Repository 32bit  Forum
Repository 64bit  Wiki

Openswan e Nat

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

Openswan e Nat

Messaggioda diego » mer apr 05, 2006 23:22

Ciao a tutti,
stavo facendo delle prove di vpn tra opneswan e checkpoint vpn-1,
dopo alcuni tentativi (appurati gli algoritmi di encription supportati da entrambi)
la vpn si instaura e tutto funziona a meraviglia, ma mi e' venuto un dubbio ...
Se, assunto come Left la Openswan e Right Checkpoint,
avessi una
Left Subnet: 192.168.0.0/24
Right Subnet 10.0.0.0/24
imponessi, lato Checpoint, che il dominio di encription (remoto) fosse una 172.16.0.0/24
invece che 192.168.0.0/24 che devo fare per instaurare una vpn senza dover
cambiare gli ip pc/server della LeftSubnet?
Le cose che ho fatto e' mettere su ipsec.conf
"leftsubnet=172.16.0.0/24" invece di 192.168.0.0/24
(in modo da presentarmi su checkpoint con un ip che si aspetta)
ho impostato un alias eth0:0 (la scheda con ip 192.168.0.x) un ip 172.16.0.x
attivato una regola che mi faccia lo SNAT in POSTROUTING in modo che gli ip
provenienti da 192.168.0.0/24 e diretti a 10.0.0.0/24 modifichino il loro sorgente
in 172.16.0.x (quello di eth0:0) ... ma sembra non funzionare ....
forse sto sbagliando qualcosa?
Qualcuno saprebbe darmi un'indicazione, mi accontenterei anche di un link ...
Grazie a tutti.
Avatar utente
diego
Linux 2.4
Linux 2.4
 
Messaggi: 320
Iscritto il: gio mar 31, 2005 23:00

Messaggioda diego » gio apr 20, 2006 15:51

Ho risolto.
Visto che il POSROUTING non funziona sul server con Openswan (forse ho sbagliato qualcosa) ho impostato come alias sulla sua scheda Lan (Left Subnet) un ip sulla 172.16.0.0/24 e usato un terzo pc linux con un ip sulla LAN e un alias sulla 172.16.0.0/24.
Questo PC funge da gw per andare poi sulla vpn e mascherare l'intera Lan con l'ip della 172.16.0.0.
Di sicuro un metodo un po' Garibaldino, ma per ora, in mancanza di soluzioni migliori, questo funziona.
Spero di aver fatto cosa gradita postando la soluzione.
Ciao
Avatar utente
diego
Linux 2.4
Linux 2.4
 
Messaggi: 320
Iscritto il: gio mar 31, 2005 23:00


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite