Narzędzia użytkownika

Narzędzia witryny


racoon_i_więcej_niż_jedna_podsieć

Wstęp

Jak zestawić połączenie szyfrowane i przeroutować więcej niż jedną sieć.

Instalacja

Instalujemy pakiety racoon i ipsec-tools:

aptitude install racoon ipsec-tools

Konfiguracja

Plik /etc/racoon/psk.txt:

1.2.3.4 naszetajnehaslo

Plik /etc/racoon/racoon.conf:

log info;
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";

listen {
        isakmp 11.22.33.44; #nasze IP
}

remote 1.2.3.4 {
        exchange_mode main;
        lifetime time 8 hour;
        ph1id 0;
        proposal {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method pre_shared_key;
                dh_group 2;
        }
}

sainfo anonymous {
        pfs_group 2;
        lifetime time 1 hour;
        encryption_algorithm 3des;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate;
        remoteid 0;
}

Plik /etc/ipsec-tools.conf:

#!/usr/sbin/setkey -f

flush;
spdflush;


spdadd 192.168.1.2/32 10.1.1.2/32 any -P out ipsec
          esp/tunnel/11.22.33.44-1.2.3.4/unique;

spdadd 10.1.1.2/32 192.168.1.2/32 any -P in ipsec
           esp/tunnel/1.2.3.4-11.22.33.44/unique;

spdadd 192.168.1.3/32 10.1.1.3/32 any -P out ipsec
          esp/tunnel/11.22.33.44-1.2.3.4/unique;

spdadd 10.1.1.3/32 192.168.1.3/32 any -P in ipsec
           esp/tunnel/1.2.3.4-11.22.33.44/unique;

Główna różnica dotycząca standardowego konfigu polega na słowie unique - domyślnie jest require.

Nadajemy uprawnienia i tworzymy linki symboliczne:

chmod 750 /etc/ipsec-tools.conf
ln -s /etc/ipsec-tools.conf /etc/racoon/ipsec-tools.conf
ln -s /var/log/racoon.log /etc/racoon/racoon.log

W pliku /etc/default/racoon ustawiamy:

RACOON_ARGS=" -l /var/log/racoon.log"

Dopisujemy do pliku /etc/logrotate.d/rsyslog plik /var/log/racoon.log, aby podlegał archiwizacji.

Firewall

Należy dopuścić ruch:

ethNet=eth0
iptables -A INPUT -i $ethNet -p tcp --dport 500 -j ACCEPT
iptables -A INPUT -i $ethNet -p tcp --dport 4500 -j ACCEPT
iptables -A INPUT -i $ethNet -p udp --dport 500 -j ACCEPT
iptables -A INPUT -i $ethNet -p udp --dport 4500 -j ACCEPT
iptables -A INPUT -i $ethNet -p esp -j ACCEPT
iptables -A INPUT -i $ethNet -p ah -j ACCEPT
iptables -A INPUT -i $ethNet -p ipcomp -j ACCEPT

Uruchomienie

/etc/ipsec-tools.conf
/etc/init.d/racoon restart
racoonctl vpn-connect 1.2.3.4
racoon_i_więcej_niż_jedna_podsieć.txt · ostatnio zmienione: 2018/07/16 11:47 (edycja zewnętrzna)