Ufa FreeBSD Team » Практическое использование Racoon2

Сентябрь 2010
Пн	Вт	Ср	Чт	Пт	Сб	Вс
« Авг	«-»
	1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30

Пн

Вт

Ср

Чт

Пт

Сб

Вс

« Авг

«-»

Forum

FreeBSD (34)
Обсуждение вопросов/тем поднятых на нашем сайте (и не только). Все что касается FreeBSD

Linux (29)
Поддержка некоторых дистрибутивов Linux

Курилка (1)
Все разговоры на другие темы

На нашем сервере доступно зеркало обновлений таких дистрибутивов как: Mandriva, Fedora, Alt Linux. Как обновляться с нашего зеркала читайте на форуме.

vote

Loading ...

Архив опросов

statistics

Практическое использование Racoon2

font size + | -


Сегодня мы рассмотрим построение VPN соединения используя Racoon2. Racoon2 — система, задающая параметры безопасности для протокола IPsec. В отличие от ipsec-tools (бывшем racoon) в котором используется лишь протокол IKE, Racoon2 использует новый протокол обмена криптографическими ключами — IKEv2. 1. Задачи. Задача состоит в том, чтобы соединить 3 удалённых офиса, 2 из которых на FreeBSD 7, подключенных к интернету и имеющих постоянный IP адрес и 1 офис на роутере (на примере D-Link DI-804HV), тоже имеющий выделенный IP. Компьютеры соединяются между собой протоколом IKEv2, туннель между компьютерами и роутером – на IKE (за неимением поддержки IKEv2). В итоге наша VPN должна выглядеть так: Рис1. 2. Установка. 2.1 Ядро Добавляем в ядро строки: options IPSEC device crypto и пересобираем его. Добавляем в rc.conf (rc.conf.local) строку ipsec_enable="YES" 2.2 Racoon2 # cd /usr/ports/security/racoon2/ && make config Убираем галочку KINK (enable KINK support), она нам не понадобится. # cd /usr/ports/security/racoon2/ && make install clean 3. Настройка Racoon2 на FreeBSD. Конфиги Racoon2 хранятся в /usr/local/etc/racoon2/. Пока они представлены в виде .sample файлов, которые мы в последствии будем редактировать. Внимание – все файлы в этом каталоге должны иметь разрешения 600. 3.1 Добавляем строки в rc.conf (rc.conf.local): spmd_enable="YES" spmd_flags="-f /usr/local/etc/racoon2/racoon2.conf" iked_enable="YES" iked_flags="-f /usr/local/etc/racoon2/racoon2.conf" 3.2 Для начала работы переименуйте/скопируйте файлы, удалив окончание (.sample) 3.3 Отредактируйте default.conf: Удалите упоминание про kink; acceptable_kmp { ikev2; ikev1; }; Закомментируйте/удалите эти строки: kink { my_principal "${MY_PRINCIPAL}"; nonce_size 16 B; }; 3.4 Отредактируйте racoon2.conf: # interface info interface { ike { MY_IP port 500; }; spmd { unix "/var/run/racoon2/spmif"; }; spmd_password "/usr/local/etc/racoon2/spmd.pwd"; }; # resolver info resolver { resolver off; }; include "/usr/local/etc/racoon2/default.conf"; include "/usr/local/etc/racoon2/office2.conf"; # конфиг для удаленного компьютера include "/usr/local/etc/racoon2/office3.conf"; # конфиг для удаленного роутера 3.5 Создайте ключ (/usr/local/etc/racoon2/psk/key.psk), используя общие правила составления паролей. Содержимое ключа key.psk сильно отличается от ключа в ipsec-tools. Здесь все содержимое файла и есть ключ. Если нужно использовать разные пароли для разных хостов, создавайте дополнительные psk файлы и указывайте их в правилах. Для начала учтем один момент при составлении конфигов – есть уникальное (по имени) Правило (remote), которому соответствует одна! уникальная Политика (policy), правила Политики определяются селекторами (selector), назначающие маршрут (аналог ipsec.conf). На каждое удаленное соединение выдается одно Правило. 3.6 Отредактируйте office2.conf (внимательно читайте комментарии): # удаленный компьютер remote office2 { # первое правило, для соединения с удаленным офисом acceptable_kmp { ikev2; }; # тип протокола ikev2 { my_id fqdn office1.ru; # мой fqdn (full quality domain name) peers_id fqdn office2.ru; # fqdn удаленного хоста peers_ipaddr 92.110.100.002 port 500; # внешний IP адрес и порт удаленного компьютера kmp_enc_alg { aes192_cbc; aes128_cbc; 3des_cbc; }; kmp_prf_alg { hmac_md5; hmac_sha1; aes_xcbc; }; kmp_hash_alg { hmac_sha1; }; kmp_dh_group { modp2048; }; ## Use Preshared Key kmp_auth_method { psk; }; pre_shared_key /usr/local/etc/racoon2/psk/key.psk; # путь к вашему ключу }; }; ########## #селекторы ########## selector office2_out { direction outbound; src 192.168.1.1/24; # сеть местного офиса dst 192.168.2.1/24; # сеть удаленного офиса policy_index office2; # имя политики }; selector office2_in { direction inbound; dst 192.168.1.1/24; # сеть местного офиса src 192.168.2.1/24; # сеть удаленного офиса policy_index office2; # имя политики }; ######### #политика ######### policy office2 { action auto_ipsec; remote_index office2; # имя правила ipsec_mode tunnel; ipsec_index { ipsec_esp; }; ipsec_level require; peers_sa_ipaddr 92.110.100.002; # внешний IP адрес удаленного компьютера my_sa_ipaddr 92.110.100.001; # мой внешний IP адрес }; Соответственно на удаленном компе нужно изменить значения на соответствующие. 3.7 Отредактируйте office3.conf (внимательно читайте комментарии): Используется IKE 1 версии. # роутер remote office3 { # второе правило, для соединения с роутером acceptable_kmp { ikev1; }; # тип протокола ikev1 { my_id ipaddr 92.110.100.001; # мой внешний IP адрес peers_id ipaddr 92.110.100.003; # внешний IP адрес роутера peers_ipaddr 92.110.100.003 port 500; # внешний IP адрес и порт роутера kmp_enc_alg { aes192_cbc; aes128_cbc; 3des_cbc; }; kmp_hash_alg { sha1; }; kmp_dh_group { modp2048; modp1536; }; ## Use Preshared Key kmp_auth_method { psk; }; pre_shared_key /usr/local/etc/racoon2/psk/key.psk; # путь к вашему ключу }; }; ########## #селекторы ########## selector office3_out { direction outbound; src 192.168.1.1/24; # сеть местного офиса dst 192.168.3.1/24; # сеть удаленного офиса policy_index office3; # имя политики }; selector office3_in { direction inbound; dst 192.168.1.1/24; # сеть местного офиса src 192.168.3.1/24; # сеть удаленного офиса policy_index office3; # имя политики }; ######### #политика ######### policy office3 { action auto_ipsec; remote_index office3; # имя правила ipsec_mode tunnel; ipsec_index { ipsec_esp; }; ipsec_level require; peers_sa_ipaddr 92.110.100.003; # внешний IP адрес роутера my_sa_ipaddr 92.110.100.001; # мой внешний IP адрес }; 3.8 Запускаем Racoon2 Обнуляем IPsec политики: setkey -F;setkey -FP Собственно запускаем программу: /usr/local/etc/rc.d/spmd start /usr/local/etc/rc.d/iked start Последовательность запуска spmd и iked именно такая как приведена выше, сначала spmd! Соответственно для перезапуска используется ключ restart, для останова stop. 4. Настройка роутера D-Link DI-804HV. 4.1 Перейдем в меню настройки VPN соединений: Рис 2 4.2 Жмем кнопку More, проваливаемся на следующий экран настроек: Рис 3 Вводим имя соединения, указываем свою сеть/маску, сеть/маску удаленной сети (в данном случае office1), указываем IP адрес шлюза office1,вводим пароль, ставим галочку “Auto-reconnect – enable”. Внимание – не включайте галочку “Aggressive Mode”, на данный момент эта функция не поддерживается. Сохраняемся (жмем Apply). 4.3 После перезагрузки переходим дальше – жмем кнопку “Select IKE proposal” Добавляем имя (у меня npmd1536), указываем остальные параметры – DH Group – Group5 (вот для чего нужен был modp1536),Encrypt algorithm – 3DES, Auth algorithm – SHA1, Life Time – 600, Life Time Unit – sec. Добавляем её в Proposal index (обязательно). Сохраняем. Рис 4 4.4 Если все настроено удачно, то в окне VNP status вы увидите следующую картину: Рис 5 5. Проверка связи. Проверяем на шлюзах офисов обычным способом – setkey -DP, можно сделать tcpdump и посмотреть что реально отправляется во внешку. Более детально о проверке существования шифрованного туннеля вы можете найти в хендбуке и здесь. 6. Отличия. В отличие от ipsec-tools, Racoon2 не требует присутствия GIF’ов, он создает туннели динамически и не нуждается в них. Так же перестает быть значимым ipsec.conf, потому что маршруты прописываются в селекторах, коих может быть несколько (допустим у вас в одном офисе 2 сети, тогда добавляем еще 2 селектора [входящий/исходящий]). 7. Вывод. Если вы нуждаетесь в стабильном и защищенном соединении, отвечающее самым современным стандартам, то ваш выбор – Racoon2.

security | vpn Print Email This Post

This entry was posted on Вторник, Октябрь 28, 2008 at 14:24 and is filed under lan wan wifi vpn. You can follow any responses to this entry through the RSS 2.0 feed. Responses are currently closed, but you can trackback from your own site.

Комментарии (28)

Комментарий от Игорь

2008-11-08 09:36:17

Только мало инфы, как отработать с динамическими адресами. Даже на сайте разрабов поиск ничего не выдает по параметрам из файлов-примеров…

Комментарий от kegf

2008-11-10 09:16:01

Нужно почитать архив рассылок, там есть много интересного. Насчет динамической генерации политик можно почитать здесь.

Комментарий от smertnik

2008-11-24 18:46:01

Не подскажете такой момент, все сделал как написано, единственно связь между freebsd7 и D-Link DI-804HV, если не настраивать Select ipsec proposol, то не чего не работает, если туда вбить настройки, то в статусе появляется информация о ожидание соединения, немного покрутив настройки соединение устанавливается, но потом отваливается с ошибками:
2008-11-24 21:06:32 [DEBUG]: sockmisc.c:230:recvfromto(): cmsg 0 7
2008-11-24 21:06:32 [DEBUG]: sockmisc.c:230:recvfromto(): cmsg 0 7
2008-11-24 21:06:32 [DEBUG]: isakmp.c:766:isakmp_handler(): ===
2008-11-24 21:06:32 [DEBUG]: isakmp.c:767:isakmp_handler(): 300 bytes message received from IP[500]
2008-11-24 21:06:32 [DEBUG]: isakmp.c:770:isakmp_handler():
a6267573 baa1da42 b27d7bd7 b43a7883 08102001 0fa240a4 0000012c 3b5c19c5
5076d935 afb38065 61fc8edc 4a89ae90 81ad42b3 74baa3de 967c2ad7 aa85eada
146969a7 99a566c9 aa8117d8 ed7a9f21 5fcf3caa 04c8fb7f e2a5a8e9 52ed5776
f00c1418 de4b9470 a89c23b4 cb7e27a6 78ee3ac1 0e533154 c8ef3266 fe9e0c14
3f851884 2cc9668d 3a2595e6 02604e52 4aad7ab3 f375f54a 4dd6323a 8843b8c6
7c803df5 2e4ae19b 5582d34d c230d358 e784aebb f1035619 64f3ab1f a87145e8
e377b0fc 783147ed a8418574 18d7b2a9 791027de 0a193240 89916019 09454055
d5bd47bd 9c393daa 4c2d2fcc 06942483 7fce6872 5faf7c48 9b1e77d9 d8aa7305
abe745ea bbb76ae1 d6bb09a0 ad6d5ee8 edf51dbe 64da494b 6076f4a9 3b5fa9e4
f449446d 82584138 70c7a9ff
2008-11-24 21:06:32 [DEBUG]: ikev1.c:2089:isakmp_newcookie(): new cookie:
e4fdd57098b514b6
2008-11-24 21:06:32 [DEBUG]: ikev1.c:2322:isakmp_send(): 40 bytes from IP[500] to IP[500]
2008-11-24 21:06:32 [DEBUG]: sockmisc.c:337:sendfromto(): sockname IP[500]
2008-11-24 21:06:32 [DEBUG]: sockmisc.c:339:sendfromto(): send packet from IP[500]
2008-11-24 21:06:32 [DEBUG]: sockmisc.c:341:sendfromto(): send packet to IP[500]
2008-11-24 21:06:32 [DEBUG]: sockmisc.c:521:sendfromto(): 1 times of 40 bytes message will be sent to IP[500]
2008-11-24 21:06:32 [DEBUG]: sockmisc.c:525:sendfromto():
a6267573 baa1da42 e4fdd570 98b514b6 0b100500 7b7735f9 00000028 0000000c
00000001 01000004
2008-11-24 21:06:32 [DEBUG]: isakmp_inf.c:761:isakmp_info_send_common(): sendto Information notify.
2008-11-24 21:06:32 [DEBUG]: ike_pfkey.c:255:sadb_request_finish(): 0×2843c1c0
2008-11-24 21:06:32 [PROTO_ERR]: ikev1.c:462:ikev1_main(): can’t start the quick mode, there is no ISAKMP-SA, a6267573baa1da42:b27d7bd7b43a7883:0fa240a4
^C2008-11-24 21:06:40 [INFO]: main.c:639:handle_sigint(): received SIGINT
2008-11-24 21:06:40 [INFO]: main.c:664:terminate_iked(): exiting iked

Комментарий от kegf

2008-11-25 12:51:49

Настраивать Select IPSEC proposal следующим образом:
1. DH group – none
2. Encap protocol – esp
3. Encrypt algorithm – 3DES
4. Auth algoithm – SHA1
5. Lifetime – 600 sec

и тоже добавить в индекс.

Комментарий от kegf

2008-12-01 11:47:30

1. Быстро создать конфиг вы можете с помощью этого скрипта – r2fcc_0.1.tar.gz. Тестилось только под FreeBSD 6-8, использует dialog, может создавать зеркальный конфиг, можно добавлять любое количество внутренних и удаленных сетей.

2. racoon2.conf у меня выглядит так:

interface
{
        ike {
                10.10.10.2 port 500; # моя слушающая внешка
## Uncomment to enable NAT-T (both initiator and responder)
#               MY_IP port 4500;
        };
        spmd {
                unix "/var/run/racoon2/spmif";
        };
        spmd_password "/usr/local/etc/racoon2/spmd.pwd";
};

# resolver info
resolver
{
        resolver off;
};

include "/usr/local/etc/racoon2/default.conf";
include "/usr/local/etc/racoon2/test/*.conf"; # можно использовать wildcards

3. Мы тестировали соединение Racoon2 < --> Cisco 851, полет нормальный. Если нужно – могу выложить конфиги для Циски, сторона racoon’а не меняется.

Комментарий от freezer

2008-12-01 17:57:45

прописываю в rc.conf параметры запуска spmd и iked(как у вас в статье),но почемуто не запускается.
FreeBSD helper 5.4-RELEASE-p22 FreeBSD 5.4-RELEASE-p22 #4: Tue Nov 25 15:01:19 MSK 2008 i386

Комментарий от frezer

2008-12-01 18:07:11

не запускаются spmd и iked из rc.conf (настройки как у вас в статье)
aton# uname -a
FreeBSD aton.helper 5.4-RELEASE-p22 FreeBSD 5.4-RELEASE-p22 #4: Tue Nov 25 15:01:19 MSK 2008 zmv@aton.helper:/usr/obj/usr/src/sys/MYKERNEL i386

Комментарий от kegf

2008-12-02 16:48:57

Также работает VPN Racoon2 < --> Allied Telesis AR750S

Комментарий от frezer

2008-12-02 21:35:51

2008-12-02 19:31:14 [INTERNAL_ERR]: sockmisc.c:515:sendfromto(): sendto (Permission denied)
2008-12-02 19:31:14 [INTERNAL_ERR]: isakmp.c:1728:isakmp_force_retransmit(): transmission error: Permission denied

Комментарий от kegf

2008-12-09 15:28:42

/usr/local/etc/racoon2/racoon2.conf существует?
Ядро с “options IPSEC” и “device crypto” пересобирал?
И версию racoon’a приложи – pkg_info -xI racoon

Комментарий от Andrey_R

2009-06-05 16:00:24

После запуска получаю такую картину, фряха 7,2
freebsd# /usr/local/etc/rc.d/iked start
Starting iked.
2009-06-05 18:57:54 [INFO]: main.c:305:main(): starting iked for racoon2 20090327c
2009-06-05 18:57:54 [INFO]: main.c:308:main(): OPENSSLDIR: “/etc/ssl”
2009-06-05 18:57:54 [INFO]: main.c:319:main(): reading config /usr/local/etc/racoon2/racoon2.conf
2009-06-05 18:57:54 [INTERNAL_WARN]: ike_conf.c:3812:ike_conf_check_ikev2(): remote (default) ikev2 ipsec_sa_nego_time_limit configuration field support is unimplemented, ignored
2009-06-05 18:57:54 [INTERNAL_WARN]: ike_conf.c:4262:ike_conf_check_consistency(): configuration errors: 0, warnings: 1
2009-06-05 18:57:54 [INTERNAL_WARN]: if_spmd.c:153: rcf_get_spmd_interfaces failed
2009-06-05 18:57:54 [CRITICAL]: main.c:390:main(): failed initializing SPMIF interface
2009-06-05 18:57:54 [INFO]: main.c:559:iked_exit(): exiting (code 1)

Комментарий от kegf

2009-06-09 07:26:52

Перед запуском iked вы обязательно! должны запустить spmd (# /usr/local/etc/rc.d/spmd start)

Комментарий от KP

2009-07-15 17:38:45

Такая же ошибка
Jul 15 14:18:44 gw iked: [INTERNAL_WARN]: ike_conf.c:3812:ike_conf_check_ikev2(): remote (default) ikev2 ipsec_sa_nego_time_limit configuration field support is unimplemented, ignored
Jul 15 14:18:44 gw iked: [INTERNAL_WARN]: ike_conf.c:4262:ike_conf_check_consistency(): configuration errors: 0, warnings: 1
Подскажите как решить или куда капать???

Комментарий от kegf

2009-07-15 21:58:59

Дык у тебя ошибок нет, это только предупреждение.
Посмотри, запущен ли iked (ps ax | grep iked)

Комментарий от ZorG

2009-09-15 10:58:14

Эт все конечно здорово, непонятно одно осталось – какие правила нужно добавить в ipfw, чтоб фаервол не резал впн?

Комментарий от kegf

2009-09-15 11:45:46

открой 500 порты

Комментарий от xtc Subscribed to comments via email

2009-12-02 18:22:13

Подскажите что не так делаю, стоит FreeBSD 6.4 p7 Добавил все в ядро, установил racoon2 настроил конфиги, но когда стоит в rc.conf строчка ipsec_enable=YES то выпадает ошибка при загрузке что нету /etc/ipsec.conf и дальше вся загрузка выпадает в ошибку и консоль переходит в сингл моде.

Подскажите что в нем должнобыть в этом файле, т.к. в статье он фигурирует а от куда он берется не сказано. после установки ipsec_tools он появляется но это веь две разные программы.

Суть мне надо соеденить несоклько офисов основной на FreeBSD а остальные в качестве геэйтов используют MoNoWall’ы. Может мне и не с помощью ракун2 это надо делать? Заранее спасибо.

Комментарий от xtc Subscribed to comments via email

2009-12-03 10:14:06

Создал пустой файл /etc/ipsec.conf ошибки нет. Другой вопрос racoon2 он только шифрует тунели или сам их создает? и мне не потребуется там дполнительно ничего для создания самих тунелей?
я чтото не вкриваю это еще )

Комментарий от kegf

2009-12-22 21:47:15

нет, больше ничего не надо. он сам создает туннели для шифрования

Комментарий от ryskeldi

2010-01-18 11:24:31

Привет.
У меня вот такие ошибки выдает, подскажите пожалуйста, что это значить.
Jan 18 11:38:16 vpn iked: [PROTO_ERR]: isakmp_inf.c:190:isakmp_info_recv(): ignore information because ISAKMP-SA has not been established yet.
Jan 18 11:38:45 vpn iked: [PROTO_ERR]: ikev1.c:1259:isakmp_ph1resend(): phase1 negotiation failed due to time up (index ab31769e77466c24:e2ede4f72567d9be)

Комментарий от ryskeldi

2010-01-18 11:31:19

Jan 18 11:38:16 vpn iked: [PROTO_ERR]: isakmp_inf.c:190:isakmp_info_recv(): ignore information because ISAKMP-SA has not been established yet.
Jan 18 11:38:45 vpn iked: [PROTO_ERR]: ikev1.c:1259:isakmp_ph1resend(): phase1 negotiation failed due to time up (index ab31769e77466c24:e2ede4f72567d9be)
Уважаемые, подскажите пожалуйста, это что значить.
Я сделал в точь вточь как в статье, между хостами пакеты не идут,
задаю команды:
#setkey -D
#No SAD entries.
#setkey -DP
#192.168.7.1/24[any] 192.168.0.1/24[any] any
in ipsec
esp/tunnel/XX.XX.XX.XX-YY.YY.YY.YY/unique#16388
spid=20 seq=1 pid=1797
refcnt=1
192.168.0.1/24[any] 192.168.7.1/24[any] any
out ipsec
esp/tunnel/YY.YY.YY.YY-XX.XX.XX.XX/unique#16387
spid=19 seq=0 pid=1797
refcnt=1

Комментарий от kegf

2010-01-18 18:03:47

500 порт на обоих хостах открыт? пиши на ilgiz @reid.ru или стучись в JID kegf@jabber.org

Комментарий от ryskeldi

2010-01-22 08:56:05

уважаемый kegf. 500 порт открыто на freebsd со одной стороны, а с другой Dlink 804 HV/

Комментарий от Laurent Subscribed to comments via email

2010-06-29 22:19:50

У меня та же ситуация, что и у ryskeldi была, при этом – все открыто.

Тоже выскакивало сообщение:

isakmp_ph1resend(): phase1 negotiation failed due to time up (index ab31769e77466c24:e2ede4f72567d9be).

Решил проверить, попытался установить связь FreeBSD1-FreeBSD2

mail# setkey -DP
10.10.10.0/24[any] 10.10.30.0/24[any] any
in ipsec
esp/tunnel/212.23.86.85-85.235.38.251/require
spid=4 seq=1 pid=9444
refcnt=1
10.10.30.0/24[any] 10.10.10.0/24[any] any
out ipsec
esp/tunnel/85.235.38.251-212.23.86.85/require
spid=3 seq=0 pid=9444
refcnt=1

И тишина. Они друг к другу не ломятся…

при настройках D-Link 804 – FreeBSD, Д-Линк ломится на фрю, фря молчит…

Комментарий от xtc Subscribed to comments via email

2010-07-01 15:21:54

И так попробую в краце объяснить

FreeBSD
BSD_OIP – FreeBSD Out IP
192.168.1.0/24 (192.168.1.0 255.255.255.0) – Local BSD Net

Dlink DI 804
DLINK_OIP – Di 804 Out IP
192.168.0.0/24 (192.168.0.0 255.255.255.0) – Local DLink Net

1. настроим Ди 804.

На Ди 804 заходим в Фаервол и добавляем 4 правила (Advanced – firewall)!

Allow Name of Rule *,BSD_OIP *,DLINK_OIP *,*
Allow Name of Rule *,DLINK_OIP *,BSD_OIP *,*
Allow Name of Rule *,BSD_LanNet *,DLINK_LanNet *,*
Allow Name of Rule *,DLINK_LanNet *, BSD_LanNet *,*

(У меня работает и без нижних двух правил.)

Далее заводим IPSEC соединение. (HOME – VPN)

VPN Enable (Ставим галку)
Max. number of tunnels (1)

Далее в первом поле пишем название канала, (Любое, желательно латиницей).
Метод IKE (жмем – more)

Жмем Применить

В этой вкладке делаем следующее.
————————————
Tunnel Name (наше любое имя Латиницей)
Aggressive Mode Enable (ставим галку)
Local Subnet (192.168.0.0)
Local Netmask (255.255.255.0)
Remote Subnet (192.168.1.0)
Remote Netmask (255.255.255.0)
Remote Gateway (BSD_OIP)
IKE Keep Alive (Ping IP Address) (тут пишем IP из локалки BSD для постоянного контроля соединения – 192.168.1.1)
Preshare Key (генерируем ключ, – q1w2e3)

Далее не трогаем
Extended Authentication
(xAUTH) Enable
Server mode
Client mode
User Name
Password
IPSec NAT Traversal Enable

Auto-reconnect Enable (Ставим галочку)
Remote ID Type Value (BSD_OIP)
Local ID Type Value (DLINK_OIP)
IKE Proposal Index (Жмем «Select IKE proposal…» – пример заполнения ниже в пункте а.)
IPSec Proposal Index (Жмем «Select IPSEC proposal…» – пример заполнения ниже в пункте б.)

Жмем Применить

а.
ID – 1,
Proposal Name – Имя соединения Желательно Латиницей, и то же что и сам канал
DH Group – Group2
Encrypt algorithm – 3DES
Auth algorithm – SHA1
Life Time – 86400
Life Time Unit – Sec.

Выбираем наше первое правило и жмем АДД (Proposal ID —1— add to Proposal index)

Жмем Применить

б.
ID – 1
Proposal Name Имя соединения Желательно Латиницей, и то же что и сам канал
DH Group – Group2
Encap protocol – ESP
Encrypt algorithm – 3DES
Auth algorithm – SHA1
Life Time – 86400
Life Time Unit – Sec.

Выбираем наше первое правило и жмем АДД (Proposal ID —1— add to Proposal index)

Жмем Применить

2 Настроим BSD
Устанавливаем Racoon.
И настроим его.

Во первых добавим в правила фаервола

Ipfw add 200 Allow all from BSD_OIP to DLINK_OIP
Ipfw add 200 Allow all from DLINK_OIP to BSD_OIP
Ipfw add 210 Allow all from BSD_LanNet to DLINK_LanNet
Ipfw add 210 Allow all from DLINK_LanNet to BSD_LanNet

Далее vi /etc/ipsec
####!/usr/sbin/setkey -f

flush;
spdflush;

spdadd 192.168.1.0/24 192.168.0.0/24 any -P out ipsec esp/tunnel/ BSD_OIP – DLINK_OIP /require;
spdadd 192.168.0.0/24 192.168.1.0/24 any -P in ipsec esp/tunnel/ DLINK_OIP – BSD_OIP /require;

Далее
vi /usr/local/etc/racoon/psk.txt
DLINK_OIP q1w2e3

Далее
vi /usr/local/etc/racoon/racoon.conf
path pre_shared_key “/usr/local/etc/racoon/psk.txt”;
log info;

padding
{
maximum_length 20;
randomize off;
strict_check off;
exclusive_tail off;
}

listen
{
isakmp BSD_OIP [500];
}

timer
{
counter 5;
interval 10 sec;
persend 1;
phase1 30sec;
phase2 60sec;
}

remote DLINK_OIP {
exchange_mode aggressive;
my_identifier address BSD_OIP;
peers_identifier address DLINK_OIP;
initial_contact on;
dpd_delay 120;
ike_frag on;
support_proxy on;
proposal_check obey; proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2; }
lifetime time 86400 secs;
}

sainfo address 192.168.1.0/24 any address 192.168.0.0/24 any {
encryption_algorithm 3des;
authentication_algorithm hmac_sha1,hmac_md5;
compression_algorithm deflate;
pfs_group 2;
lifetime time 86400 secs;
}

Добавим в /etc/rc.conf

# Racoon
racoon_enable=”YES”
racoon_create_dirs=”YES”
racoon_flags=”-l /var/log/racoon.log”
ipsec_enable=”YES”
ipsec_file=”/etc/ipsec.conf”

И все вроде как должно работать, Маршруты добавлять не обязательно!
Если конечно чего не забыл. Теперь перезапускай БСД и пробуй пинговать удаленные сети.

Комментарий от kegf

2010-07-05 08:46:21

Ну это ipsec-tools, а не racoon2

Комментарий от kegf

2010-07-02 09:02:12

можешь скинуть мне конфиги в почту.

Комментарий от MH

2010-07-05 11:10:14

В связи популярностью данного поста обсуждение продолжить на форуме

Извините, обсуждение на данный момент закрыто.

Вход

Регистрация

Восстановление пароля

Forum

RSS OpenNet

vote

statistics

1. Задачи.

2. Установка.

2.1 Ядро

2.2 Racoon2

3. Настройка Racoon2 на FreeBSD.

3.1 Добавляем строки в rc.conf (rc.conf.local):

3.2 Для начала работы переименуйте/скопируйте файлы, удалив окончание (.sample)

3.3 Отредактируйте default.conf:

3.4 Отредактируйте racoon2.conf:

3.5 Создайте ключ (/usr/local/etc/racoon2/psk/key.psk), используя общие правила составления паролей.

3.6 Отредактируйте office2.conf (внимательно читайте комментарии):

3.7 Отредактируйте office3.conf (внимательно читайте комментарии):

3.8 Запускаем Racoon2

4. Настройка роутера D-Link DI-804HV.

4.1 Перейдем в меню настройки VPN соединений:

4.2 Жмем кнопку More, проваливаемся на следующий экран настроек:

4.3 После перезагрузки переходим дальше – жмем кнопку “Select IKE proposal”

4.4 Если все настроено удачно, то в окне VNP status вы увидите следующую картину:

5. Проверка связи.

6. Отличия.

7. Вывод.

Комментарии (28)