racoon e client Shrew VPN

mjnman · 03-12-2008, 11:38

Salve,
ho un problema con una VPN con racoon su debian etch e client Windows XP (Shrew 1.1.0 release) utilizzando i certificati x.509 come autenticazione

server VPN LINUX (192.168.1.2) <--> router Zyxel 650H-E1 (192.168.1.1 LAN) e IP pubblico <--> internet <--> Client Windows Shrew 1.1.0 release (viene assegnato IP 192.168.1.20)

Nel router è stato configurato il FORWARD delle porte 500 e 4500 in UDP (vedi sotto come), la connessione avviene regolarmente senza errori nei LOG del server VPN. Dal client VPN windows riesco a fare regolarmente il PING al server VPN (192.168.1.2).
Il problema è che sempre dal client VPN windows non riesco in nessun modo a fare il ping verso un altro qualsiasi host della rete 192.168.1.*!!!!!!! Tutti i client della rete 192.168.1.* hanno come DNS e come GATEWAY il server VPN (192.168.1.2) e la navigazione WEB e tutte le funzioni di rete funzionano correttamente. Ho provato con "tcpdump" ed ho notato che i pacchetti vanno verso l'host 192.168.1.* ma non tornano in dietro. Il file "/proc/sys/net/ipv4/ip_forward" nel server VPN LINUX naturalmente è a "1" e non c'è IPTABLES configurato, se configuro un IP 192.168.1.* nel server VPN linux riesco a fare il PING regolarmente. Sotto i link dei file racoon.conf, psk.key, TCPDUMP 192.168.1.2 (OK), TCPDUMP 192.168.1.2 (NO PING), racoon.log e setkey -DP. Con XXX.YYY.XXX.YYY è l'IP pubblico del router Zyxel.
Qualcuno ha qualche help da darmi . . . please, non ho più idee su cosa fare . . . help
Matteo

Vesione Firmware Router Zyxel 650H-E1
System Name :
ZyNOS F/W Version: V3.40(OL.2) |12/24/2004
DSL FW Version: Alcatel, Version 15.9.214
Standard: Multi-Mode

Router configuration
Advance setup --> NAT --> SUA NAT Server Set --> Start port 500 End Port 500 IP Address 192.168.1.2
Advance setup --> NAT --> SUA NAT Server Set --> Start port 4500 End Port 4500 IP Address 192.168.1.2

http://www.fileupyours.com/view/2236...1.2_PINGOK.wri
http://www.fileupyours.com/view/2236...1.3_NOPING.wri
http://www.fileupyours.com/view/223629/psk.txt
http://www.fileupyours.com/view/223629/racoon.conf
http://www.fileupyours.com/view/223629/racoon.log
http://www.fileupyours.com/view/223629/setkey.txt

mjnman · 26-02-2009, 09:41

Risolto!!!
Il problema stava nella netmask. Infatti i client VPN non possono essere nella stessa LAN del server VPN locale. O meglio la LAN è una 192.168.1.* mentre i client VPN devono avere una 192.168.2.* (nel mio caso). Ora funziona tutto correttamente!!!!

03-12-2008, 11:38	#1
mjnman Member Iscritto dal: May 2003 Città: Padova Messaggi: 219	racoon e client Shrew VPN Salve, ho un problema con una VPN con racoon su debian etch e client Windows XP (Shrew 1.1.0 release) utilizzando i certificati x.509 come autenticazione server VPN LINUX (192.168.1.2) <--> router Zyxel 650H-E1 (192.168.1.1 LAN) e IP pubblico <--> internet <--> Client Windows Shrew 1.1.0 release (viene assegnato IP 192.168.1.20) Nel router è stato configurato il FORWARD delle porte 500 e 4500 in UDP (vedi sotto come), la connessione avviene regolarmente senza errori nei LOG del server VPN. Dal client VPN windows riesco a fare regolarmente il PING al server VPN (192.168.1.2). Il problema è che sempre dal client VPN windows non riesco in nessun modo a fare il ping verso un altro qualsiasi host della rete 192.168.1.!!!!!!! Tutti i client della rete 192.168.1. hanno come DNS e come GATEWAY il server VPN (192.168.1.2) e la navigazione WEB e tutte le funzioni di rete funzionano correttamente. Ho provato con "tcpdump" ed ho notato che i pacchetti vanno verso l'host 192.168.1.* ma non tornano in dietro. Il file "/proc/sys/net/ipv4/ip_forward" nel server VPN LINUX naturalmente è a "1" e non c'è IPTABLES configurato, se configuro un IP 192.168.1.* nel server VPN linux riesco a fare il PING regolarmente. Sotto i link dei file racoon.conf, psk.key, TCPDUMP 192.168.1.2 (OK), TCPDUMP 192.168.1.2 (NO PING), racoon.log e setkey -DP. Con XXX.YYY.XXX.YYY è l'IP pubblico del router Zyxel. Qualcuno ha qualche help da darmi . . . please, non ho più idee su cosa fare . . . help Matteo Vesione Firmware Router Zyxel 650H-E1 System Name : ZyNOS F/W Version: V3.40(OL.2) \|12/24/2004 DSL FW Version: Alcatel, Version 15.9.214 Standard: Multi-Mode Router configuration Advance setup --> NAT --> SUA NAT Server Set --> Start port 500 End Port 500 IP Address 192.168.1.2 Advance setup --> NAT --> SUA NAT Server Set --> Start port 4500 End Port 4500 IP Address 192.168.1.2 http://www.fileupyours.com/view/2236...1.2_PINGOK.wri http://www.fileupyours.com/view/2236...1.3_NOPING.wri http://www.fileupyours.com/view/223629/psk.txt http://www.fileupyours.com/view/223629/racoon.conf http://www.fileupyours.com/view/223629/racoon.log http://www.fileupyours.com/view/223629/setkey.txt

26-02-2009, 09:41	#2
mjnman Member Iscritto dal: May 2003 Città: Padova Messaggi: 219	Risolto!!! Il problema stava nella netmask. Infatti i client VPN non possono essere nella stessa LAN del server VPN locale. O meglio la LAN è una 192.168.1.* mentre i client VPN devono avere una 192.168.2.* (nel mio caso). Ora funziona tutto correttamente!!!!

Strumenti
Mostra una versione stampabile Invia questa pagina per email