IPSEC racoon setkey a tunnel mode

[Michal Kubecek]

On Tue, Nov 09, 2004 at 08:11:32AM +0100, Pavel Just wrote:
> On Mon, 8 Nov 2004, Michal Kubecek wrote:
> 
> > On Mon, Nov 08, 2004 at 03:19:30PM +0100, Pavel Just wrote:
> > > a pro tunnel (nechodí telnet ani na 192.168.45.x)
> > > spdadd 192.168.2.103/32    192.168.4.2/32   any -P in ipsec
> > 
> > Tady by měly být ty rozsahy, které chcete tunelovat.
> > 
> > >  esp/tunnel/192.168.45.1-192.168.45.2/require;
> > 
> > A tady IP adresy, přes které to půjde.
> > 
> > To mi nějak nejde dohromady s konfigurací, kterou máte o kousek výše pro
> > transport mode. Zkuste raději popsat, jaké adresy vlastně chcete
> > tunelovat a jak ta topologie vypadá.
> > 
> Reálné adresy jsou 192.168.4.2 a 192.168.2.103 a chci mezi nimi
> natáhnout  tunel 192.168.45.1 - 192.168.45.2. Routery mají adresy
> 192.168.4.1 a 192.168.2.1.  Chápu  to správně,že příklad v manuálu je špatně ?

Stejně moc nerozumím tomu, jak to vlastně myslíte. Takže napíšu
konfiguraci pro případ, kdy chcete propojit sítě 10.0.1.0/24 a
10.0.2.0/24 přes security gatewaye 111.111.111.111 a 222.222.222.222
Napíšu konfiguraci pro 111.111.111.111, pro ten druhý bude symetrická.

spdadd 111.111.111.111 222.222.222.222 any -P out ipsec
	esp/transport//require;
spdadd 222.222.222.222 111.111.111.111 any -P in ipsec
	esp/transport//require;

spdadd 10.0.1.0/24 10.0.2.0/24 any -P out ipsec
	esp/tunnel/111.111.111.111-222.222.222.222/require;
spdadd 10.0.2.0/24 10.0.1.0/24 any -P in ipsec
	esp/tunnel/222.222.222.222-111.111.111.111/require;

a do racoon.conf přidáte

sainfo address 111.111.111.111 any address 222.222.222.222 any
{
	lifetime time 120min;
	pfs_group 2;
	encryption_algorithm aes, 3des;
	authentication_algorithm hmac_sha1, hmac_md5;
	compression_algorithm deflate;
}

sainfo address 10.0.1.0/24 any address 10.0.2.0/24 any
{
	lifetime time 120min;
	pfs_group 2;
	encryption_algorithm aes, 3des;
	authentication_algorithm hmac_sha1, hmac_md5;
	compression_algorithm deflate;
}


							  Michal Kubeček