We zijn sinds 1 januari gefusseerd met een andere instelling. Regelmatig zal het voorkomen dat mensen bij ons komen werken. Hiervoor loggen ze in op een Win2k3 terminal server die achter een Gnat Box Vpn router/gateway staat. Op het werkstation wordt een Gnat Vpn client geinstalleerd.
Ik heb infomatie bij de leverancier gevraagd over het type Vpn dat wordt gebruikt. Het gaat om een ipsec esp Vpn. Geen l2tp dus.
Aan onze kant draait iptables op Linux kernel 2.4.31 (met pptp contrack-nat en mppe-mppc patch) router. Ik ben nu al even bezig met het configureren van iptables om deze verbinding vpn door te krijgen.
Ik heb ervaring met pptp en openvpn, maar niet met ipsec. Ik heb de porten opgezocht via: http://www.jacco2.dds.nl/networking/freeswan-l2tp.html
Om het kort te zeggen. Ik krijg geen contact.
De relevante rules
De eerste twee regels zouden eigelijk al moeten werken. De andere twee heb ik voor de zekerheid erbij gezet.
Ik zie een verbinding in de connection manager van de Gnat box client op het werkstation. Ik zie in iptraf ook protocol 50 voorbij komen op de linux machine.
In de logs van Gnat box zie ik
Een ping een tracert of een telnet niks komt terug.
Ik meen gehoord te hebben dat ipsec AH hellemaal niet door een router wil en esp alleen met helpers. Klopt dit?
Ik heb verschillende verhalen gelezen: Ipsec esp zou zonder helper door iptables moeten kunnen komen.
Ipsec esp zou door iptables zonder helpers moeten komen maar slecht 1 verbding te gelijk. Ook lees ik dat het hellemaal niet mogelijk is zonder helpers.
De huidige helpers zijn kapot: http://lists.netfilter.or...2005-November/063857.html
en zullen pas in 2.6.16 gaan werken is de verwachting.
Graag help.
Ik heb infomatie bij de leverancier gevraagd over het type Vpn dat wordt gebruikt. Het gaat om een ipsec esp Vpn. Geen l2tp dus.
Aan onze kant draait iptables op Linux kernel 2.4.31 (met pptp contrack-nat en mppe-mppc patch) router. Ik ben nu al even bezig met het configureren van iptables om deze verbinding vpn door te krijgen.
Ik heb ervaring met pptp en openvpn, maar niet met ipsec. Ik heb de porten opgezocht via: http://www.jacco2.dds.nl/networking/freeswan-l2tp.html
Om het kort te zeggen. Ik krijg geen contact.
De relevante rules
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
| $IPT -A INPUT -i $INTERNAL_INTERFACE -m state --state NEW -j ACCEPT
$IPT -A OUTPUT -o $INTERNAL_INTERFACE -m state --state NEW -j ACCEPT
# Rules to allow access to remote L2tp/ipsec servers
# Udp port 500 (IKE)
$IPT -A FORWARD -i $INTERNAL_INTERFACE -o $INTERNET -p udp \
--sport 500 --dport 500 \
-m state --state NEW -j ACCEPT
# Protocol 50 (ESP)
$IPT -A FORWARD -i $INTERNAL_INTERFACE -o $INTERNET -p 50 \
-m state --state NEW -j ACCEPT
# Udp port 4500 used behind a Nat Router
$IPT -A FORWARD -i $INTERNAL_INTERFACE -o $INTERNET -p udp \
--sport $UNPRIVPORTS --dport 4500 \
-m state --state NEW -j ACCEPT
$IPT -A FORWARD -i $INTERNAL_INTERFACE -o $INTERNET -p udp \
--sport $UNPRIVPORTS --dport 1701 \
-m state --state NEW -j ACCEPT
# NAT the internal lan to the internet
$IPT -t nat -A POSTROUTING -s $LAN \
-o $INTERNET -j SNAT --to $IPADDR |
De eerste twee regels zouden eigelijk al moeten werken. De andere twee heb ik voor de zekerheid erbij gezet.
Ik zie een verbinding in de connection manager van de Gnat box client op het werkstation. Ik zie in iptraf ook protocol 50 voorbij komen op de linux machine.
code:
1
2
3
4
5
| Connection name Local address Local subnet remote address remote modifier Gw address De connectie naam 192.168.0.32 255.255.255.255 192.168.1.0 255.255.255.0 internet gnat box Protocol local port remote port All All All |
In de logs van Gnat box zie ik
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
| 12:49:33.265 12:49:33.265 My Connections\naam - Initiating IKE Phase 1 (IP ADDR=internet ip gnat box) 12:49:33.296 My Connections\naam - SENDING>>>> ISAKMP OAK AG (SA, KE, NON, ID, VID 4x) 12:49:35.281 My Connections\naam - RECEIVED<<< ISAKMP OAK AG (SA, KE, NON, ID, HASH, VID) 12:49:35.296 My Connections\naam - SENDING>>>> ISAKMP OAK AG *(HASH, NOTIFY:STATUS_INITIAL_CONTACT) 12:49:35.296 My Connections\naam - Established IKE SA 12:49:35.296 MY COOKIE 7f 64 67 4 62 1b 8a 7 12:49:35.296 HIS COOKIE 17 ad db 40 1f 94 71 8e 12:49:35.328 My Connections\naam - Initiating IKE Phase 2 with Client IDs (message id: DF15989) 12:49:35.328 Initiator = IP ADDR=192.168.111.1, prot = 0 port = 0 12:49:35.328 Responder = IP SUBNET/MASK=192.168.1.0/255.255.255.0, prot = 0 port = 0 12:49:35.328 My Connections\naam - SENDING>>>> ISAKMP OAK QM *(HASH, SA, NON, KE, ID 2x) 12:49:36.312 My Connections\naam - RECEIVED<<< ISAKMP OAK QM *(HASH, SA, NON, KE, ID 2x) 12:49:36.312 My Connections\naam - SENDING>>>> ISAKMP OAK QM *(HASH) 12:49:36.328 My Connections\naam - Loading IPSec SA (Message ID = DF15989 OUTBOUND SPI = 5D96671 INBOUND SPI = B311BF4A) 12:49:36.328 12:59:36.203 My Connections\naam - Deleting IKE SA (IP ADDR=ip adres Gnat box) 12:59:36.203 MY COOKIE 7f 64 67 4 62 1b 8a 7 12:59:36.203 HIS COOKIE 17 ad db 40 1f 94 71 8e 12:59:36.203 My Connections\naam - SENDING>>>> ISAKMP OAK INFO *(HASH, DEL) 13:00:37.234 My Connections\naam - Deleting IPSec SA (OUTBOUND SPI = 5D96671 INBOUND SPI = B3 |
Een ping een tracert of een telnet niks komt terug.
Ik meen gehoord te hebben dat ipsec AH hellemaal niet door een router wil en esp alleen met helpers. Klopt dit?
Ik heb verschillende verhalen gelezen: Ipsec esp zou zonder helper door iptables moeten kunnen komen.
Ipsec esp zou door iptables zonder helpers moeten komen maar slecht 1 verbding te gelijk. Ook lees ik dat het hellemaal niet mogelijk is zonder helpers.
De huidige helpers zijn kapot: http://lists.netfilter.or...2005-November/063857.html
en zullen pas in 2.6.16 gaan werken is de verwachting.
Graag help.