Linux IPSec vs ZyWall

Oggi mi sono trovato con il dover testare una VPN IPSEC tra una LinuxBox e un firewall hardware della Zyxel Ho dovuto perdere un po’ di tempo con le configurazioni lato linux visto che lo zywall utilizza una tecnologia IPSEC rivisitata da Zyzwl. Per questo motivo ho deciso di documentare lo sviluppo di tale progetto qui.

Configurazione di una VPN IPSEC tra una LinuxBox con OpensWan e un firewall ZyWall 2 plus. La VPN verrà creata con la PSK. Il lato linux sarà il right mentre lo zywall sarà il left.
LATO LINUX

Editare il file /etc/ipsec.conf e aggiungere il profilo per la connessione verso lo ZyWall

config setup
klipsdebug=no
plutodebug=no
#forwardcontrol=no
interfaces=”ipsec0=eth0″
nat_traversal=no
virtual_private=%v4:0.0.0.0/0
#disable_port_floating=no
#uniqueids=yes

conn OpenZy
#aggrmode
authby=secret
left=[RemoteIP Zywall2p]
leftsubnet=[Remote Subnet X.X.X.X/24]
leftnexthop=[Remote Router IP]
leftid=@pippo.pluto.it
right=[Local Public IP]
rightsubnet=[Local Subnet X.X.X.X/24]
rightnexthop=[Local Router IP]
rightid=@local.domain.it
auto=start
keyexchange=ike
esp=3des-md5-96
pfs=no
type=tunnel
ikelifetime=28800s
keylife=9600s
ike=3des-md5-modp1024
#keyingtries=0
#dpddelay=30

Editare il file /etc/ipsec.secrets aggiungendo la riga per la PSK ella nostra connessione:
@local.domain.it @pippo.pluto.it: PSK quot;scriverelapskqui”
Aggiungere al firewall presente sulla LinuxBox le regole che permettono l’ingresso alle porte 500 UDP, 4500 UDP, e al protocollo ESP (50). Attivare un eventuale Forward del traffico IPSEC dall’interfaccia esterna del firewall linux a quella interna.
Riavviare IPSEC
LATO ZYWALL
VPN – GATEWAY POLICY – EDIT
NAME: penZy
My Address: [Local Public IP]
Primary Remote Gateway: [RemoteIP LinuxBox]
Pre-Shared Key: [scriverelapskqui]
Local ID Type: DNS
Content: pippo.pluto.it <-- Attenzione a non mettere la @
Peer ID Type: DNS
Content: local.domain.it <-- Attenzione a non mettere la @ e non fatevi ingannare dal local
Negotiation Mode: Main
Encryption Algorithm: 3des
Authentication Algorithm: MD5
SA Life Time (Seconds): 9600
Key Group: DH2
VPN – NETWORK POLICY – EDIT

Active
Name: OpenZyLan
Local Network
Address Type: Subnet
Starting IP Address: Local Subnet X.X.X.X]
Ending IP Address / Subnet Mask 255.255.255.0
Remote Network
Address Type: Subnet
Starting IP Address: [Remote Subnet X.X.X.X]
Ending IP Address / Subnet Mask 255.255.255.0
Encapsulation Mode: Tunnel
Active Protocol: ESP
Encryption Algorithm: 3des
Authentication Algorithm: MD5
SA Life Time (Seconds): 28800
Perfect Forward Secrecy (PFS): NONE

Anche qui bisogna creare le regole per il firewall. Quelle per ipsec esistono di default quelle per la lan vanno create.
La Vostra VPN a questo punto è attiva…..
Continua a leggere… Mostra/Nascondi

Delegate

Il Delegate è un Gateway che permette di ridirigere il traffico tra client e server di molti proocolli come HTTP, ftp, NNTP, smtp, POP, IMAP, LDAP, TELNET, SOCKS, DNS ecc attraverso una macchina che funge da mediatore per la comunicazione.
In sostanza è un server PROXY che gestise protocolli differenti. Visto che questo software è utilissimo e che nella comunità Debian non è un pacchetto istallabile con il metodo debian ho deciso di produrne una DEB Version in modo che anche chi non si vuole cimentare nella compilazione del software possa utilizzarlo. Il pacchetto .deb per ora può solo essere scaricato tramite il vostro gestore di download come wget piuttosto che altro dall’indirizzo http://www.aste83.net/debian/delegate_8.11.5-4.deb.

Il software originale lo potete trovare al link www.delegate.org. insieme ai manuali ufficiali.

Il pacchetto .deb vi lascia con il binario /usr/sbin/delegated. Questo binario vi chiederà una configurazione in caso lo eseguite direttamente. Se invece lo eseguite da riga di comando passandogli i parametri che vi interessano otterrete lo stesso risultato con più comodità.

— DOWNLOAD —
19.11.2005
.deb – http://www.aste83.net/debian/delegate_8.11.5-4.deb

MD5SUM – 72331cd6bbeedd568fa240943f93b9bf  delegate_8.11.5-4.deb – delegate_8te_8.11.5-4.md5

MANUAL – http://www.delegate.org/delegate/Manual.htm

TUTORIAL – http://www.delegate.org/delegate/tutorial/

Il software in tutte le sue componenti non è stato assolutamente modificato e tutti i diritti sono del legittimo proprietario, il software qui scaricabile vuole solo essere una miglioria per il mondo DEB.