[RISOLTO] IPSEC ed il BACKUP URGENTE!!!!

La rete, Internet, configurazione di Servizi e tutto ciò che permette la comunicazione tra macchine

[RISOLTO] IPSEC ed il BACKUP URGENTE!!!!

Messaggioda manstt » 13/04/2012, 17:11

Ciao a tutti,

scusate per il titolo URGENTE, ma ho veramente bisogno di chiarire la questione.

ho un grosso problema da risolvere con la mia Debian 6.0.3 64Bit. Ho configurato il mio pc con Debian come un router che gestisce 8 schede di rete, isdn e vpn su reti.
Attualmente ho una configurazione funzionante con racoon e ipsec verso altri nodi. Volevo utilizzare sempre l'ipsec per collegare un'altro router debian con una connessione adsl ed isdn.
Non capisco come posso gestire con ipsec in modo automatico la linea di backup. Mi spiego meglio.Gli automatismi che mi alzano l'isdn e chiudono la connessione lì ho già implementati e funzionano che è una meraviglia, però mi manca lato ipsec la configurazione che permette l'instradamento da una linea "primaria" su una linea di backup in caso di guasto della prima.

La mia configurazione ipsec è manuale e specifico nel file racoon.conf i due tipi di collegamento la prima DEST1 su adsl mentre la DEST2 con isdn.

Visto che inserisco a mano i dati in ipsec-tools.conf come posso specificare il raggiungimento di una rete finale con due percorsi diversi dovendo specificare dopo la parola tunnel l'ip locale e remoto del router ipsec???

Con Openvpn questo non era un problema perchè potevi inserire più remote host. Però volevo mantere l'ipsec.

Allego una mia configurazione tipo
Spero di essermi spiegato.

Codice: Seleziona tutto
 
racoon.conf
remote DEST1 {
        my_identifier address SORG1;
        exchange_mode main;
        nat_traversal force;
        initial_contact on;

        lifetime time 3600 sec;

        nonce_size 16;
        support_proxy on;
        proposal_check obey;    # obey, strict or claim

        proposal {
                encryption_algorithm 'aes 128';
                authentication_method pre_shared_key;
                hash_algorithm sha1;
                dh_group 2;
        }
}

sainfo address SORG1/32 any address DEST1/32 any {
        encryption_algorithm 'aes 128';
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate;
        lifetime time 1800 sec;
        pfs_group 2;
}

sainfo address DEST1/32 any address SORG1/32 any {
        encryption_algorithm 'aes 128';
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate;
        lifetime time 1800 sec;
        pfs_group 2;
}





# routera isdn
remote DEST2 {
        my_identifier address SORG2;
        exchange_mode main;
        nat_traversal off;
        initial_contact on;

        lifetime time 14400 sec;

        nonce_size 16;
        support_proxy on;
        proposal_check obey;    # obey, strict or claim

        proposal {
                encryption_algorithm 'des';
                authentication_method pre_shared_key;
                hash_algorithm md5;
                dh_group 1;
        }
}

sainfo address SORG2/32 any address DEST2/32 any {
        encryption_algorithm 'des';
        authentication_algorithm hmac_md5;
        compression_algorithm deflate;
        lifetime time 7200 sec;
}

sainfo address DEST2/32 any address SORG2/32 any {
        encryption_algorithm 'des';
        authentication_algorithm hmac_md5;
        compression_algorithm deflate;
        lifetime time 7200 sec;
}



# regole comuni con isdn
sainfo address RETE_REM1/24 any address RETE_LOC1/24 any {
        encryption_algorithm 'aes 128';
        authentication_algorithm hmac_md5;
        compression_algorithm deflate;
        lifetime time 1800 sec;
        pfs_group 2;
}

sainfo address RETE_LOC1/24 any address RETE_REM1/24 any {
        encryption_algorithm 'aes 128';
        authentication_algorithm hmac_md5;
        compression_algorithm deflate;
        lifetime time 1800 sec;
        pfs_group 2;
}


Codice: Seleziona tutto
 
spdadd SORG1/32     DEST1/32   any -P out ipsec
       esp/tunnel/SORG1-DEST1/require;
spdadd DEST1/32   SORG1/32     any -P in  ipsec
       esp/tunnel/DEST1-SORG1/require;

# routera isdn
spdadd SORG2/32 DEST2/32 any -P out ipsec
       esp/transport/SORG2-DEST2/require;
spdadd DEST2/32 SORG2/32 any -P in  ipsec
       esp/transport/DEST2-SORG2/require;

# routera Regole comuni fra adsl e isdn
spdadd RETE_LOC1/24     RETE_REM1/24     any -P out ipsec esp/tunnel/??????-???????/require;
spdadd RETE_REM1/24     RETE_LOC1/24     any -P in  ipsec esp/tunnel/??????-???????/require;



Grazie in anticipo!!!
Ultima modifica di manstt il 04/09/2014, 14:20, modificato 2 volte in totale.
manstt
Newbie
Newbie
 
Messaggi: 22
Iscritto il: 26/08/2011, 14:04

Re: IPSEC ed il BACKUP URGENTE!!!!

Messaggioda manstt » 13/04/2012, 17:27

Aggiungo che posso creare manualmente tutte le route ed iptables per utilizzare l'isdn senza ipsec, però il problema mi rimane con un'altra sede che la raggiungo con due linee hdsl....
manstt
Newbie
Newbie
 
Messaggi: 22
Iscritto il: 26/08/2011, 14:04

Re: IPSEC ed il BACKUP URGENTE!!!!

Messaggioda manstt » 14/04/2012, 9:03

Nessuna idea?
manstt
Newbie
Newbie
 
Messaggi: 22
Iscritto il: 26/08/2011, 14:04


Re: IPSEC ed il BACKUP URGENTE!!!!

Messaggioda manstt » 14/04/2012, 11:16

Comunque speravo in un consiglio.... più che una bacchettata.


Stò cercando di risolvere la questione con :

Codice: Seleziona tutto
 script "/etc/racoon/shell.up.sh" phase1_up;
 script "/etc/racoon/shell.down.sh" phase1_down;


Solo che deve capire se funziona correttamente perchè il problema che le stesse modifiche di spdadd devono essere eseguite sul router locale e router remoto....
manstt
Newbie
Newbie
 
Messaggi: 22
Iscritto il: 26/08/2011, 14:04

Re: IPSEC ed il BACKUP URGENTE!!!!

Messaggioda manstt » 27/04/2012, 12:38

Ma occorre utilizzare opportuni script per sistemare le chiavi sa oppure c'è qualcosa di automatico??

Grazie
manstt
Newbie
Newbie
 
Messaggi: 22
Iscritto il: 26/08/2011, 14:04

Re: IPSEC ed il BACKUP URGENTE!!!!

Messaggioda manstt » 04/09/2014, 14:20

Chiudo il post, perchè ormai ha fatto le ragnatele, io nel frattempo ho risolto utilizzando dei semplici script di monitor il quale agiscono direttamente sulle chiavi SA
manstt
Newbie
Newbie
 
Messaggi: 22
Iscritto il: 26/08/2011, 14:04


Torna a Network

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite