==== Wstęp ====

Jak zestawić połączenie szyfrowane i przeroutować więcej niż jedną sieć.

==== Instalacja ====

Instalujemy pakiety **racoon** i **ipsec-tools**:
<file>
aptitude install racoon ipsec-tools
</file>

==== Konfiguracja ====

Plik /etc/racoon/psk.txt:

<file>
1.2.3.4 naszetajnehaslo
</file>

Plik /etc/racoon/racoon.conf:
<file>
log info;
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";

listen {
        isakmp 11.22.33.44; #nasze IP
}

remote 1.2.3.4 {
        exchange_mode main;
        lifetime time 8 hour;
        ph1id 0;
        proposal {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method pre_shared_key;
                dh_group 2;
        }
}

sainfo anonymous {
        pfs_group 2;
        lifetime time 1 hour;
        encryption_algorithm 3des;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate;
        remoteid 0;
}
</file>

Plik /etc/ipsec-tools.conf:
<file>
#!/usr/sbin/setkey -f

flush;
spdflush;


spdadd 192.168.1.2/32 10.1.1.2/32 any -P out ipsec
          esp/tunnel/11.22.33.44-1.2.3.4/unique;

spdadd 10.1.1.2/32 192.168.1.2/32 any -P in ipsec
           esp/tunnel/1.2.3.4-11.22.33.44/unique;

spdadd 192.168.1.3/32 10.1.1.3/32 any -P out ipsec
          esp/tunnel/11.22.33.44-1.2.3.4/unique;

spdadd 10.1.1.3/32 192.168.1.3/32 any -P in ipsec
           esp/tunnel/1.2.3.4-11.22.33.44/unique;

</file>

Główna różnica dotycząca standardowego konfigu polega na słowie **unique** - domyślnie jest **require**.

Nadajemy uprawnienia i tworzymy linki symboliczne:
<file>
chmod 750 /etc/ipsec-tools.conf
ln -s /etc/ipsec-tools.conf /etc/racoon/ipsec-tools.conf
ln -s /var/log/racoon.log /etc/racoon/racoon.log
</file>

W pliku /etc/default/racoon ustawiamy:
<file>
RACOON_ARGS=" -l /var/log/racoon.log"
</file>

Dopisujemy do pliku /etc/logrotate.d/rsyslog plik /var/log/racoon.log, aby podlegał archiwizacji.

==== Firewall ====

Należy dopuścić ruch:
<file>
ethNet=eth0
iptables -A INPUT -i $ethNet -p tcp --dport 500 -j ACCEPT
iptables -A INPUT -i $ethNet -p tcp --dport 4500 -j ACCEPT
iptables -A INPUT -i $ethNet -p udp --dport 500 -j ACCEPT
iptables -A INPUT -i $ethNet -p udp --dport 4500 -j ACCEPT
iptables -A INPUT -i $ethNet -p esp -j ACCEPT
iptables -A INPUT -i $ethNet -p ah -j ACCEPT
iptables -A INPUT -i $ethNet -p ipcomp -j ACCEPT
</file>

==== Uruchomienie ====

<file>
/etc/ipsec-tools.conf
/etc/init.d/racoon restart
racoonctl vpn-connect 1.2.3.4
</file>