27.2.2.6. Konfigurace linux road warior - linux access router
Předcházející 27.2.2. Ukázka instalace a konfigurace IPsec Další

27.2.2.6. Konfigurace linux road warior - linux access router

Ukázková konfigurace

Obrázek 27.3. Konfigurace Linux RoadWarior — Linux AccessRouter

                        I  N  T  E  R  N  E  T
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
          |                             |
          |                             |
eth1: 212.96.165.122/28      lan: 212.96.165.121/28
     +---------+                  +-----------+
     | pikachu |                  |  yoghurt  |
     +---------+                  +-----------+
eth0: 10.16.66.53/19         virt: 10.225.64.2/19
virt: 10.225.64.1/19
          |
        L A N

Následující poznámky jsou z IPsec HOWTO část Road Warrior.

Na straně road warriora bude konfigurace v souboru /etc/racoon/racoon.conf následující:

path certificate "/etc/certs";

remote anonymous {
        exchange_mode main;
        generate_policy on;
        passive on;
        certificate_type x509 "my_certificate.pem" "my_private_key.pem";
        my_identifier asn1dn;
        peers_identifier asn1dn;
        proposal {
                encryption_algorithm 3des;
                hash_algorithm md5;
                authentication_method rsasig;
                dh_group modp1024;
        }
}


sainfo anonymous {
        pfs_group modp1024;
        encryption_algorithm 3des;
        authentication_algorithm hmac_md5;
        compression_algorithm deflate;
}

Příkazy zvírazněné v předchozí konfiguraci jsou důležité.

generate_policy on;

Ze stránky IPsec Road Warrior Configuration pak vybírám:

Na straně serveru nastavíme v souboru /etc/inet/ipsec.conf:

pdadd server-ip-address 0.0.0.0 any -P out ipsec
           esp/tunnel/server-ip-address-0.0.0.0/require;
   spdadd 0.0.0.0 server-ip-address any -P in ipsec
           esp/tunnel/0.0.0.0-server-ip-address/require;

V souboru /etc/inet/racoon.conf je pak:

   path pre_shared_key "/etc/inet/psk.txt" ;
   #
   timer {
   	phase1 60 seconds ;
   	phase2 60 seconds ;
   }
   #
   remote anonymous {
           exchange_mode main, aggressive, base ;
   	doi ipsec_doi ;
   	situation identity_only ;
   	lifetime time 1 hour ;
           generate_policy on;
           passive on;
           my_identifier address server-ip-address ;
   	peers_identifier fqdn "domain-name" ;
           proposal {
                   encryption_algorithm 3des;
                   hash_algorithm sha1;
                   authentication_method pre_shared_key;
                   dh_group modp1024;
           }
   	proposal_check obey ;
   }
   #
   sainfo anonymous {
           pfs_group modp1024;
   	lifetime time 1 hour ;
   	encryption_algorithm 3des, blowfish;
      	authentication_algorithm hmac_sha1, hmac_md5;
           compression_algorithm deflate;
   }

Článek dále popisuje konfiguraci programu SonicWALL VPN Client na MSWindows jako road warriora. Vypadá že popisuje moji situaci.

Předcházející Nahoru Další
27.2.2.5. Propojení dvou linuxů v tunelovacím režimu s užitím certifikátů Domů 27.2.3. Poznámky k racoon