Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

VPN ipsec 2 con 3des

 
Nuovo argomento   Rispondi    Indice del forum -> VPN
Precedente :: Successivo  
Autore Messaggio
dagoma



Registrato: 25/04/15 23:39
Messaggi: 10

MessaggioInviato: Dom Mag 24, 2015 10:07 pm    Oggetto: VPN ipsec 2 con 3des Rispondi citando

Ciao.
Voglio porvi un quesito avrei bisogno di un captive portal per una rete che mi giunge tramite VPN. Mi spiego ho una rete remota alla quale mi connetto in VPN dove gli utenti i device di questa rete remota, devono navigare tramite il captive portal del mio Zeroshell. E' possibile?
Una ulteriore domanda importante. La mia Vpn e' attualmente funzionante su router Cisco 1841 con questo protocollo.
crypto ipsec transform-set DIFXXXX esp-3des esp-sha-hmac
su zeroshell trovo gli stessi formati? cioe riuciro a fare la vpn su Zeroshell?

Ciao e Grazie Mille
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 774

MessaggioInviato: Lun Mag 25, 2015 11:49 am    Oggetto: Rispondi citando

Zs di 'suo' non supporta L2L ipsec però se guardi qui puoi trovare uno spunto per come fare, oltre al transform-set controlla anche la/e isakmp policy sia coerente.
ciao
Top
Profilo Invia messaggio privato
dagoma



Registrato: 25/04/15 23:39
Messaggi: 10

MessaggioInviato: Lun Mag 25, 2015 2:04 pm    Oggetto: Rispondi citando

Ciao red five,
allora cambio domanda. come posso far girare tutte le richieste che mi giungono da remoto via Vpn ad un Cisco 1841 , versso il mio Zeroshell?
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 774

MessaggioInviato: Mar Mag 26, 2015 9:06 pm    Oggetto: Rispondi citando

Una soluzione, potrebbe essere quella di utilizzare il Policy based routing, ed applicare le route-map sull'interfaccia di ingresso del router e sul tunnel (dovresti usare però la vpn con Virtual Tunnels Interfaces) ... E' un pò che anche io pensavo ad una soluzione per una situazione simile, ho provato con una topologia GNS3 ...Tra R1 ed R3 c'è una vpn VTI, il pc debian, con un traceroute sull ip 10.1.2.1 (interfaccia seriale di ISP), "passa" dal tunnel, quindi da ZS, che inoltra i pacchetti a destinazione....Sembra che possa funzionare, ma prendila per quella che è, una soluzione da 'elettricista' ...
Laughing

Edit ... le parti che potrebbero interessare..
Codice:
R1#sh run
!
crypto isakmp policy 1
 encr aes
 authentication pre-share
 group 5
 lifetime 3600
crypto isakmp key pippo address 217.100.1.1
!
!
crypto ipsec transform-set set1 esp-aes esp-sha-hmac
!
crypto ipsec profile pro1
 set transform-set set1
!
interface Tunnel0
 ip address 10.100.100.1 255.255.255.252
 tunnel source Serial0/0
 tunnel destination 217.100.1.1
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile pro1
!
interface FastEthernet0/0
 ip address 192.168.10.1 255.255.255.0
 ip policy route-map local
 duplex auto
 speed auto
!
access-list 100 permit ip 192.168.10.0 0.0.0.255 any
no cdp log mismatch duplex
!
!
!
route-map local permit 10
 match ip address 100
 set ip next-hop 10.100.100.2


Codice:
R3#sh run
Building configuration...
!
crypto isakmp policy 1
 encr aes
 authentication pre-share
 group 5
 lifetime 3600
crypto isakmp key pippo address 92.100.1.1
!
!
crypto ipsec transform-set set1 esp-aes esp-sha-hmac
!
interface Tunnel0
 ip address 10.100.100.2 255.255.255.252
 ip policy route-map local
 tunnel source Serial0/0
 tunnel destination 92.100.1.1
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile pro1
!
interface FastEthernet0/0
 ip address 172.16.0.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 duplex auto
 speed auto
!
interface Serial0/0
 ip address 217.100.1.1 255.255.255.252
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 clock rate 2000000
!
ip route 0.0.0.0 0.0.0.0 Serial0/0
ip route 192.168.10.0 255.255.255.0 Tunnel0
!
access-list 100 permit ip 192.168.10.0 0.0.0.255 any
no cdp log mismatch duplex
!
route-map local permit 10
 match ip address 100
 set ip next-hop 172.16.0.2

Poi giochi un pò con il nat di ZS per 'tradurre 'solo le richieste che vanno all'esterno e non i pacchetti che 'ritornano' ai clients ....Da provare un pò piu' a fondo...
Ciao
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> VPN Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it