Linux IPSec vs ZyWall

Oggi mi sono trovato con il dover testare una VPN IPSEC tra una LinuxBox e un firewall hardware della Zyxel Ho dovuto perdere un po’ di tempo con le configurazioni lato linux visto che lo zywall utilizza una tecnologia IPSEC rivisitata da Zyzwl. Per questo motivo ho deciso di documentare lo sviluppo di tale progetto qui.

Configurazione di una VPN IPSEC tra una LinuxBox con OpensWan e un firewall ZyWall 2 plus. La VPN verrà creata con la PSK. Il lato linux sarà il right mentre lo zywall sarà il left.
LATO LINUX

Editare il file /etc/ipsec.conf e aggiungere il profilo per la connessione verso lo ZyWall

config setup
klipsdebug=no
plutodebug=no
#forwardcontrol=no
interfaces=”ipsec0=eth0″
nat_traversal=no
virtual_private=%v4:0.0.0.0/0
#disable_port_floating=no
#uniqueids=yes

conn OpenZy
#aggrmode
authby=secret
left=[RemoteIP Zywall2p]
leftsubnet=[Remote Subnet X.X.X.X/24]
leftnexthop=[Remote Router IP]
leftid=@pippo.pluto.it
right=[Local Public IP]
rightsubnet=[Local Subnet X.X.X.X/24]
rightnexthop=[Local Router IP]
rightid=@local.domain.it
auto=start
keyexchange=ike
esp=3des-md5-96
pfs=no
type=tunnel
ikelifetime=28800s
keylife=9600s
ike=3des-md5-modp1024
#keyingtries=0
#dpddelay=30

Editare il file /etc/ipsec.secrets aggiungendo la riga per la PSK ella nostra connessione:
@local.domain.it @pippo.pluto.it: PSK quot;scriverelapskqui”
Aggiungere al firewall presente sulla LinuxBox le regole che permettono l’ingresso alle porte 500 UDP, 4500 UDP, e al protocollo ESP (50). Attivare un eventuale Forward del traffico IPSEC dall’interfaccia esterna del firewall linux a quella interna.
Riavviare IPSEC
LATO ZYWALL
VPN – GATEWAY POLICY – EDIT
NAME: penZy
My Address: [Local Public IP]
Primary Remote Gateway: [RemoteIP LinuxBox]
Pre-Shared Key: [scriverelapskqui]
Local ID Type: DNS
Content: pippo.pluto.it <-- Attenzione a non mettere la @
Peer ID Type: DNS
Content: local.domain.it <-- Attenzione a non mettere la @ e non fatevi ingannare dal local
Negotiation Mode: Main
Encryption Algorithm: 3des
Authentication Algorithm: MD5
SA Life Time (Seconds): 9600
Key Group: DH2
VPN – NETWORK POLICY – EDIT

Active
Name: OpenZyLan
Local Network
Address Type: Subnet
Starting IP Address: Local Subnet X.X.X.X]
Ending IP Address / Subnet Mask 255.255.255.0
Remote Network
Address Type: Subnet
Starting IP Address: [Remote Subnet X.X.X.X]
Ending IP Address / Subnet Mask 255.255.255.0
Encapsulation Mode: Tunnel
Active Protocol: ESP
Encryption Algorithm: 3des
Authentication Algorithm: MD5
SA Life Time (Seconds): 28800
Perfect Forward Secrecy (PFS): NONE

Anche qui bisogna creare le regole per il firewall. Quelle per ipsec esistono di default quelle per la lan vanno create.
La Vostra VPN a questo punto è attiva…..
Continua a leggere… Mostra/Nascondi