IpSec Tunnel Between TMG & Vyatta

By Andrei Ungureanu - Last updated: Friday, April 20, 2012 - Save & Share - Leave a Comment

Cum rezultatele testului meu dintre TMG si pfSense nu au dat rezultate, am testat cu Vyatta (versiunea free). Pacat ca in versiunea free nu ai interfata grafica si e cam mult de butonat pana faci fisierul de config.

Nu o sa dau un tutorial cap coada pentru ca exista deja unul pe net despre ISA si o versiune mai veche de Vyatta si sincer e destul de mult de scris. Cel despre care vorbesc si dupa care m-am inspirat il gasiti aici:

http://www.carbonwind.net/isa/VyattaVPN/VyattaVPN.htm

In mare cam merge ce e acolo, doar ca anumite comenzi au fost schimbate in ultimele versiuni de Vyatta insa nu va panicati ca le puteti gasi foarte simplu folosind autocomplete.

Ca sa fac lucrurile mai simple o sa prezint ce setari am avut in TMG si o sa pun aici si fisierul de config din Vyatta.

image

image

Iar mai jos aveti sectiunea relevanta din config.boot de pe Vyatta:

vpn {
    ipsec {
        esp-group ESP-ISA {
            compression disable
            lifetime 3600
            mode tunnel
            pfs enable
            proposal 1 {
                encryption 3des
                hash sha1
            }
        }
        ike-group IKE-ISA {
            lifetime 28800
            proposal 1 {
                dh-group 2
                encryption 3des
                hash sha1
            }
        }
        ipsec-interfaces {
            interface eth0
        }
        site-to-site {
            peer 10.1.1.10 {
                authentication {
                    mode pre-shared-secret
                    pre-shared-secret 123456789
                }
                connection-type initiate
                ike-group IKE-ISA
                local-ip 10.2.2.10
                tunnel 1 {
                    allow-nat-networks disable
                    allow-public-networks disable
                    esp-group ESP-ISA
                    local {
                        subnet 192.168.2.0/24
                    }
                    remote {
                        subnet 192.168.1.0/24
                    }
                }
            }
        }
    }
}

 

Si daca va intereseaza si sectiunea pentru NAT:

service {
    nat {
        rule 1 {
            destination {
                address !192.168.1.0/24
            }
            outbound-interface eth0
            outside-address {
                address 10.2.2.10
            }
            source {
                address 192.168.2.0/24
            }
            type source
        }
    }
    ssh {
        allow-root
        port 22
        protocol-version v2
    }
}

Se poate vedea ca trebuie exclus subnetul din celelalt capat al tunelului (address !192.168.1.0/24).

Posted in Networking, Windows Server • Tags: , , Top Of Page

Write a comment