[Linux-Biella] controllo vpn ipsec

[Leonardo Buffa]

ciao

ho una situazione strana che non riesco a meglio comprendere.

Premessa: gli apparati in gioco sono tre Watchguard che non conosco 
quasi nulla, gestiti da un collega, che li conosce assai meglio.

abbiamo una VPN ipsec che collega tre sedi, una sede ha IP pubblico 
(IP/30 con uno degli IP direttamente configurato sul firewall), le altre 
due sedi hanno IP statico (IP/32) sul router dal quale il traffico viene 
inviato tutto al firewall (classica DMZ e ovviamente un NAT in mezzo).

Voi direte: ti sei gia' dato la risposta.. infatti io con un comunissimo 
nmap ottengo due diversi valori se scanno la porta 500U sulla sede con 
IP pubblico e sulle altre, i risultati sono:


sede con IP pubblico sul FW:

   500/udp  open          isakmp



sedi con IP sul router e DMZ verso il firewall:

  500/udp  open|filtered isakmp


convinto di avere la soluzione, ho fatto lo stesso test verso un'altra 
realtà, che ha la stessa configurazione, quindi ip /32 sul router e DMZ 
verso firewall... nmap stesso risultato (open|filtered) ma la VPN tra 
noi e quella sede NON CADE MAI!


si sospetta anche che, con una certa frequenza, non sa bene a causa di 
cosa, la porta 500 venga chiusa sui router, router dei quali non abbiamo 
alcun controllo... vorrei quindi implementare un controllo ad esempio 
col mio nagios e verificare che la porta 500 udp sia effettivamente 
sempre aperta.. non ho trovato nulla di utile e anche check_udp prevede 
un send string e una risposta che sinceramente non saprei bene come fare...

qualcuno ha idee in merito?


ciao, Leo