27.2.3. Poznámky k racoon
Předcházející 27.2. IPsec Další

27.2.3. Poznámky k racoon

27.2.3.1. Konfigurační soubor racoon.conf

Konfigurační a jiné soubory:

psk.txt

Soubor obsahuje sdílené klíče používané metodou Pre-shared key authentication. Soubor obsahuje páry (identifikátor, sdílený klíč). Každý pár je na samostatném řádku. V prvním sloupci je identifikátor a ten je libovolným počtem mezer či tabelátorů oddělen od druhého sloupce, kde je klíč. Řádky začínající znakem '#' jsou považovány za komentář a ignorovány. Klíč který začíná znaky '0x' je interpretován jako hexadecimální číslo.

Poznámka

Vlastníkem souboru musí být proces racoon a tento soubor musí být čitelný jen pro něj. T.j. musí být chránen před ostatními uživateli systému.

pikachu:/etc/racoon# chmod 400 psk.txt
pikachu:/etc/racoon# ls -l psk.txt
-rw-------    1 root     root          140 Dec  6 11:07 psk.txt

Ukázka obsahu souboru převzatá z manuálových stránek: 

10.160.94.3     mekmitasdigoat
172.16.1.133    0x12345678
194.100.55.1    whatcertificatereally
3ffe:501:410:ffff:200:86ff:fe05:80fa    mekmitasdigoat
3ffe:501:410:ffff:210:4bff:fea2:8baa    mekmitasdigoat
foo@kame.net    mekmitasdigoat
foo.kame.net    hoge
/etc/racoon/racoon.conf

Konfigurační soubor pro démona racoon

Ukázkový soubor podle IPsec HOWTO

path pre_shared_key "/etc/psk.txt";

remote 192.168.2.100 {
        exchange_mode main;
        proposal {
                encryption_algorithm 3des;
                hash_algorithm md5;
                authentication_method pre_shared_key;
                dh_group modp1024;
        }
}

sainfo address 172.16.1.0/24 any address 172.16.2.0/24 any {
        pfs_group modp768;
        encryption_algorithm 3des;
        authentication_algorithm hmac_md5;
        compression_algorithm deflate;
}
/etc/racoon/racoon-tool.conf
_

FIXME:

# How to control the syslog level
global:
        log: notify

# %default configuration to avoid duplication
peer(%default):
        verify_identifier: on
        hash_algorithm[0]: sha1
        encryption_algorithm[0]: aes
connection(%default):
        src_ip: 212.96.165.122
        src_range:      10.16.64.0/19
        dst_range:      10.225.96.0/19


## Road Warior Jirka
peer(160.218.179.137):
        peers_identifier: address
connection(jirka):
        dst_ip: 160.218.179.137
        admin_status: enabled

Šifrovací algoritmy: aes

Vygenerování klíče: 

$ dd if=/dev/random count=20 bs=1 | xxd -ps

Program xxd je součástí balíčku vim.

Různě posbírané informace k některým parametrům v konfiguračním souboru /etc/racoon/racoon-tool.conf:

sainfo

sainfo adress …

sainfo adress xxx.xxx.37.118[any] any address 192.168.1.0/24[any] any

sainfo adress 192.168.1.0/24[any] any address xxx.xxx.37.118[any] any

Význam parametru neznám.

Specifikace sainfo definuje parametry druhé fáze IKE. (IPsec-SA establishment). Následující popis je z racoon.conf(5):

sainfo (source_id destination_id | anonymous) [from idtype [string]] {statements}
encryption_algorithm

_

Algoritmy: des, 3des, des_iv64, des_iv32, rc5, rc4, idea, 3idea, cast128, blowfish, null_enc, twofish, rijndael (used with ESP)

authentication_algorithm

_

Algoritmy: des, 3des, des_iv64, des_iv32, hmac_md5, hmac_sha1, non_auth (used with ESP)

compression_algorithm

_

Algoritmy: deflate (used with IPComp)

.
_
Logging level.

log level;

Definuje úroveň logování. Přípustné hodnoty jsou: notify, debug, debug2. Implicitní hodnota je notify.

Poznámka

Na pomalejších strojích může vysoká úroveň logování způsobit neúspěch IKE potvrzování. Je to způsobeno překročením časových limitů.

Předcházející Nahoru Další
27.2.2.6. Konfigurace linux road warior - linux access router Domů 27.2.3.1. Konfigurační soubor racoon.conf