{{page>:menu}}
====== IpSec ======



===== Dokumentace =====
  * seriál na ABClinuxu.cz [[http://www.abclinuxu.cz/clanky/bezpecnost/ipsec-na-linuxu-krok-za-krokem-1|1]] a [[http://www.abclinuxu.cz/clanky/bezpecnost/ipsec-na-linuxu-krok-za-krokem-2|2]] nebo {{linux:net:ipsec_na_linuxu_krok_za_krokem.pdf}}
  *[[http://www.freeswan.ca/download.php|freeswan.ca]] - speciální patchovaná verze IpSec (umí např. certifikáty X509)
  *[[http://www.freeswan.org/download.html|stáhnout]], [[http://www.freeswan.org/freeswan_trees/freeswan-2.06/doc/install.html|instalace]], [[http://www.freeswan.org/freeswan_trees/freeswan-2.06/doc/toc.html|dokumentace]], [[http://www.freeswan.org/freeswan_trees/freeswan-2.06/doc/HowTo.html|HowTo...]]

===== Free Swan =====
  *v jádře 2.6 by již podpora IPSEC měla být zakompilována
  *volitelně, pokud chceme požívat certifikáty (nechceme): patch pro podporu X509 \\ http://www.strongsec.com/freeswan/ \\ http://www.strongsec.com/freeswan/install.htm - přečíst jak nainstalovat patch
  * musí být nainstalovány knihovny GMP http://www.swox.com/gmp - většinou budou
  * spustit **''make menugo''** ve zdrojovém adresáři FreeSwan
    * přidá menu IPsec do konfigurace kernelu
    * nastavit jej jako MODUL! 
  * uložit a vyskočit z meni konfigurace jádra ... následně se provede kompilace nového jádra
  * průběh kompilace je v out.kbuild
  * až to doběhne, tak už jen make bzImage a make **''modules_install''** a pak už jen překopírovaz **''bzImage''** a upravit **''grub.conf''**
  * **''make minstall''**
  * musí být nainstalováno **iproute2**


===== ipsec.config =====
<code>
version 2.0
config setup
	# Debug-logging controls:  "none" for (almost) none, "all" for lots.
	klipsdebug=none
	plutodebug=none
	interfaces="ipsec0=<rozhrani>"

# pocet pokusu
conn %default
    keyingtries=3

# název tunelu
conn tunel
	# IP adresa tohoto serveru
    left=<left IP>
	# GW
    leftnexthop=<left GW>
	# síť za tímto serverem
    leftsubnet=192.168.130.0/24
	# vzdálený server
    right=<right IP>
	# GW
    rightnexthop=<right GW>
	# síť za vzdáleným serverem
    rightsubnet=192.168.1.0/24
	# manuální klíc
    authby=secret
    pfs=no
      # tunel nejen prida, ale i nastartuje
    auto=start

conn block
    auto=ignore

conn clear
    auto=ignore

conn private
    auto=ignore
    
conn private-or-clear
    auto=ignore
    
conn clear-or-private
    auto=ignore

conn packetdefault
    auto=ignore    
</code>

===== ipsec.secrets =====
<code>
# local         remote	manuální klíč, stejný na obou stranách
10.10.204.10 10.10.204.20 : PSK "1234567890123456"
</code>

===== firewall =====
  * je nutné na obou koních tunelu nastavit firewall tak, aby přijímal **isakmp** pakety na portech **UDP 500** a také **protokol 50 (ESP) a 51 (AH)**
  * dále je potřeba povolit vše co přijde po rozhraní IPSEC0:\\ ''$IPTABLES -A INPUT -i ipsec0 -j ACCEPT\\ $IPTABLES -A OUTPUT -o ipsec0 -j ACCEPT''




===== manipulace s tunelem =====
<code bash>
# přidání a nahození
ipsec auto --add tunel
ipcec auto --up tunel
# stav tunelu
ipcec auto --status
#shození a vymazání tunelu
ipcec auto --down tunel
ipcec auto --delete tunel
</code>
  *vytvoří se další interface ipsec0
  *je nutné nastavit routování tak aby požadavky z jedné sítě do druhé šly právě přes ipsec0




====== Zywall 2 ======
  *http://www.zyxel.com/support/supportnote/zywall1/app/zw_freeswan.htm
  *http://www.zyxel.com/support/supportnote/zywall2_2WE/index_f.php
  *


===== Nastavení =====
{{linux:net:zywall-ipsec-1.gif?450}}
{{linux:net:zywall-ipsec-2.gif?450}}

====== m0n0wall ======
  *[[http://m0n0.ch/wall/docbook/index.html|manuál]]
===== Nastavení =====
{{linux:net:ipsec-m0n0wall-1.gif}}




===== Nastavení IPSEC na druhé straně =====
<code>
# basic configuration
config setup
	# THIS SETTING MUST BE CORRECT or almost nothing will work;
	# %defaultroute is okay for most simple cases.
	interfaces=%defaultroute
	# Debug-logging controls:  "none" for (almost) none, "all" for lots.
	klipsdebug=none
	plutodebug=none
	# Use auto= parameters in conn descriptions to control startup actions.
	plutoload=%search
	plutostart=%search
      plutobackgroundload=yes



# defaults for subsequent connection descriptions
conn %default
	# How persistent to be in (re)keying negotiations (0 means very).
	keyingtries=0
	# Parameters for manual-keying testing (DON'T USE OPERATIONALLY).
	# Note:  only one test connection at a time can use these parameters!
	spi=0x200
	esp=3des-md5-96
	espenckey=0x01234567_89abcdef_02468ace_13579bdf_12345678_9abcdef0
	espauthkey=0x12345678_9abcdef0_2468ace0_13579bdf
	# If RSA authentication is used, get keys from DNS.
	leftrsasigkey=%dns
	rightrsasigkey=%dns



# VPN mezi sitemi centraly f.Propesko ve Veseli a pobocky v Dynine
conn net-propeskove-to-net-propeskody
        # Left security gateway, subnet behind it, next hop toward right.
        left=<ip>
        leftsubnet=192.168.1.0/24
        leftnexthop=<ip>
        # Right security gateway, subnet behind it, next hop toward left.
        right=<ip>
        rightsubnet=192.168.2.0/24
        rightnexthop=<ip>
        # Authorize this connection, but don't actually start it, at startup.
        #auto=add
        auto=start
        # To use RSA authentication (not legal in US until 20 Sept 2000),
        # uncomment this next line.
        #authby=rsasig
	authby=secret


# VPN mezi branami centraly f.Propesko ve Veseli a pobocky v Dynine
conn gw-propeskove-to-gw-propeskody
        left=<ip>
        leftnexthop=<ip>
        right=<ip>
        rightnexthop=<ip>
        auto=start
</code>