freeswan (dlouhe)
Petr Vejsada
daemon na nospam.exe
Pátek Září 13 10:56:43 CEST 2002
Hello All!
zacinam s freeswan, jako prvni jsem chtel otestovat spojeni s
oetest.freeswan.org (opportunistic encryption).
Zkompiloval jsem freeswan 1.95 (vim, ze neni nejaktualnejsi, ale na
test by mela snad byt OK), zadny problem. Vygeneroval klic, dal ho do
/etc/ipsec.secrets, chmod 600 ipsec.secrets, dal ho do DNS. Pocitac je
gryf.svoboda.cz, zda se, ze je OK:
root na linux:/etc/mail# host -t key gryf.svoboda.cz
;; Truncated, retrying in TCP mode.
gryf.svoboda.cz has key 16896 4 1
AQOfL+uR7f0FZLVIq73weliyt8gfaI+TcVKOqqDdoofMns
[...kraceno...]
root na linux:/etc/mail#
Dal jsem i do reversniho zaznamu vse, co je treba. Zde muze byt trochu
problem, protoze nemam celou sit, ale jen subnet /28, takze mozna to
neco nezresolvuje spravne. I rucne kdyz si ho chci vypsat, musim na 2
kroky:
root na linux:/etc/mail# host -t txt 212.24.147.225
225.147.24.212.in-addr.arpa is an alias for
225.224/28.147.24.212.in-addr.arpa.
225.224/28.147.24.212.in-addr.arpa domain name pointer gryf.svoboda.cz.
root na linux:/etc/mail# host -t txt 225.224/28.147.24.212.in-addr.arpa
;; Truncated, retrying in TCP mode.
225.224/28.147.24.212.in-addr.arpa text
"X-IPsec-Server(10)=gryf.svoboda.cz AQOf
L+uR7f0FZLVIq73weliyt8gfaI+TcVKOqqDdoofMnssrdyYPPMFITa1NCw5MTExWKOrroCxC
A/1796d [...] kraceno
root na linux:/etc/mail#
eth0 je 212.24.147.225/28, defaultroute na 212.24.147.226, kterym to uz
jde ven. ipsec.conf je takovyto:
config setup
interfaces=%defaultroute
klipsdebug=none
plutodebug=none
plutoload=%search
plutostart=%search
uniqueids=yes
conn %default
keyingtries=2
authby=rsasig
auto=add
conn me-to-anyone
#type=transport
also=muj_system
right=%opportunistic
rightrsasigkey=%dns
auto=route
conn muj_system
left=%defaultroute
leftid=@gryf.svoboda.cz
Dam ipsec setup --start, v syslogu se zda, ze vse OK:
Sep 13 10:52:58 gryf kernel: klips_info:ipsec_init: KLIPS startup,
FreeS/WAN IPS
ec version: 1.95
ipsec look:
gryf Fri Sep 13 11:01:21 CEST 2002
ipsec0->eth0 mtu=16260(1500)->1500
Destination Gateway Genmask Flags MSS Window
irtt Iface
0.0.0.0 212.24.147.226 0.0.0.0 UG 40 0
0 eth0
212.24.147.224 0.0.0.0 255.255.255.240 U 40 0
0 eth0
212.24.147.224 0.0.0.0 255.255.255.240 U 40 0
0 ipsec0
Pak dle navodu zkusim pingnout oetest.freeswan.org. Pinga, ale
nesifrovane. Pokud nastavim routing na oetest.freeswan.org natvrdo pres
ipsec0, nedopingam se na nej vubec.
root na gryf:/etc# netstat -l -p|grep pluto
udp 0 0 gryf.svoboda.cz:500 *:* 349/pluto
Tak co delam spatne ?
Petr /daemon(zavinac)svoboda(tecka)cz/
Další informace o konferenci Linux