Autore Topic: IPSEC IPTABLES  (Letto 5473 volte)

Offline LucaDell

  • Newbie
  • *
  • Post: 24
    • Mostra profilo
IPSEC IPTABLES
« il: 13 Giugno 2017, 12:26:54 »
Buongiorno a tutti,

ho un firewall Centos 6.5 su cui ho installato ipsec-tools e racoon. Ho configurato racoon.conf e ipsec.conf per collegare due reti.
Ora quando provo a stabilire  racoonctl establish-sa -w isakmp inet ip1 ip2 in /var/log/messages ho questo errore racoon: ERROR: phase1 negotiation failed due to time up.
Inoltre la porta 500 udp è aperta in input con IPTABLES -A INPUT -p udp -m udp --dport 500 -j ACCEPT
Secondo voi manca qualche altra regole iptables per ip protocol 50 (ESP) ?

Grazie

Offline smeserver

  • Hero Member
  • *****
  • Post: 1313
    • Mostra profilo
Re:IPSEC IPTABLES
« Risposta #1 il: 19 Giugno 2017, 14:49:40 »
breve ricerca su google con "ipsec firewall ports" mi da

Citazione
Here are the ports and protocols:
Protocol: UDP, port 500 (for IKE, to manage encryption keys)
Protocol: UDP, port 4500 (for IPSEC NAT-Traversal mode)
Protocol: ESP, value 50 (for IPSEC)
Protocol: AH, value 51 (for IPSEC)

Offline LucaDell

  • Newbie
  • *
  • Post: 24
    • Mostra profilo
Re:IPSEC IPTABLES
« Risposta #2 il: 20 Giugno 2017, 17:27:06 »
grazie per la dritta smeserver.

Ho aggiunto le regole di input per queste regole...ora però il firewall mi restiruisce questo errore.


Jun 20 17:17:05 fw racoon: ERROR: no policy found: 192.168.168.0/24[0] 192.168.0.0/24[0] proto=any dir=in
Jun 20 17:17:05 fw racoon: ERROR: failed to get proposal for responder.
Jun 20 17:17:05 fw racoon: [x.x.x.x] ERROR: failed to pre-process ph2 packet (side: 1, status: 1).


Ho googolato un po ma niente da fare.
Cosa potrebbe essere?
 

Offline LonelyWolf

  • Moderator
  • Hero Member
  • *****
  • Post: 1396
    • Mostra profilo
    • Traversate dei laghi
Re:IPSEC IPTABLES
« Risposta #3 il: 21 Giugno 2017, 08:50:49 »
...


Ho googolato un po ma niente da fare.
Cosa potrebbe essere?

ad esempio una regola scritta male oppure indirizzi che "non concordano"
« Ultima modifica: 21 Giugno 2017, 08:56:12 da LonelyWolf »

Offline LucaDell

  • Newbie
  • *
  • Post: 24
    • Mostra profilo
Re:IPSEC IPTABLES
« Risposta #4 il: 21 Giugno 2017, 15:19:23 »
Ora funziona tutto tra i due sistemi, ovvero i log non danno nessun errore sia dalla mia parte CentOS sia dall' altra parte FortiOS. Le policy si caricano, la route è presente ma non si vedono le due LAN....ora domanda da un miolione di euro potrebbe esserci l' incompatibilità tra CentOS e FortOS ?