Ir al contenido principal

VPN entre RV042 y linux modo dynamic


En la anterior ocasion teniamos el mismo escenario entre un rv042 y ipsec (openswan) en un laboratorio y asumiendo que tenian ips publicas fijas. En esta ocasion  simplemente el openswan esta detras de una IP publica, es una dinamica  y el Cisco en esta ocasion si contiene una IP publica fija. Por lo que a continuacion los detalles:

LANLINUX=172.16.0.0/24
WANLINUX=Dinamica

LANRV042=192.168.125.0/24
WANRV042=190.144.XX.XX

Configuracion en LINUX

en el archivo "/etc/openswan/ipsec.conf"

config setup
        protostack=netkey
        klipsdebug=none
        plutodebug=none
        interfaces=%defaultroute
        oe=no
        nhelpers=0
        nat_traversal=yes

 conn %default
        authby=secret
        type=tunnel
        left=%defaultroute
        leftsubnet=172.16.0.0/24
        leftsourceip=172.16.0.1
        leftid=prueba@bsc.com.co

 conn linuxrv042
        auto=start
        right=190.44.XX.XX
        rightsubnet=192.168.125.0/24
        rightsourceip=192.168.125.1
        dpdtimeout=120
        dpddelay=30
        dpdaction=hold # alternatves: restart_by_peer, restart, clear, hold
        rekey=no
        auth=esp
        esp=3des-md5
        ike=3des-md5
        keyexchange=ike
        pfs=yes

editamos "/etc/openswan/ipsec.secrets"

%any 190.44.XX.XX : PSK "Prueb4_d1namy"

Configuracion en RV042

Agregamos una nueva VPN tipo gateway to gateway en el RV042, y tenemos en cuenta  los siguientes parametros:

Tunnel Name: linuxrv042
Interface: WAN1

En local Group set up
Local Security Gateway Type: IP Only
Local Security Grup Type: Subnet
Ip address : 192.168.125.0
Subnet mask: 255.255.255.0

En remote group Setup:
Remote Security Gateway Type: Dynamic IP + Email Address(USER FQDN) Authentication 
Email Address:  prueba @ bsc.com.co
Remote Security Group Type:  Subnet
IP Address: 172.16.0.0
Subnet Mask: 255.255.255.0

En IPsec Setup
Keying mode: IKE with Preshared Key
Phase 1 DH Group: Group 2 - 1024 bit
Phase 1 encryption: 3DES
Phase 1 Authentication: MD5
Phase 1  SA life Time:  28800
Perfect  Forward  Secrecy: "check"
Phase 2 DH Group: Group 2 - 1024 bit
Phase 2 encryption: 3DES
Phase 2 Authentication: MD5
Phase 2 SA life Time: 3600
Preshared Key: clavesegur4
Minimum preshared key Complexity: "check"

En Advanced
Keep-alive: "check"
Nat Transversal: "check"
Dead  peer  Detection interval: 10 seconds.

Listo volvemos a nuestro linux y para tenga capacidad de enrutar paquetes entre las redes debemos agregar los siguientes parametros a "/etc/sysctl.conf" 

#para ipsec
net.ipv4.ip_forward = 1
net.ipv4.conf.eth1.send_redirects = 0
net.ipv4.conf.eth0.send_redirects = 0
net.ipv4.conf.lo.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.eth1.accept_redirects = 0
net.ipv4.conf.eth0.accept_redirects = 0
net.ipv4.conf.lo.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.all.accept_redirects = 0

Cargamos los valores de sysctl para enrutamiento al kernel e iniciamos ipsec.

#sysctl -p
#service ipsec start
ipsec_setup: Starting Openswan IPsec U2.6.38/K2.6.39.4-5.1-desktop...

y listo. Hacemos pings entre nuestras subredes y deberian verse entre ellas. 
Saludos!!

Comentarios

  1. RoTolXII11 de mayo de 2020, 8:51

    genial.. me sirvio para realizar una conexion entre un rv042 y un 1811

    ResponderEliminar

Publicar un comentario

Entradas populares de este blog

Instalar Queuemetrics desde 0.

Cześć. Queuemetrics a pesar de estar casi personalizada su  instalación a Centos, también puede instalarse en otros sistemas operativos, de hecho en cualquier Linux podría hacerse. A continuación describo los pasos para hacerlo. En este demo se usó Suse. Descargar los siguientes paquetes: - Queuemetrics(obviamente XD)      link http://queuemetrics.loway.it/download.jsp      formato tar.gz - Mysql connector      link https://dev.mysql.com/downloads/connector/j/      formato  "platform independent" tar.gz      debe registrarse previamente. - Tomcat      link http://tomcat.apache.org/      formato tar.gz      en este manual se instaló la version 8.5.37 - JDK      link https://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.html      formato tar.gz      version linux x64 In...
Publicar un comentario
Leer más

Vtiger clic-to-call Asterisk

Cześć, Jak Sie Masz ludzie?. He vuelto con un nuevo manual muy sencillo de integración Asterisk con el popular Vtiger a traves de un conector en Java. Dependencias previas, bueno tener Asterisk 11 y Vtiger 7.3 funcionando, si las tienen, sin mas preambulos manos a la obra. Instalar dependencias.  #yum -y install java-11-openjdk-devel Descargar conector #cd /usr/src/ # mkdir VtigerAsteriskConnector_1.4.2 #cd VtigerAsteriskConnector_1.4.2 #wget https://sourceforge.net/projects/salesplatform/files/addons/SPAsteriskConnector-1.4.2.zip/download  -O SPAsteriskConnector-1.4.2.zip # unzip SPAsteriskConnector-1.4.2.zip Editar la configuración del archivo conf/SPVtigerAsteriskConnector.properties los siguientes parametros: AsteriskUsername   = vtigerclient1 AsteriskPassword   = vtiger2020 VtigerSecretKey = vtiger2020* Agregar a manager.conf [vtigerclient1] secret = vtiger2020 deny=0.0.0.0/0.0.0.0 permit=0.0.0.0/0.0.0.0 read = system,call,log,verbo...
3 comentarios
Leer más

Asterisk con WebRTC, TLS, libsrtp

  Cześć !! En esta ocasión vamos a explicar cómo configurar Asterisk para que desde un teléfono web podamos sacar y recibir llamadas. Se usará los siguientes componentes de Asterisk: libsrtp tls Asterisk module http Antes que nada debemos tener un teléfono web(obviamente), en el laboratorio vamos a usar Sipml5 en el siguiente link : https://www.doubango.org/sipml5/call.htm El siguiente paso es instalar libsrtp del enlace: https://github.com/cisco/libsrtp . #git clone https://github.com/cisco/libsrtp.git #cd libsrtp #./configure #make && make install Luego verificamos tener los siguientes módulos activos para compilar en menuconfig de Asterisk: res_crypto res_http_websocket res_srtp Comunmente si res_crypto no está selecionable, le falta la dependencia openssl-devel o su equivalente dependiendo del sistema que tengan. Cuando estemos seguros que están cargados en Asterisk continuamos con la instalación de los certificados locales(Si usa Lets'encrypt omitir la generación de c...
Publicar un comentario
Leer más