Commentare: 13:11 sabato, dicembre 26 2009
Di recente ho dovuto riconfigurare un netbook Samsung NC10 che mi e' stato dato in ufficio. Ho installato ubuntu karmic senza nessun problema, tutto l'hw rilevato subito, solo qualche problema per la riconfigurazione del modem umts integrato (risolto con un fix trovato su launchpad) e i pulsanti Fn-* (risolto con un repository ppa)
La mia battaglia e' sempre, invece, con la mancanza di un client sonicwall per linux che funzioni senza tante storie. Nei miei precedenti post avevo utilizzato sia racoon che openswan. Ho provato con racoon, ma non ho capito come farlo funzionare e dopo 20 minuti l'ho scartato subito in favore di openswan, che ero gia' riuscito a farlo funzionare su linux.
Il mio problema e' che ho bisogno di una configurazione altamente dinamica poiche' potrei collegarmi attraverso una qualsiasi rete (eth0, wlan0, ppp0) e avere ovviamente un qualsiasi ip.
In precedenza la configurazione che avevo fatto andava bene solo per un pc come il mio di casa che ha ip statico ed e' sempre collegato via eth0.
Dopo una battaglia infinita con google sono riuscito a scrivere una configurazione che ricalcasse le mie esigenze :-)
ipsec.conf:
version 2.0
config setup
nat_traversal=yes
nhelpers=1
interfaces=%defaultroute
protostack=netkey
oe=off
conn provincialan
type=tunnel
leftid=@GroupVPN
left=%defaultroute
leftsubnet=10.250.0.1/32
leftsourceip=10.250.0.1
leftxauthclient=yes
right=aa.bb.cc.dd
rightid=@0006B1033F00
rightsubnet=10.100.0.0/16
rightxauthserver=yes
authby=secret
auto=add
auth=esp
esp=3des-sha1
ike=3des-sha1-modp1024
pfs=no
keyingtries=0
aggrmode=yes
keyexchange=ike
Le modifiche rispetto alla precedente configurazione sono essenzialmente 2:
%defaultroute: nella riga interfaces dice a ipsec di usare l'interfaccia che ha la default route, mentre su left indica che l'ip dal nostro lato e' quello dell'interfaccia che va su internet. Unica cosa e' che l'interfaccia deve essere gia' attiva al momento dell'avvio di ipsec. Se la connessione viene attivata in un secondo momento basta dare:
sudo invoke-rc.d ipsec restart
leftsourceip=10.250.0.1: indica un ip "virtuale" da utilizzare sull'interfaccia che viene utilizzata per ipsec, per evitare di presentarsi con il proprio ip indicato su left
La connessione viene poi attivata con:
sudo ipsec auto --up provincialan
e disattivata con
sudo ipsec auto --down provincialan
Finalmente sono riuscito ad ottenere una configurazione "universale" che si puo' usare ovunque vi sia installato openswan :-)
