[ITNOG] Strongswan (server) e VTI

Marco Marzetti marco@lamehost.it
Mar 23 Giu 2015 09:13:23 CEST


On 06/23/2015 09:02 AM, nicola modena wrote:
> ciao
> se stai facendo nat traversal potresti essere incappato nel problema
> della remote-identity che viene incapsulata con l'indirizzo privato.
>
> non ho stottomano una cfg per il cisco ma questo e' un esempio di cfg di
> un SRX..
>
> ike {
>      traceoptions {
>          file debug.ike size 5m;
>          flag all;
>      }
>      proposal aes256-sha1-gr2-14400 {
>          authentication-method pre-shared-keys;
>          dh-group group2;
>          authentication-algorithm sha1;
>          encryption-algorithm aes-256-cbc;
>          lifetime-seconds 14400;
>      }
>      policy openswan-aes256-sha1-gr2-14400 {
>          mode main;
>          proposals aes256-sha1-gr2-14400;
>          pre-shared-key ascii-text "************"; ## SECRET-DATA
>      }
>      gateway gw-openswan {
>          ike-policy openswan-aes256-sha1-gr2-14400;
>          address AA.BB.CC.DD;                           /* indirizzo
> pubblico  */
>          remote-identity inet 192.168.2.50;        /* INDIRIZZO FISICO
> DIETRO LA NAT */
>          external-interface fe-0/0/0.192;
>          version v1-only;
>      }
> }
>
> hth
> nicola
>
>

Ciao,

Per fortuna ne il client, ne il server è dietro NAT.
Curiosità: su quella macchina ho due interfacce:
  * eth0: accesso ad internet
  * eth1: nfs

Se attivo ipsec (/etc/init.d/ipsec start) eth1 smette di funzionare.

Temo ci sia qualcosa di profondamente sbagliato in ciò che fa il kernel 
(3.16.0-4-686-pae da debian stable)

Grazie



Maggiori informazioni sulla lista itnog