Re: OpenBSD com Checkpoint VPN-1 NGX R60

classic Classic list List threaded Threaded
1 message Options
Reply | Threaded
Open this post in threaded view
|

Re: OpenBSD com Checkpoint VPN-1 NGX R60

Antonio Lobato-2
Olá Francis e João!

Estou trabalhando com o Carlos, que iniciou esse tópico.
Abrigado pela ajuda até agora.
Abaixo copio a ultima mensagem do Carlos para continuarmos a discussão.


Em 7/02/08, Carlos Carvalho escreveu:
>
>Francis
>
>Eu já tenho habilitado o ESP, o AH e o ESP-in-UDP pelo arquivo sysctl.conf.
>Tenho que fazer alguma outra configuração para que ele esteja ativado???
>Tenho dúvida também na liberação do IPSec.
>Se tiver algum documento que me ajude, eu agradeço

basicamente já fizemos todas as configurações recomendadas para o
funcionamento do Checkpoint. Vou resumi-las abaixo.

sysctl.conf:
net.inet.ip.forwarding=1   # 1=Permit forwarding (routing) of IPv4 packets
net.inet6.ip6.forwarding=1 # 1=Permit forwarding (routing) of IPv6 packets
net.inet.esp.enable=1      # 0=Disable the ESP IPsec protocol
net.inet.ah.enable=1       # 0=Disable the AH IPsec protocol
net.inet.esp.udpencap=1    # 0=Disable ESP-in-UDP encapsulation

Primeira regra do pf.conf:
pass log (all) quick to $CP_GATEWAY keep state

Também verifiquei as regras de NAT, e nenhuma conflita com as portas
usadas pelo CP (UDP 500,4500,2746,259; TCP 500,264).

Fizemos um teste com outro Servidor NAT, com uma unica regra (além do nat):
pass all
e o cliente CP conectou-se normalmente ao servidor.

Analisando com tcpdump, vejo que o 'topology update' (tcp 264) transcorre
normalmente, mas quando inicia-se o isakmp, volta apenas uma resposta do
servidor e a partir daí há vários envios de pacotes, mas sem reposta.

Se tiverem qualquer sugestão ou link que ajude, seremos gratos.



muito obrigado,

Antonio Lobato
www.tinecon.com.br



_______________________________________________
OpenBSD mailing list
[hidden email]
http://neei.uevora.pt/mailman/listinfo/openbsd