IPCOP VPN script riconnessione

IPCOP è una distro linux specifica per configurazioni firewall e proxy. Ottima come versione “casalinga” per chi vuole condividere servizi senza possedere un ip statico. IPCOP offre la possibilità di creare vpn net to net e di amministrare tutti i servizi da una comoda interfaccia web. Parlare di interfaccia web solitamente fa storcere il naso, una console è sempre il migllior modo per amministrazione remota. Volevo segnalare e soprattutto ricordarmi per usi futuri uno script per gestione della riconnessione del tunnel.

Lo script si chiama vpn-monitor

vpn-monitor, hacked together by BlueGroper for use with IpCop
test whether vpn connections are “open”, and restart connections only if not “open”

Lo script è disponibile al download qui
http://www.bur.st/~bgroper/ipcop/vpn-monitor


Posted in VPN at January 18th, 2007. No Comments.

VPN ipsec con 3 lan

Caso vuole che debba tirare su una vpn. non sono un guru ma con dedizione mi apllico e interfacciato con l’altro sistemista tiriamo su il tunnel. Dalla 192. alla 10.

Tutto a posto.

Caso vuole che i client della 192. devono potersi agganciare alla 172. passando dalla 10.

Uno scenario che non avevo ancora trovato. Dal basso delle mie poche conoscenze in materia mi viene trasparente pensare alla possibilità di sfruttare il tunnel già in piedi. Una regoletta di routing e tutto il traffico verso la 172. lo butto sulla ipsec0, verrà incapsulato e poi preso in consegna dal terminatore 10.

Niente di tutto ciò questi maledetti pacchetti dopo prove e controprove passano si per ipsec0 ma in chiaro. Lato 10. non arriva un tubo. Io amministro la 192. e mi interfaccio da giorni con l’admin della 10.

Continua a ripetermi che non arriva nulla, nessun pacchetto verso la 172. Eppure li vedevo passare con il buon tcpdump. Nei momenti di affollamento di pacchetti ESP fra le reti non riuscivo a distinguere quelli che mi interessavano. Documentazione e parte del wiki di openswan non mi hanno dato una grossa mano.

L’intuizione è stata quella di fare un salto sul canale irc dove ho trovato il mnt del wiki, tal mcr.

Si è dimostrato comprensivo e generoso nell’offrirmi una mano. Le sue due frasi più signitificative alla mia domanda “si può fare?” sono state:

 no. IKE and IPsec are one tunnel per subnet.
 if you had multiple networks, you'd just have multiple tunnels underneath.

Facile, se vuoi collegare piu reti, crea più tunnel. EASY! grazie mcr!

Posted in VPN at December 12th, 2006. No Comments.