Мож кто за статью возьмётся?
Код: Выделить всё
Построение IPSec на Racoon2 FreeBSD 6.2
Опции ядра все что нашел для gif, ipsec, vpnd.
options IPSEC
options IPSEC_ESP
options IPSEC_DEBUG
options NETGRAPH
options NETGRAPH_ASYNC
options NETGRAPH_BPF
options NETGRAPH_CISCO
options NETGRAPH_ECHO
options NETGRAPH_ETHER
options NETGRAPH_FRAME_RELAY
options NETGRAPH_HOLE
options NETGRAPH_IFACE
options NETGRAPH_KSOCKET
options NETGRAPH_L2TP
options NETGRAPH_LMI
options NETGRAPH_MPPC_ENCRYPTION
options NETGRAPH_ONE2MANY
options NETGRAPH_PPP
options NETGRAPH_PPPOE
options NETGRAPH_PPTPGRE
options NETGRAPH_RFC1490
options NETGRAPH_SOCKET
options NETGRAPH_TEE
options NETGRAPH_TTY
options NETGRAPH_UI
options NETGRAPH_VJC
Предустановленный пакет openssl-stable-0.9.7m
Установка racoon2 без опции kinkd
Создаем каталоги /usr/local/etc/racoon/psk
/usr/local/etc/racoon/cert
Создаем файл preshared key: /usr/local/etc/racoon/psk/AB.psk
Устанавливаем атрибуты
chmod 600 /usr/local/etc/racoon/psk/AB.psk
Содержимое файла (в конце нет перевода строки):
qwerty
Файл конфигурации racoon2.conf для компа 10.2.0.222 который шифрует
транспорт с 10.2.0.119
Для 10.2.0.119 меняются местами адреса.
# $Id: racoon2.conf.in,v 1.22 2006/12/22 07:37:59 mk Exp $
setval {
PSKDIR "/usr/local/etc/racoon/psk";
CERTDIR "/usr/local/etc/racoon/cert";
};
# interface info
interface
{
ike {
MY_IP;
};
spmd {
unix "/var/run/racoon/spmif";
};
spmd_password "/usr/local/etc/spmd.pwd";
};
# resolver info
resolver
{
resolver off;
# resolver on;
# nameserver {
# WWW.XXX.YYY.ZZZ port 53;
# };
# dns_query {
# 127.0.0.1 port 53;
# ::1 port 53;
# };
};
#
# default section
#
default
{
remote {
ikev1 {
logmode normal;
kmp_sa_lifetime_time 600 sec;
kmp_sa_lifetime_byte infinite;
interval_to_send 10 sec;
times_per_send 1;
ipsec_sa_nego_time_limit 40 sec;
kmp_enc_alg { aes192_cbc; aes128_cbc; 3des_cbc; };
kmp_prf_alg { hmac_sha1; hmac_md5; };
kmp_hash_alg { sha1; md5; };
kmp_dh_group { modp3072; modp2048; modp1536;
modp1024;
kmp_auth_method { dss; };
random_pad_content on;
max_padlen 50 bytes;
};
ikev2 {
logmode normal;
kmp_sa_lifetime_time infinite;
kmp_sa_lifetime_byte infinite;
max_retry_to_send 3;
interval_to_send 10 sec;
times_per_send 1;
kmp_sa_nego_time_limit 60 sec;
ipsec_sa_nego_time_limit 40 sec;
kmp_enc_alg { aes192_cbc; aes128_cbc; 3des_cbc; };
kmp_prf_alg { hmac_md5; hmac_sha1; aes_xcbc; };
kmp_hash_alg { hmac_sha1; hmac_md5; };
kmp_dh_group { modp1024; modp1536; modp2048;
modp3072;
kmp_auth_method { dss; };
random_pad_content on;
random_padlen on;
max_padlen 50 bytes;
};
};
policy {
ipsec_mode transport;
ipsec_level require;
};
ipsec {
ipsec_sa_lifetime_time infinite;
ipsec_sa_lifetime_byte infinite;
};
sa {
esp_enc_alg { aes128_cbc; 3des_cbc; };
esp_auth_alg { hmac_sha1; hmac_md5; };
};
};
remote 10.2.0.119 {
acceptable_kmp { ikev2; ikev1; kink; };
ikev2 {
my_id ipaddr 10.2.0.222;
peers_id ipaddr 10.2.0.119;
peers_ipaddr 10.2.0.119 port 500;
kmp_enc_alg { aes192_cbc; aes128_cbc; 3des_cbc; };
kmp_prf_alg { hmac_md5; hmac_sha1; aes_xcbc; };
kmp_hash_alg { hmac_sha1; };
kmp_dh_group { modp2048; };
kmp_auth_method { psk; };
pre_shared_key "${PSKDIR}/AB.psk";
};
ikev1 {
my_id ipaddr 10.2.0.222;
peers_id ipaddr 10.2.0.119;
peers_ipaddr 10.2.0.119 port 500;
kmp_enc_alg { aes192_cbc; aes128_cbc; 3des_cbc; };
kmp_hash_alg { sha1; };
kmp_dh_group { modp2048; };
kmp_auth_method { psk; };
pre_shared_key "${PSKDIR}/AB.psk";
};
selector_index 32;
};
selector 31 {
direction outbound;
src 10.2.0.222;
dst 10.2.0.119;
upper_layer_protocol "any";
policy_index 10.2.0.119;
};
selector 32 {
direction inbound;
dst 10.2.0.222;
src 10.2.0.119;
upper_layer_protocol "any";
policy_index 10.2.0.119;
};
policy 10.2.0.119 {
action auto_ipsec;
remote_index 10.2.0.119;
ipsec_mode transport;
ipsec_index { ipsec_esp; };
ipsec_level require;
peers_sa_ipaddr 10.2.0.119;
my_sa_ipaddr 10.2.0.222;
};
ipsec ipsec_ah_esp {
ipsec_sa_lifetime_time 28800 sec;
sa_index { ah_01; esp_01; };
};
ipsec ipsec_esp {
ipsec_sa_lifetime_time 28800 sec;
sa_index esp_01;
};
sa ah_01 {
sa_protocol ah;
ah_auth_alg { hmac_sha1; hmac_md5; };
};
sa esp_01 {
sa_protocol esp;
esp_enc_alg { aes128_cbc; 3des_cbc; };
esp_auth_alg { hmac_sha1; hmac_md5; };
};
Изменения для автозапуска в /etc/rc.conf
## Включем racoon
spmd_enable="YES"
iked_enable="YES"
Команды проверки установки политики setkey -DP
Применения политики setkey -D
Это вроде все. С уважением, Леонид.