i just want confirm the config i do following your advice<br><br>ipsec --version output :<br><br>Linux Openswan U2.1.5/K2.6.9-42.0.3.EL (native) (native)<br>See `ipsec --copyright&#39; for copyright information.<br><br>ipsec.conf
 :<br><br>config setup<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; # Debug-logging controls:&nbsp; &quot;none&quot; for (almost) none, &quot;all&quot; for lots.<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; # klipsdebug=all<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; # plutodebug=dns<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; interfaces=&quot;ipsec0=eth0&quot;
<br>conn tunnelipsec<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; type=&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; tunnel<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; authby=&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; secret<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; #RRT<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; left=&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; myip<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftsubnet=&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://66.232.119.0/24">66.232.119.0/24</a><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftnexthop=&nbsp;&nbsp;&nbsp; %defaultroute
<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; #SAA<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; right=&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; other_Company_ip<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rightsubnet=&nbsp;&nbsp;&nbsp; the_same_other_company_Ip<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rightnexthop=&nbsp;&nbsp; %defaultroute<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; esp=&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 3des-md5-modp1024<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; aggrmode=&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; no
<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; keyexchange=&nbsp;&nbsp;&nbsp; ike<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ikelifetime=&nbsp;&nbsp;&nbsp; 24.0m<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; keylife=&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1.0h<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; pfs=&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; no<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; auto=&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; start<br><br>=============end==============================<br><br>
<br>i need confirm the parte of rightsubnet , i asking if i need acces of they subnet or they just need a vpn encrypt with that server <br><br>the i dont know where put the option of keylife and the other, so i assume is in the right side ( #SSA ) is this OK ?
<br><br>Thanks<br><br>pd: sorry for my bad english <br><div><span class="gmail_quote"><br><br>On 6/11/07, <b class="gmail_sendername">Peter McGill</b> &lt;<a href="mailto:petermcgill@goco.net">petermcgill@goco.net</a>&gt; wrote:
</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">&gt; -----Original Message-----<br>&gt; Date: Sat, 9 Jun 2007 12:29:41 -0400<br>&gt; From: E0x &lt;
<a href="mailto:samudhio@gmail.com">samudhio@gmail.com</a>&gt;<br>&gt; Subject: [Openswan Users] openswan Side to Side config<br>&gt; To: <a href="mailto:users@openswan.org">users@openswan.org</a><br>&gt;<br>&gt; Hello all i am new using openswan and&nbsp;&nbsp;i have this situation:
<br>&gt;<br>&gt; openswan.i386&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;2.1.5-1fc2<br>&gt;<br>&gt; OS:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Centos 4.5<br>&gt;<br>&gt; kernel:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 2.6.9-42.0.3.EL<br>
&gt;<br>&gt; i have to do a side to side config with another company but i<br>&gt; dont sure what<br>&gt; are they using i guess is a something like a pix<br>&gt; cisco because the info that they give for the encryptation
<br>&gt; method that i can<br>&gt; choose<br>&gt;<br>&gt; i choose this method:<br>&gt; Phase 1 IKE Properties:<br>&gt;<br>&gt; Key Exchange: 3DES<br>&gt; Data Integrity : MD5<br>&gt; Renegotiate IKE SA: 1440 seconds<br>&gt; DH-Group : Group&nbsp;&nbsp;2 ( 1024 )
<br>&gt; Use Agressive Mode: Disable<br>&gt;<br>&gt; Phase 2 IPsec Properties:<br>&gt;<br>&gt; Data Encryption : 3DES<br>&gt; Data Integrity : MD5<br>&gt; Perfect Forward Secrecy: Disabled<br>&gt; Renegotiate :&nbsp;&nbsp;IPSEC SA`s Every : 3600 Seconds
<br>&gt; Support Site to Site Compression : Disabled<br>&gt;<br>&gt; other settings : pre-share secrets must be at least 10 alpha/numeric<br>&gt; characters long. also, they can only be exchanged in a secure manner<br>&gt;
<br>&gt; ====End====<br>&gt;<br>&gt;<br>&gt; now in my site i have only one interface ( eth0 ) with 6<br>&gt; public ip ( alias<br>&gt; interface) ( eth0:1 . eth0:2...etc )<br>&gt; and i config openswan like this :<br>&gt; config setup
<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; # Debug-logging controls:&nbsp;&nbsp;&quot;none&quot; for (almost) none,<br>&gt; &quot;all&quot; for lots.<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; # klipsdebug=all<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; # plutodebug=dns<br>&gt;<br>&gt; conn tunnelipsec<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; type=&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; tunnel
<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; authby=&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; secret<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; #RRT<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; left=&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; one_of_My_Public_IP<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftsubnet=&nbsp;&nbsp;&nbsp;&nbsp; network-public_ip/24 &lt;<a href="http://66.232.119.0/24">http://66.232.119.0/24
</a>&gt;<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftnexthop=&nbsp;&nbsp;&nbsp;&nbsp;%defaultroute<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; #SAA<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; right=&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;the_another_company_ip<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rightsubnet=&nbsp;&nbsp;&nbsp;&nbsp;where_i_put_the_Same_IP_that_Above<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rightnexthop=&nbsp;&nbsp; %defaultroute
<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; esp=&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;3des-md5<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; keyexchange=&nbsp;&nbsp;&nbsp;&nbsp;ike<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; pfs=&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;no<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; auto=&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; start<br><br>I would say your on the right track with this.<br>You should set these to match the timeouts given:
<br>ikelifetime=24.0m<br>keylife=1.0h<br>You could also add these to the conn:<br>ike=3des-md5-modp1024<br>aggrmode=no<br>If you have rightsubnet = right, then you can only communicate with the<br>Foreign router, and not the network beyond it, you&#39;ll probably need to
<br>Put their subnet info in rightsubnet.<br>If you have six public ip&#39;s, then you should probably have a leftsubnet of /29.<br>Ie) If <a href="http://66.232.119.1">66.232.119.1</a> - 6, then <a href="http://66.232.119.0/29">
66.232.119.0/29</a>,<br>or <a href="http://66.232.119.33">66.232.119.33</a> - 38 then <a href="http://66.232.119.32/29">66.232.119.32/29</a>, etc...<br>You may need an intefaces line for ip alias used for ipsec, if using klips.
<br>Netkey should ingnore the setting so it should be safe to set either way.<br>ipsec --version will tell you which your using.<br>config setup<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;interfaces=&quot;ipsec0=eth0:1&quot;<br><br>You secrets file should look like this:
<br>&lt;left pub ip&gt; &lt;right pub ip&gt; : PSK &quot;&lt;secret&gt;&quot;<br><br>Lastly don&#39;t forget to setup firewall (iptables) rules to allow both the ipsec and tunneled traffic.<br><br>&gt; #Disable Opportunistic Encryption
<br>&gt; include /etc/ipsec.d/examples/no_oe.conf<br>&gt;<br>&gt;<br>&gt; =======end=======<br>&gt;<br>&gt; now they will give me a key when i am ready for the test i<br>&gt; guest the key is<br>&gt; config in /etc/ipsec.secrets
<br>&gt;<br>&gt; so my question is : i know openswan is for connect to private<br>&gt; network trough<br>&gt; internet but how i can do that if in my case i dont have a<br>&gt; private network ?<br>&gt; what i need put in the leftsubnet: option ? i need asking for
<br>&gt; the subnet of<br>&gt; another company too for set in some ipsec interface that will<br>&gt; create with i<br>&gt; connect ?<br><br></blockquote></div><br>