freeswan (dlouhe)

Petr Vejsada daemon na nospam.exe
Pátek Září 13 10:56:43 CEST 2002 

Hello All!

zacinam s freeswan, jako prvni jsem chtel otestovat spojeni s 
oetest.freeswan.org (opportunistic encryption).

Zkompiloval jsem freeswan 1.95 (vim, ze neni nejaktualnejsi, ale na 
test by mela snad byt OK), zadny problem. Vygeneroval klic, dal ho do 
/etc/ipsec.secrets, chmod 600 ipsec.secrets, dal ho do DNS. Pocitac je 
gryf.svoboda.cz, zda se, ze je OK:

root na linux:/etc/mail# host -t key gryf.svoboda.cz
;; Truncated, retrying in TCP mode.
gryf.svoboda.cz has key 16896 4 1 
AQOfL+uR7f0FZLVIq73weliyt8gfaI+TcVKOqqDdoofMns
[...kraceno...]
root na linux:/etc/mail#

Dal jsem i do reversniho zaznamu vse, co je treba. Zde muze byt trochu 
problem, protoze nemam celou sit, ale jen subnet /28, takze mozna to 
neco nezresolvuje spravne. I rucne kdyz si ho chci vypsat, musim na 2 
kroky:

root na linux:/etc/mail# host -t txt 212.24.147.225
225.147.24.212.in-addr.arpa is an alias for 
225.224/28.147.24.212.in-addr.arpa.
225.224/28.147.24.212.in-addr.arpa domain name pointer gryf.svoboda.cz.


root na linux:/etc/mail# host -t txt 225.224/28.147.24.212.in-addr.arpa
;; Truncated, retrying in TCP mode.
225.224/28.147.24.212.in-addr.arpa text 
"X-IPsec-Server(10)=gryf.svoboda.cz AQOf
L+uR7f0FZLVIq73weliyt8gfaI+TcVKOqqDdoofMnssrdyYPPMFITa1NCw5MTExWKOrroCxC
A/1796d [...] kraceno
root na linux:/etc/mail#

eth0 je 212.24.147.225/28, defaultroute na 212.24.147.226, kterym to uz 
jde ven. ipsec.conf je takovyto:

config setup
                interfaces=%defaultroute
                klipsdebug=none
                plutodebug=none
                plutoload=%search
                plutostart=%search
                uniqueids=yes

conn %default
                keyingtries=2
                authby=rsasig
                auto=add

conn me-to-anyone
                #type=transport
                also=muj_system
                right=%opportunistic
                rightrsasigkey=%dns
                auto=route

conn muj_system
                left=%defaultroute
                leftid=@gryf.svoboda.cz

Dam ipsec setup --start, v syslogu se zda, ze vse OK:

Sep 13 10:52:58 gryf kernel: klips_info:ipsec_init: KLIPS startup, 
FreeS/WAN IPS
ec version: 1.95

ipsec look:
gryf Fri Sep 13 11:01:21 CEST 2002
ipsec0->eth0 mtu=16260(1500)->1500
Destination     Gateway         Genmask         Flags   MSS Window  
irtt Iface
0.0.0.0         212.24.147.226  0.0.0.0         UG       40 0          
0 eth0
212.24.147.224  0.0.0.0         255.255.255.240 U        40 0          
0 eth0
212.24.147.224  0.0.0.0         255.255.255.240 U        40 0          
0 ipsec0

Pak dle navodu zkusim pingnout oetest.freeswan.org. Pinga, ale 
nesifrovane. Pokud nastavim routing na oetest.freeswan.org natvrdo pres 
ipsec0, nedopingam se na nej vubec.

root na gryf:/etc# netstat -l -p|grep pluto
udp        0      0 gryf.svoboda.cz:500     *:*           349/pluto


Tak co delam spatne ?

Petr /daemon(zavinac)svoboda(tecka)cz/

Další informace o konferenci Linux