IPSEC racoon setkey a tunnel mode
Michal Kubecek
mike na mk-sys.cz
Úterý Listopad 9 12:14:31 CET 2004
On Tue, Nov 09, 2004 at 08:11:32AM +0100, Pavel Just wrote:
> On Mon, 8 Nov 2004, Michal Kubecek wrote:
>
> > On Mon, Nov 08, 2004 at 03:19:30PM +0100, Pavel Just wrote:
> > > a pro tunnel (nechodí telnet ani na 192.168.45.x)
> > > spdadd 192.168.2.103/32 192.168.4.2/32 any -P in ipsec
> >
> > Tady by měly být ty rozsahy, které chcete tunelovat.
> >
> > > esp/tunnel/192.168.45.1-192.168.45.2/require;
> >
> > A tady IP adresy, přes které to půjde.
> >
> > To mi nějak nejde dohromady s konfigurací, kterou máte o kousek výše pro
> > transport mode. Zkuste raději popsat, jaké adresy vlastně chcete
> > tunelovat a jak ta topologie vypadá.
> >
> Reálné adresy jsou 192.168.4.2 a 192.168.2.103 a chci mezi nimi
> natáhnout tunel 192.168.45.1 - 192.168.45.2. Routery mají adresy
> 192.168.4.1 a 192.168.2.1. Chápu to správně,že příklad v manuálu je špatně ?
Stejně moc nerozumím tomu, jak to vlastně myslíte. Takže napíšu
konfiguraci pro případ, kdy chcete propojit sítě 10.0.1.0/24 a
10.0.2.0/24 přes security gatewaye 111.111.111.111 a 222.222.222.222
Napíšu konfiguraci pro 111.111.111.111, pro ten druhý bude symetrická.
spdadd 111.111.111.111 222.222.222.222 any -P out ipsec
esp/transport//require;
spdadd 222.222.222.222 111.111.111.111 any -P in ipsec
esp/transport//require;
spdadd 10.0.1.0/24 10.0.2.0/24 any -P out ipsec
esp/tunnel/111.111.111.111-222.222.222.222/require;
spdadd 10.0.2.0/24 10.0.1.0/24 any -P in ipsec
esp/tunnel/222.222.222.222-111.111.111.111/require;
a do racoon.conf přidáte
sainfo address 111.111.111.111 any address 222.222.222.222 any
{
lifetime time 120min;
pfs_group 2;
encryption_algorithm aes, 3des;
authentication_algorithm hmac_sha1, hmac_md5;
compression_algorithm deflate;
}
sainfo address 10.0.1.0/24 any address 10.0.2.0/24 any
{
lifetime time 120min;
pfs_group 2;
encryption_algorithm aes, 3des;
authentication_algorithm hmac_sha1, hmac_md5;
compression_algorithm deflate;
}
Michal Kubeček
Další informace o konferenci Linux