do ppp. Habilitando o debug do pptpd os logs iram para o /var/log/messages. Dica : no CL 10 o ppp_mppe ja vem compilado, apesar de nao ter conseguido fazer a criptografia funcionar nele somente no CL 9.0 Isso pode te ajudar http://www.polbox.com/h/hs001/ Att, Rodrigo Faria Tavares Analista de Suporte Linux >Olá pessoal, >estou tentando configurar uma vpn server em nosso servidor >inux-firewall, preciso configurar um PPTPD com PPP-MPPE no meu >Conectiva 9, tentei configurar más não deu certo, quando inicio o >serviço pptpd ele não cria o arquivo de log em "/var/log/messages" >assim como descrito em alguns tutoriais que encontrei na Net. Por esse >motivo não consigo saber se está dando algum erro ou não. Será que >esse tipo de vpn funciona no CL9? Que tipos de pacotes preciso ter >nstalado? >Maciel ************************************************** De: Cesar Gimenes Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)VPN (Win2003 e Linux) Data: Mon, 24 Jan 2005 09:44:53 +0000 Em Seg 24 Jan 2005 05:09, Liberie Cunha-Neto escreveu: > So uma dica Cesar , usando FTP vc esta deixando seus logins e > passwords passeando livremente pela internet em clear text. Claro, e se isso for um problema podemos usar varias alternativas, tem até ftp com ssl/tls ou usar o scp ou qq outro tipo de protocolo que permita uma segurança mais elevada. O que eu quis dizer é que na minha experiência VPN é lento e pesado demais para a maioria das coisas que me pedem para fazer usando VPN. :)... Como por exemplo para usar coisas como SMB sob ADSL. Não quer dizer que VPN não funcione nunca, mas tem certos cenarios em que não funciona mesmo. :) O que eu vejo é que muitos tentam usar VPN para tudo, como uma panacéia... E esquece que a maioria das falhas de segurança esta dentro da rede da própria empresa :D Mas o pior mesmo (e tenho certeza que você sabe disso!) é quando o empresario e não o analista fala que quer uma VPN quando na verdade o que ele precisa é do rsync. :D -- Cesar Gimenes http://www.alfalyncis.net ************************************************** De: Cesar Gimenes Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)VPN (Win2003 e Linux) Data: Sat, 22 Jan 2005 01:56:48 +0000 Em Sex 21 Jan 2005 12:45, Rodrigo Klein Santos escreveu: > Alguém aqui já fez alguma VPN com duas redes distintas, mas com uma > ponta Linux e outra com Win2003 ? Já fiz isso com linux e win2000 ... bom o que posso dizer é que se for para compartilhar arquivos via ADSL (o cenário mais terrível ehehehe) não vai funcionar. Ou melhor vai mas apenas o suficiente para te deixar nervoso. a melhor solução se o motivo da VPN for transmitir arquivos é o bom e velho FTP que bem configurado é tão seguro quanto qualquer VPN. -- Cesar Gimenes http://www.alfalyncis.net ************************************************** De: Anderson Silva Para: linux-br@bazar2.conectiva.com.br Assunto: RES: (linux-br)Tunel transparente entre duas redes Data: Mon, 18 Apr 2005 15:57:23 -0300 http://www.math.ucla.edu/~jimc/documents/vpn.html http://www.linuxjournal.com/node/7881/print ************************************************** Continua em: http://www.zago.eti.br/vpn-cont1.txt