[LUGOS] m0n0wall in openvpn

Uroš Golja goljau at comcom.si
Sun Nov 4 13:12:05 CET 2007 

Ne bo šlo.

m0n0wall uporablja "pravi" IPSEC: OpenBSDjevsko implementacijo protokola 
v kernelu in nek key exchange daemon (racoon ali isakmpd, ne vem več na 
pamet). OpenVPNa sicer ne poznam iz prve roke, ampak kolikor sem uspel o 
njem prebrat na Wikipediji, gre za aplikacijski "glumi IPSEC" preko 
knjižnice OpenSSL. Jabolka in hruške, torej. Oboje sicer raste v 
sadovnjaku, ampak ne na istem drevsu ;-)

Dobra novica je, da lahko na Fedoro najbrž našraufaš paketa racoon in 
ipsec-tools (ali nekaj podobnega, potrebješ le orodje setkey) in s tem 
zvrtaš tunel do oddaljenega m0n0walla. Najbrž boš imel več težav na 
strani Fedore; na njej moraš v grobem narediti naslednje:
- skonfigurirati racoon.conf. Dejansko moraš iz m0n0walla preplonkati 
remote{} in sainfo{} del. Če ne bo šlo, poglej kaj pride v default 
racoon.conf in ga prilagodi tako, da se bo čim več stvari ujemalo z 
nastavitvami na m0n0wallu,
- z orodjem setkey dodati varnostna pravila (security policy) za 
tunelirano omrežje v kernel (spdadd ...). man setkey ali če se ti ne 
ljubi vsega brat, poglej v HOWTO,
- najbrž sta m0n0wall in Fedora tudi routerja/firewalla na svojih 
omrežjih; odpreti jima moraš UDP port 500 (preko tega teče izmenjava 
ključev, ki jo furata ali racoon ali isakmpd) in jima firewall nastaviti 
tako, da skozenj spuščata tudi protokola ah in esp. iptables -t nat -I 
PREROUTING 1 -p udp -dport 500 -j ACCPET; iptables -t nat -I PREROUTING 
1 -p asp -j ACCEPT; iptables -t nat -I PREROUTING 1 -p ah -j ACCEPT,
- zagotoviti, da ti Fedora ne zganja maškarade na omrežju, ki ga 
tuneliraš: iptables -t nat -I POSTROUTING  1 --destination 
<net_addreess/netmask> -j ACCEPT
- dodati pot (route) za tunelirano omrežje: ip route add 
<net_address/netmask> via <wan_ipaddress> src <lan_ipaddress>
- .... najbrž sem kaj pozabil.

Nekaj uporabnih povezav, na splošno o protokolih:
http://en.wikipedia.org/wiki/Ipsec
http://en.wikipedia.org/wiki/Openvpn
http://www.unixwiz.net/techtips/iguide-ipsec.html

IPSEC in Linux:
http://lartc.org/howto/lartc.ipsec.html
http://www.ipsec-howto.org/
http://www.tldp.org/HOWTO/VPN-Masquerade-HOWTO.html

Orodja:
http://ipsec-tools.sourceforge.net/

Če kaj ne bo šlo, lahko še vedno vprašaš. Vsekakor pa glej, kaj piše v 
logih. Srečno!

LP,
U.


Klemen Humerca wrote:
> Že celo dopoldne brskam po googlu, da bi našel kakšne rešitve, pa ni  
> nič. Na eni lokaciji je m0n0wall firewall, na drugi FC7 server  
> (openvpn). Rad bi vzpostavil vpn povezavo med obema sistemoma. Je  
> sploh mogoče to storiti?
>
> Hvala.
>
>

More information about the lugos-list mailing list