[linux] FreeS/Wan a FW-1

Peter Ronai linux na my-scotland.sk
Úterý Červen 4 00:47:57 CEST 2002


On Mon, 2002-06-03 at 17:34, Julius Loman wrote:
> On Mon, Jun 03, 2002 at 05:38:17PM +0200, Jozef Novikmec <novikmec na devil.lynx.sk> wrote:
> > Aku autentizaciu pouzivas?
> shared secret
> > 
> > Aku mas verziu FreeSWANu?
> 1.95 (posledna)

no 1.96 je vonku uz nejaky patek len treba pozriet aj ftp, nielen
stranky ;)

> > 
> > Dňa Po, 2002-06-03 at 17:26, Julius Loman napísal:
> > > Ahojte
> > > 
> > > pokusam sa rozbehat nasledujuci problem:
> > > Na stroji s linuxom (MDK) a dial-up pripojenim potrebujem rozbehnut
> > > pristup skrz Checkpoint FW-1/VPN-1 pristup do LAN 
> > > 
> > > Nacrt situacie (klasicky road warrior pripad)
> > > 
> > > (IPcky a.b.c.d a a.b.c.z su samozrejme IRL nahradene skutocnymi)
> > > 
> > > 
> > >     *--------------= ISP =-----*----------*%%%%%%%%%%%%%%
> > >  Linux                       router      FW-1      LAN
> > >  Dialup/ppp                 a.b.c.z    a.b.c.d   10.10.0.0/16
> > > 
> > > 
> > > PPP spojenie k ISP funguje OK
> > > Freeswan IPsec nainstalovane (z distribucie)
> > > 
> > > ipsec.conf vypada nasledovne
> > > 
> > > --------
> > > config setup
> > > 	interfaces=%defaultroute
> > > 	klipsdebug=none
> > > 	plutodebug=none
> > > 	plutoload=
> > > 	plutostart=
> > > 
> > > conn linux-encdom
> > > 	type=tunnel
> > > 	left=%defaultroute
#leftsubnet uplne zakomentovat tj. :
#leftsubnet=
> > > 	leftsubnet=
#tu by mohol byt problem aj ked neviem presne ako by som ho riesil,
#pouzivam len pevne freeswan body s fw1
> > > 	leftnexthop=
> > > 	right=a.b.c.d
> > > 	rightnexthop=a.b.c.z
> > > 	rightsubnet=10.10.0.0/16
> > > 	keyexchange=ike
> > > 	auth=esp
authby=secret
# resp rsasig
keylife=420m
# tiez nie je na skodu koli tomu ze checkpoint robi obcas psie kusy s
# releasom vyexpirovanych (pola neho) klucov - na tuto hodnotu sme dosli
# dlhodobym skusanim
> > 
> > IMHO by tu malo byt skor authby=rsasig alebo authby=secret podla toho
> > aku chces pouzit.
> > 
> > > 	pfs=no
auto=start
> > > --------
> > > 
> > > 
> > > 
> > > v logu FW-1 sa objavi pri pokuse nahodit encdom toto:
> > > 
> > > reason Client Encryption: No commnon authentification method with
> > > firewall.

to je koli tomu ze asi chyba v cofigu authby - teda method

> > > 
> > > Na FW-1 som v nastaveni postupoval podla:
> > > http://support.checkpoint.com/kb/docs/public/firewall1/4_1/pdf/fw-linuxvpn.pdf
> > > 
> > > a nastavenia vypadaju byt ok...
> > > 
> > > nic viac v logu nevidim
> > > 

hod si tam nejaky minimalny debug, pojde to lahsie

> > > kde moze byt zadrhel ? nestretol sa niekto z Vas s podobnou vecou ?
> > > Trochu som googlil, ale tam odporucaju vymazat nejaky subory z FW, ak to
> > > robi problemy aj pri instalacii policy (to u mne nie je) inak som nic
> > > rozumne nenasiel..
> > > 
> > > Popripade mi viete poslat nejaku example konfiguraciu road-warriora pre
> > > FreeS/wan, ktora zarucene funguje ? 

no mne zarucene funguje konfiguracia velmi podobna tvojej
hlavne by som rychlo upgradol pretoze tie nove verzie obsahuju hlavne
fixy
nam sice chodila aj 1.94ka ale niektore veci sa upgradom vyriesili.


dz






Další informace o konferenci linux