ipsec e racoon & nat

Giuseppe dia giusedia a aliceposta.it
Lun 27 Dic 2004 19:49:47 CET


Salve,
ho un problema con la mia wi-fi casalinga.
Volendo stare tranquillo, sto usando ipsec per garantire l'integrita' 
dei dati  e fare si che nessun altro possa connettersi al mio ap 
casalingo, realizzato con una prism e hostap e 4.10-p5, due schede di 
rete realtek, una verso il modem e l'altra con indirizzo 192.168.x.x 
verso lo switch.
Attualmente uso una chiave da 128bit, e proprio oggi ho installato ipsec 
seguendo le direttive di:
http://ezine.daemonnews.org/200401/wifi-ipsec.html. Il mio laptop ha 
indirizzo 192.168.x.8 e la realtek verso l'hub indirizzo 192.168.69.3
Mi sono permesso di aggiungere al mio firewall (unica modifica rispetto 
al tutorial):
00420 allow esp from 192.168.69.3 to 192.168.69.8
00520 allow esp from 192.168.69.8 to 192.168.69.3
00620 allow ipencap from 192.168.69.3 to 192.168.69.8
00720 allow ipencap from 192.168.69.8 to 192.168.69.3
wi0 funziona come bridge, non ha indirizzo ip

/sbin/ifconfig wi0 ssid sdaa channel 11 media DS/11Mbps mediaopt hostap up
/usr/sbin/wicontrol -e 1
/usr/sbin/wicontrol -k xxxxxxxxx -v 1
/usr/sbin/wicontrol -k xxxxxxxxx  -v 2
/usr/sbin/wicontrol -k xxxxxxxxx -v 3
/usr/sbin/wicontrol -k xxxxxxxxx -v 4
/usr/sbin/wicontrol -T 1
/usr/sbin/wicontrol -f 11
/usr/sbin/wicontrol -s "aposda"
/sbin/sysctl net.link.ether.bridge=1
/sbin/sysctl net.inet.ip.forwarding=1
/sbin/sysctl net.link.ether.bridge_cfg="wi0,rl0"

succede che seguendo le istruzioni del tutorial, ipsec funziona 
perfettamente la negoziazione avviene e gateway e portatile(XP) si 
vedono perfettamente, pingo e accedo al web server sul .3, le query dns 
vanno, ma non posso accedere ne' agli altri pc della lan, ne' ad internet.
Ovviamente prima di ipsec il portatile navigava(me ne assicuro, mentre 
voi pensate che cosa potrebbe essere)
Io uso ppp -nat per connettermi all'adsl, e come avrete intuito gli 
altri pc hanno ip nel range 192.168.69.x
Altra domanda: sto effettivamente impedendo ad una terza parte di 
connettersi tramite il mio ap, o una volta compromesso il wep un intruso 
potrebbe comunque navigare?
Non ci sono warnig o errori in racoon lanciato con verbose tranne un 
warning riguardo un tag di configurazione obsoleto.
Secondo me dipende da questo: The existing NAT machinery will handle the 
private IP address translation at the public internet interface.
Ho letto diversi altri tutorial, e molti usano la gif interface. Non 
credo sia il mio caso (io non voglio mantenere i dati intatti in un 
tunnel tra due pc della lan, voglio un tunnel tra il laptop e il resto, 
sia esso lan o internet).
Confesso di brancolare un po' nel buio. Grazie per i vostri 
suggerimenti, non esitate a chiedere ulteriori dettagli.                 
                        Giuseppe






Maggiori informazioni sulla lista aiuto