racoon2

[Alex Keda]

прислали, вот, мож кому пригодится - бо статью переписывать щас некогда, кладу тут, чтоб не пропало.
Мож кто за статью возьмётся?

Код: Выделить всё

Построение IPSec на Racoon2 FreeBSD 6.2
Опции ядра все что нашел для gif, ipsec, vpnd.
options         IPSEC
options         IPSEC_ESP
options         IPSEC_DEBUG
options         NETGRAPH
options         NETGRAPH_ASYNC
options         NETGRAPH_BPF
options         NETGRAPH_CISCO
options         NETGRAPH_ECHO
options         NETGRAPH_ETHER
options         NETGRAPH_FRAME_RELAY
options         NETGRAPH_HOLE
options         NETGRAPH_IFACE
options         NETGRAPH_KSOCKET
options         NETGRAPH_L2TP
options         NETGRAPH_LMI
options         NETGRAPH_MPPC_ENCRYPTION
options         NETGRAPH_ONE2MANY
options         NETGRAPH_PPP
options         NETGRAPH_PPPOE
options         NETGRAPH_PPTPGRE
options         NETGRAPH_RFC1490
options         NETGRAPH_SOCKET
options         NETGRAPH_TEE
options         NETGRAPH_TTY
options         NETGRAPH_UI
options         NETGRAPH_VJC

Предустановленный пакет openssl-stable-0.9.7m

Установка racoon2 без опции  kinkd

Создаем каталоги 	/usr/local/etc/racoon/psk
			/usr/local/etc/racoon/cert
Создаем файл preshared key: /usr/local/etc/racoon/psk/AB.psk
Устанавливаем атрибуты 
chmod 600 /usr/local/etc/racoon/psk/AB.psk
Содержимое файла (в конце нет перевода строки):
qwerty

Файл конфигурации racoon2.conf для компа 10.2.0.222 который шифрует
транспорт с 10.2.0.119
Для 10.2.0.119 меняются местами адреса.

# $Id: racoon2.conf.in,v 1.22 2006/12/22 07:37:59 mk Exp $

setval {
        PSKDIR  "/usr/local/etc/racoon/psk";
        CERTDIR "/usr/local/etc/racoon/cert";
};

# interface info
interface
{
        ike {
                MY_IP;
        };
        spmd {
                unix "/var/run/racoon/spmif";
        };
        spmd_password "/usr/local/etc/spmd.pwd";
};

# resolver info
resolver
{
        resolver off;

#       resolver on;
#       nameserver {
#               WWW.XXX.YYY.ZZZ port 53;
#       };
#       dns_query {
#               127.0.0.1 port 53;
#               ::1 port 53;
#       };
};

#
# default section
#
default
{
        remote {
                ikev1 {
                        logmode normal;
                        kmp_sa_lifetime_time 600 sec;
                        kmp_sa_lifetime_byte infinite;
                        interval_to_send 10 sec;
                        times_per_send 1;
                        ipsec_sa_nego_time_limit 40 sec;
                        kmp_enc_alg { aes192_cbc; aes128_cbc; 3des_cbc; };
                        kmp_prf_alg { hmac_sha1; hmac_md5; };
                        kmp_hash_alg { sha1; md5; };
                        kmp_dh_group { modp3072; modp2048; modp1536;
modp1024;
                        kmp_auth_method { dss; };
                        random_pad_content on;
                        max_padlen 50 bytes;
                };
                ikev2 {
                        logmode normal;
                        kmp_sa_lifetime_time infinite;
                        kmp_sa_lifetime_byte infinite;
                        max_retry_to_send 3;
                        interval_to_send 10 sec;
                        times_per_send 1;
                        kmp_sa_nego_time_limit 60 sec;
                        ipsec_sa_nego_time_limit 40 sec;
                        kmp_enc_alg { aes192_cbc; aes128_cbc; 3des_cbc; };
                        kmp_prf_alg { hmac_md5; hmac_sha1; aes_xcbc; };
                        kmp_hash_alg { hmac_sha1; hmac_md5; };
                        kmp_dh_group { modp1024; modp1536; modp2048;
modp3072;
                        kmp_auth_method { dss; };
                        random_pad_content on;
                        random_padlen on;
                        max_padlen 50 bytes;
                };
        };

        policy {
                ipsec_mode transport;
                ipsec_level require;
        };

        ipsec {
                ipsec_sa_lifetime_time infinite;
                ipsec_sa_lifetime_byte infinite;
        };

        sa {
                esp_enc_alg { aes128_cbc; 3des_cbc; };
                esp_auth_alg { hmac_sha1; hmac_md5; };
        };
};
remote 10.2.0.119 {
        acceptable_kmp { ikev2; ikev1; kink; };
        ikev2 {
                my_id ipaddr 10.2.0.222;
                peers_id ipaddr 10.2.0.119;
                peers_ipaddr 10.2.0.119 port 500;
                kmp_enc_alg { aes192_cbc; aes128_cbc; 3des_cbc; };
                kmp_prf_alg { hmac_md5; hmac_sha1; aes_xcbc; };
                kmp_hash_alg { hmac_sha1; };
                kmp_dh_group { modp2048; };
                kmp_auth_method { psk; };
                pre_shared_key "${PSKDIR}/AB.psk";
        };
        ikev1 {
                my_id ipaddr 10.2.0.222;
                peers_id ipaddr 10.2.0.119;
                peers_ipaddr 10.2.0.119 port 500;
                kmp_enc_alg { aes192_cbc; aes128_cbc; 3des_cbc; };
                kmp_hash_alg { sha1; };
                kmp_dh_group { modp2048; };
                kmp_auth_method { psk; };
                pre_shared_key "${PSKDIR}/AB.psk";
        };
        selector_index 32;
};
selector 31 {
        direction outbound;
        src 10.2.0.222;
        dst 10.2.0.119;
        upper_layer_protocol "any";
        policy_index 10.2.0.119;
};
selector 32 {
        direction inbound;
        dst 10.2.0.222;
        src 10.2.0.119;
        upper_layer_protocol "any";
        policy_index 10.2.0.119;
};
policy 10.2.0.119 {
        action auto_ipsec;
        remote_index 10.2.0.119;
        ipsec_mode transport;
        ipsec_index { ipsec_esp; };
        ipsec_level require;
        peers_sa_ipaddr 10.2.0.119;
        my_sa_ipaddr 10.2.0.222;
};

ipsec ipsec_ah_esp {
        ipsec_sa_lifetime_time 28800 sec;
        sa_index { ah_01; esp_01; };
};
ipsec ipsec_esp {
        ipsec_sa_lifetime_time 28800 sec;
        sa_index esp_01;
};

sa ah_01 {
        sa_protocol ah;
        ah_auth_alg { hmac_sha1; hmac_md5; };
};
sa esp_01 {
        sa_protocol esp;
        esp_enc_alg { aes128_cbc; 3des_cbc; };
        esp_auth_alg { hmac_sha1; hmac_md5; };
};


Изменения для автозапуска в /etc/rc.conf
## Включем racoon
spmd_enable="YES"
iked_enable="YES"

Команды проверки установки политики setkey -DP
Применения политики setkey -D

Это вроде все. С уважением, Леонид.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

судя по отсутствию камментов - никому не нужно...
Хотя вторым раконом масса народу интееровалась....

[paradox]

потому что мало кто знает понимает
теперь всех тянет на mpd))

[Alex Keda]

я первый помню со скрипом раскурил...
А второй весь пеерколбасили....

[vasilastr]

А в FREE 7 он не ipsec-tools

[Mad_caterpillar]

Доброго времени суток.
Не подскажете как настроить с racoon2 client-to-site vpn?
Для ipsec-tools масса информации, но, к сожалению, он вылетает при компиляции (ошибки типа sha.h:135: error: previous declaration of 'SHA256_CTX' was here).

Для второго нашел единственный пример:

Код: Выделить всё

# minimal config example to speak w/ road warriors

setval {
PSKDIR"/usr/local/racoon2/etc/psk";
};

interface
{
ike {
MY_IP;
};
spmd {
unix "/var/run/racoon/spmif";
};
spmd_password "/usr/local/racoon2/etc/spmd.pwd";
};

default
{
remote {
acceptable_kmp { ikev2; };
ikev2 {
kmp_sa_lifetime_time infinite;
kmp_sa_lifetime_byte infinite;
kmp_enc_alg { aes192_cbc; aes128_cbc; 3des_cbc; };
kmp_prf_alg { hmac_md5; hmac_sha1; aes_xcbc; };
kmp_hash_alg { hmac_sha1; hmac_md5; };
kmp_dh_group { modp1024; modp1536; modp2048; modp3072; };
};
};
};

remote rw.foo.com {
acceptable_kmp { ikev2; };
ikev2 {
my_id fqdn "gw.bar.com";
peers_id fqdn "rw.foo.com";
peers_ipaddr IP_RW;
kmp_auth_method { psk; };
pre_shared_key "${PSKDIR}/rw.foo.com.psk";
};
};
selector 31 {
direction outbound;
src A.B.C.D;
dst W.X.Y.Z;
upper_layer_protocol "tcp";
policy_index rw.foo.com;
};
selector 32 {
direction inbound;
src W.X.Y.Z;
dst A.B.C.D;
upper_layer_protocol "tcp";
policy_index rw.foo.com;
};
policy rw.foo.com {
action auto_ipsec;
remote_index rw.foo.com;
ipsec_mode tunnel;
ipsec_index { ipsec_esp; };
ipsec_level require;
peers_sa_ipaddr IP_RW;
};

ipsec ipsec_esp {
ipsec_sa_lifetime_time 28800 sec;
sa_index sa_esp;
};

sa sa_esp {
sa_protocol esp;
esp_enc_alg { aes128_cbc; 3des_cbc; };
esp_auth_alg { hmac_sha1; hmac_md5; };
};

Из которого совершенно не понятно как и что. Например, чем заменить секцию mode_cfg из первого racoon?

Спасибо.

[aleks]

[quote="lissyara"]прислали, вот, мож кому пригодится - бо статью переписывать щас некогда, кладу тут, чтоб не пропало.
Мож кто за статью возьмётся?

Хорошая статья, все работает. Проверил на 7е бсд.
создался тунель между компами, IPsec протокол работает!

[aleks]

прислали, вот, мож кому пригодится - бо статью переписывать щас некогда, кладу тут, чтоб не пропало.
Мож кто за статью возьмётся?

Вот только вопрос появился. Работает ли это все действительно так как надо...
потому что смотрю статистику esp и ipsec протокола.
ESP показывает

334 packets in
334 packets out
0 packets dropped; invalid TDB
26720 bytes in
21376 bytes out
0 packets dropped; larger than IP_MAXPACKET
0 packets blocked due to policy
0 crypto processing failures
0 tunnel sanity check failures
ESP output histogram:
rijndael-cbc: 668

А вот ipsec
0
0...
0 outbound packets violated process security policy
0 outbound packets with no SA available
0 invalid outbound packets
0 outbound packets failed due to insufficient memory
0 outbound packets with no route
0 SPD cache lookups
0 SPD cache misses
0 inbound packets violated process security policy
0 outbound packets violated process security policy
9 outbound packets with no SA available
0 outbound packets failed due to insufficient memory
0 outbound packets with no route available
0 invalid outbound packets
0 outbound packets with bundled SAs

Так и должно быть? это правильная работа?

[anesth]

Ещё актуально? Предметно что-то кого-то интересует? Типа racoon2-[ racoon2, strongswan, racoon, nokia vpn, dlink, ios, junos]?

[ComBin]

Пытаюсь поюзать конфиг из первого поста в итоге выплевывает вот такое:

Код: Выделить всё

2012-01-23 18:25:16: INFO: @(#)ipsec-tools 0.8.0 (http://ipsec-tools.sourceforge.net)
2012-01-23 18:25:16: INFO: @(#)This product linked OpenSSL 0.9.8n 24 Mar 2010 (http://www.openssl.org/)
2012-01-23 18:25:16: INFO: Reading configuration from "/usr/local/etc/racoon2/racoon2.conf"
2012-01-23 18:25:16: ERROR: /usr/local/etc/racoon2/racoon2.conf:3: "se" syntax error
2012-01-23 18:25:16: ERROR: fatal parse failure (1 errors)

Комментирую конструкцию setval полностью, начинает ругаться на начало оператора interface. Такое чувство что то-ли racoon не тот, то-ли кодировка файла не та. В общем непонятно как-то.

[Al]

А в чем ппринципильные отличия второго от первого?
ЗЫ, Не стоит воспринимать ipsec как сокращение от ipsec/l2tp и прочих тунелей. Его возможности несколько шире.

[ComBin]

ОК, я тоже думаю что вряд ли дело в версии racoon. Но и с кодировкой все под вопросом, в vi то конфиг совершенно корректно выглядит.

[Yasamal33]

А как побороть то что с машины где настроен и запущен ракун не могу пинговать "соседнюю" сеть? При всем том что с других машин эта сеть нормально пингуется и все работает.