OpenNET: статья - [FreeBSD] Настройка IPSec тунеля с использованием racoon (freebsd ipsec tunnel)

[FreeBSD] Настройка IPSec тунеля с использованием racoon (freebsd ipsec tunnel)


<< Предыдущая	ИНДЕКС	Поиск в статьях	src	Установить закладку	Перейти на закладку	Следующая >>

Ключевые слова: freebsd, ipsec, tunnel,  (найти похожие документы)

Date: Mon, 15 Jul 2002 06:57:04 +0000 (UTC)
Sender: fido7@ddt.demos.su
From: andrew pavlov <and@kremenchug.net>
Newsgroups: fido7.ru.unix.bsd
Subject: [FreeBSD] Настройка IPSec тунеля с использованием racoon


>> Нужен ipsec (192.168.1.0/24 - [real.ip.1] === [real.ip.2] -
>> 192.168.0.0/24) делаю по HandBook (ipsec.html 8.9.3), но не работает.
>> Нужен ли gif? Обязателен ли racoon? Если у кого получилось - киньте
>> настройки.
>
> Неужели никто не использует сабж?
> Я уже и http://asherah.dyndns.org/~josh/ipsec-howto.txt почитал - не помогает.

приблизительно так... ты уж извини если не поможет... :)

в /etc/rc.conf
ipsec_enable="YES"
network_interfaces="lo0 fxp0 gif0"
gif_interfaces="gif0"

на host1:
ifconfig_fxp0="inet y.y.y.1/24"      # твой LAN
ifconfig_gif0="inet x.x.1.1 x.x.2.1 netmask 255.255.255.0" # адреса тунеля
gifconfig_gif0="y.y.y.1 y.y.y.2"

на host2:
ifconfig_fxp0="inet y.y.y.2/24"      # твой LAN
ifconfig_gif0="inet x.x.2.1 x.x.1.1 netmask 255.255.255.0" # адреса тунеля
gifconfig_gif0="y.y.y.2 y.y.y.1"

cd /etc
touch ipsec.conf
в /etc/ipsec.conf
на host1:
spdadd x.x.1.1/24 x.x.2.1/24 any -P out
 ipsec esp/tunnel/y.y.y.1-y.y.y.2/require;
spdadd x.x.2.1/24 x.x.1.1/24 any -P in
 ipsec esp/tunnel/y.y.y.2-y.y.y.1/require;

на host2:
spdadd x.x.2.1/24 x.x.1.1/24 any -P out
 ipsec esp/tunnel/y.y.y.2-y.y.y.1/require;
spdadd x.x.1.1/24 x.x.2.1/24 any -P in
 ipsec esp/tunnel/y.y.y.1-y.y.y.2/require;

cd /usr/ports/security/racoon
make build; make install; make clean
cd /usr/local/etc/racoon
touch psk.txt
в /usr/local/etc/racoon/psk.txt
на host1:
y.y.y.2    badaboom
на host2:
y.y.y.1    badaboom

touch racoon.conf
в /usr/local/etc/racoon/racoon.conf на обоих хостах

path include "/usr/local/etc/racoon" ;
path pre_shared_key "/usr/local/etc/racoon/psk.txt" ;
log info;

padding
{
	maximum_length 20;	# maximum padding length.
	randomize off;		# enable randomize length.
	strict_check off;	# enable strict check.
	exclusive_tail off;	# extract last one octet.
}

timer
{
	# These value can be changed per remote node.
	counter 5;		# maximum trying count to send.
	interval 20 sec;	# maximum interval to resend.
	persend 1;		# the number of packets per a send.

	# timer for waiting to complete each phase.
	phase1 30 sec;
	phase2 15 sec;
}

remote anonymous
{
	exchange_mode aggressive,main;
	doi ipsec_doi;
	situation identity_only;

	nonce_size 16;
	lifetime time 1 min;	# sec,min,hour
#	lifetime byte 5 MB;	#
	initial_contact on;
	support_mip6 on;
	proposal_check obey;	# obey, strict or claim

	proposal {
		encryption_algorithm 3des;
		hash_algorithm md5;
		authentication_method pre_shared_key ;
		dh_group 2 ;
	}
}

sainfo anonymous
{
	pfs_group 1;
	lifetime time 36000 sec;
#	lifetime byte 50000 KB;
	encryption_algorithm 3des,des,cast128,blowfish ;
	authentication_algorithm hmac_sha1,hmac_md5;
	compression_algorithm deflate ;
}

в ядре должен присутствовать
pseudo-device gif

Запускаем racoon
/usr/local/sbin/racoon -f /usr/local/etc/racoon/racoon.conf


<< Предыдущая	ИНДЕКС	Поиск в статьях	src	Установить закладку	Перейти на закладку	Следующая >>

Обсуждение

[ RSS ]

1, Andrew (??), 03:15, 20/06/2004 [ответить]	+/–
А где имеено мы прописывовает маршрутизацию. У меня задача затулить роутинг на несколько сеток, но методом подборане получается.

2, logan (?), 14:38, 22/09/2006 [^] [^^] [^^^] [ответить]	+/–
static_routes="vpn-s" route_vpnkorus="192.168.0.0/22 192.168.2.160" export route_vpn-s

Добавить комментарий

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру