|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Andrew Alcheev 2:5080/131 11 Feb 2003 12:32:00
To : Eugene Grosbein
Subject : ipsec tunnel mode на двух машинах
--------------------------------------------------------------------------------
Monday February 10 2003 at 14:20, Eugene Grosbein wrote to Andrew Alcheev:
EG> Да мне вообще пока не нужен обмен ключами, keyed-md5 вполне
EG> достаточно. Ты именно tunnel mode делал и именно на машине с одним
EG> интерфейсом? Покажи конфигурацию со стороны FreeBSD.
надеюсь, что это будет интересно еще кому-нибудь.
задача стояла следующая: обеспечить базовыми средствами win xp (юзер) и freebsd
(рутер) безопасное соединение по ethernet между юзером и сервером без
использования l2tp или pptp с шифрованием.
/etc/ipsec.conf:
=== Cut ===
spdadd 192.168.99.0/27 192.168.99.10/32 any -P out none;
spdadd 192.168.99.10/32 192.168.99.0/27 any -P in none;
spdadd 0.0.0.0/0 192.168.99.10/32 any -P out ipsec
esp/tunnel/192.168.99.1-192.168.99.10/require;
spdadd 192.168.99.10/32 0.0.0.0/0 any -P in ipsec
esp/tunnel/192.168.99.10-192.168.99.1/require;
=== Cut ===
/usr/local/etc/racoon/racoon.conf:
=== Cut ===
path pre_shared_key "/usr/local/etc/racoon/psk.txt";
path certificate "/etc/ssl/rootCA";
# log debug2;
padding
{
maximum_length 20;
randomize off;
strict_check off;
exclusive_tail off;
}
timer
{
counter 5;
interval 20 sec;
persend 1;
phase1 30 sec;
phase2 15 sec;
}
remote anonymous
{
exchange_mode aggressive, main;
doi ipsec_doi;
situation identity_only;
nonce_size 16;
lifetime time 10 min;
initial_contact on;
support_mip6 on;
proposal_check obey;
proposal {
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method pre_shared_key;
dh_group 2;
}
}
sainfo anonymous
{
pfs_group 1;
lifetime time 600 sec;
encryption_algorithm 3des,des,cast128,blowfish;
authentication_algorithm hmac_sha1,hmac_md5;
compression_algorithm deflate;
}
=== Cut ===
и еще один нюанс, выявленный опытным путем: переменная sysctl
net.key.prefered_oldsa=0
в случае настройки ядра по умолчанию (=1) win xp теряла ключи после примерно
500-700 мб трафика (суммы входящего и исходящего).
Yours sincerely Andrew.
---
* Origin: All people are enemies (FidoNet 2:5080/131)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
