Простой способ сделать IPSec туннель от FreeBSD к Cisco

14:18, 2 августа 2008 ( FreeBSD )

Начнем с того, что в манах, где рекомендуется к установке Racoon упоминается racoon1, который в FreeBSD 7.x теперь называется ipsec-toos.

поэтому

portinstall ipsec-tools

не забываем скомпилировать ядро с поддержкой ipsec:

device crypto

option IPSEC

внимание, с 7.x IPSEC_ESP указывать не нужно!

создаем ipsec.conf

cat>/etc/ipsec.conf

flush;
spdflush;
spdadd 192.168.50.0/24 192.168.0.0/24 any -P out ipsec esp/tunnel/83.170.247.74-84.204.32.202/unique ;
spdadd 192.168.0.0/24 192.168.50.0/24 any -P in ipsec esp/tunnel/84.204.32.202-83.170.247.74/unique ;

ctrl+d

прописываем это дело в rc.conf

cat>>/etc/rc.conf

ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"
ctrl+d

конфигурируем racoon:

cat>/usr/local/etc/racoon/racoon.conf

path include "/usr/local/etc/racoon";
path pre_shared_key "/usr/local/etc/racoon/psk.txt";
log debug2;
padding
{
        maximum_length 20; # maximum padding length.
        randomize off; # enable randomize length.
        strict_check off; # enable strict check.
        exclusive_tail off; # extract last one octet.
}
remote anonymous
{
        exchange_mode main,base,aggressive;
        doi ipsec_doi;
#situation identity_only;
        my_identifier address 83.170.247.74;
        nonce_size 16;
        lifetime time 6000 sec; # sec,min,hour
        initial_contact on;
        support_proxy on;
        proposal_check obey; # obey, strict or claim

        proposal {
        encryption_algorithm 3des;
        hash_algorithm sha1;
        authentication_method pre_shared_key;
        dh_group 2 ;
                }
}

sainfo anonymous
{
        pfs_group 2;
        lifetime time 6000 sec;
        encryption_algorithm 3des;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate;
}

ctrl+d

внимание, в этих секциях важные параметры - encryption_algorith и authenticaton_algorythm, они должны совпадать с параметрами в удаленной системе.

cat>/usr/local/etc/racoon/psk.txt

84.204.32.202 mysuperpass

ctrl+d

и добавляем запуск в rc.conf

cat>>/etc/rc.conf

racoon_enable="yes"

ctrl+d

все!

проверить работоспособноть туннеля можно так:

ping -S 192.168.50.1 192.168.0.1

пинг должен пойти и команда setkey -D должна показать установленные туннели

84.204.32.202 83.170.247.74
        esp mode=tunnel spi=50593206(0x0303fdb6) reqid=16386(0x00004002)
        E: 3des-cbc 4ddd80ee 36d3d454 e3d60ec0 8683a8cc d4ac9b19 d0cec696
        A: hmac-sha1 93681407 6f58fa41 e98a0a68 91b1f2f1 6433d1c0
        seq=0x00000256 replay=4 flags=0x00000000 state=mature
        created: Aug 1 22:07:57 2008   current: Aug 1 22:17:58 2008
        diff: 601(s)    hard: 3600(s)   soft: 2880(s)
        last: Aug 1 22:17:57 2008      hard: 0(s)      soft: 0(s)
        current: 62192(bytes)   hard: 0(bytes) soft: 0(bytes)
        allocated: 598 hard: 0 soft: 0
        sadb_seq=1 pid=21678 refcnt=1
84.204.32.202 83.170.247.74
        esp mode=tunnel spi=213695417(0x0cbcbbb9) reqid=16386(0x00004002)
        E: 3des-cbc 26e917dd 39474c5e a6961f2f afe1383c 97e6471b ac84dee0
        A: hmac-sha1 5e108c5d c8ee80f0 b04ac307 11470fd8 e518d44f
        seq=0x000006db replay=4 flags=0x00000000 state=mature
        created: Aug 1 21:38:31 2008   current: Aug 1 22:17:58 2008
        diff: 2367(s)   hard: 3600(s)   soft: 2880(s)
        last: Aug 1 22:07:57 2008      hard: 0(s)      soft: 0(s)
        current: 182520(bytes) hard: 0(bytes) soft: 0(bytes)
        allocated: 1755 hard: 0 soft: 0
        sadb_seq=0 pid=21678 refcnt=1

никаких статических дополнительных маршрутов прописывать не надо!

192.168.0.x будет видеть 192.168.50.x совершенно прозрачно.

Оставить комментарий