Esse post visa explicar como proceder para criar uma VPN onde uma das pontas possui ip dinâmico e a outra ip Válido.
Lado com ip válido:
A idéia é criar a VPN ipsec como se o lado com ip dinamico fosse um cliente fazendo uma discagem para o lado com ip fixo, servidor.
Devido a isso o parâmetro auto=add faz com que no lado com ip fixo o tunel seja iniciado porém não faça uma tentativa de conexão, apenas fique escutando as requisições.
já o Parâmetro right=%any estipula que a conexão poderá ser feita de qualquer origem, o controle será feito atráves da chave PSK utilizada (também pode ser feito com RSA trocando o parametro authby=secret para authby=rsasig)
exemplo de configuração da conexão (parte do arquivo /etc/ipsec.conf)
conn fixo-din
auto=add
authby=secret
left=200.1.1.2
rigth=%any
leftnexthop=200.1.1.1
rightnexthop=
leftsubnet=192.168.0.0/24
rightsubnet=192.168.1.0/24
Lado com ip dinâmico
na configuração abaixo o parâmetro left=%defaultroute faz com que o ip da interface não seja declarado, de tal forma que ele assuma o ip atrelado a interface que está o gateway default para iniciar a conexão,
conn fixo-din
auto=start
authby=secret
left=%defaultroute
rigth=200.1.1.2
leftnexthop=
rightnexthop=200.1.1.1
leftsubnet=192.168.1.0/24
rightsubnet=192.168.0.0/24
Lado com ip válido:
A idéia é criar a VPN ipsec como se o lado com ip dinamico fosse um cliente fazendo uma discagem para o lado com ip fixo, servidor.
Devido a isso o parâmetro auto=add faz com que no lado com ip fixo o tunel seja iniciado porém não faça uma tentativa de conexão, apenas fique escutando as requisições.
já o Parâmetro right=%any estipula que a conexão poderá ser feita de qualquer origem, o controle será feito atráves da chave PSK utilizada (também pode ser feito com RSA trocando o parametro authby=secret para authby=rsasig)
exemplo de configuração da conexão (parte do arquivo /etc/ipsec.conf)
conn fixo-din
auto=add
authby=secret
left=200.1.1.2
rigth=%any
leftnexthop=200.1.1.1
rightnexthop=
leftsubnet=192.168.0.0/24
rightsubnet=192.168.1.0/24
Lado com ip dinâmico
na configuração abaixo o parâmetro left=%defaultroute faz com que o ip da interface não seja declarado, de tal forma que ele assuma o ip atrelado a interface que está o gateway default para iniciar a conexão,
conn fixo-din
auto=start
authby=secret
left=%defaultroute
rigth=200.1.1.2
leftnexthop=
rightnexthop=200.1.1.1
leftsubnet=192.168.1.0/24
rightsubnet=192.168.0.0/24
4 comentários:
Amigo, deixando o rightnexthop= vazio não funciona...
O meu na hora de conectar está dando a seguinte mensagem de erro:
104 "vpn" #7: STATE_MAIN_I1: initiate
010 "vpn" #7: STATE_MAIN_I1: retransmission; will wait 20s for response
010 "vpn" #7: STATE_MAIN_I1: retransmission; will wait 40s for response
031 "vpn" #7: max number of retransmissions (2) reached STATE_MAIN_I1. No response (or no acceptable response) to our first IKE message
000 "vpn" #7: starting keying attempt 2 of at most 2, but releasing whack
O que pode ser??
Abraços, ótimo blog!
o problema ai aparentemente é a comunicação inicial do IKE, verifique IP de origem e destino e se a porta 500 udp está liberada nos possiveis "firewalls" entre os peers.
ok! e quanto ao left/rightnexthop=, coloco o que? Pois em branco não funciona...
os dois juntos realmente não funcionam vazios, mas se configurar o left o right pode ficar vazio.
Postar um comentário