Obsah
IpSec
Dokumentace
- freeswan.ca - speciální patchovaná verze IpSec (umí např. certifikáty X509)
Free Swan
- v jádře 2.6 by již podpora IPSEC měla být zakompilována
- volitelně, pokud chceme požívat certifikáty (nechceme): patch pro podporu X509
http://www.strongsec.com/freeswan/
http://www.strongsec.com/freeswan/install.htm - přečíst jak nainstalovat patch - musí být nainstalovány knihovny GMP http://www.swox.com/gmp - většinou budou
- spustit
make menugove zdrojovém adresáři FreeSwan- přidá menu IPsec do konfigurace kernelu
- nastavit jej jako MODUL!
- uložit a vyskočit z meni konfigurace jádra … následně se provede kompilace nového jádra
- průběh kompilace je v out.kbuild
- až to doběhne, tak už jen make bzImage a make
modules_installa pak už jen překopírovazbzImagea upravitgrub.conf make minstall- musí být nainstalováno iproute2
ipsec.config
version 2.0
config setup
# Debug-logging controls: "none" for (almost) none, "all" for lots.
klipsdebug=none
plutodebug=none
interfaces="ipsec0=<rozhrani>"
# pocet pokusu
conn %default
keyingtries=3
# název tunelu
conn tunel
# IP adresa tohoto serveru
left=<left IP>
# GW
leftnexthop=<left GW>
# síť za tímto serverem
leftsubnet=192.168.130.0/24
# vzdálený server
right=<right IP>
# GW
rightnexthop=<right GW>
# síť za vzdáleným serverem
rightsubnet=192.168.1.0/24
# manuální klíc
authby=secret
pfs=no
# tunel nejen prida, ale i nastartuje
auto=start
conn block
auto=ignore
conn clear
auto=ignore
conn private
auto=ignore
conn private-or-clear
auto=ignore
conn clear-or-private
auto=ignore
conn packetdefault
auto=ignore
ipsec.secrets
# local remote manuální klíč, stejný na obou stranách 10.10.204.10 10.10.204.20 : PSK "1234567890123456"
firewall
- je nutné na obou koních tunelu nastavit firewall tak, aby přijímal isakmp pakety na portech UDP 500 a také protokol 50 (ESP) a 51 (AH)
- dále je potřeba povolit vše co přijde po rozhraní IPSEC0:
$IPTABLES -A INPUT -i ipsec0 -j ACCEPT
$IPTABLES -A OUTPUT -o ipsec0 -j ACCEPT
manipulace s tunelem
# přidání a nahození ipsec auto --add tunel ipcec auto --up tunel # stav tunelu ipcec auto --status #shození a vymazání tunelu ipcec auto --down tunel ipcec auto --delete tunel
- vytvoří se další interface ipsec0
- je nutné nastavit routování tak aby požadavky z jedné sítě do druhé šly právě přes ipsec0
Zywall 2
Nastavení
m0n0wall
Nastavení
Nastavení IPSEC na druhé straně
# basic configuration
config setup
# THIS SETTING MUST BE CORRECT or almost nothing will work;
# %defaultroute is okay for most simple cases.
interfaces=%defaultroute
# Debug-logging controls: "none" for (almost) none, "all" for lots.
klipsdebug=none
plutodebug=none
# Use auto= parameters in conn descriptions to control startup actions.
plutoload=%search
plutostart=%search
plutobackgroundload=yes
# defaults for subsequent connection descriptions
conn %default
# How persistent to be in (re)keying negotiations (0 means very).
keyingtries=0
# Parameters for manual-keying testing (DON'T USE OPERATIONALLY).
# Note: only one test connection at a time can use these parameters!
spi=0x200
esp=3des-md5-96
espenckey=0x01234567_89abcdef_02468ace_13579bdf_12345678_9abcdef0
espauthkey=0x12345678_9abcdef0_2468ace0_13579bdf
# If RSA authentication is used, get keys from DNS.
leftrsasigkey=%dns
rightrsasigkey=%dns
# VPN mezi sitemi centraly f.Propesko ve Veseli a pobocky v Dynine
conn net-propeskove-to-net-propeskody
# Left security gateway, subnet behind it, next hop toward right.
left=<ip>
leftsubnet=192.168.1.0/24
leftnexthop=<ip>
# Right security gateway, subnet behind it, next hop toward left.
right=<ip>
rightsubnet=192.168.2.0/24
rightnexthop=<ip>
# Authorize this connection, but don't actually start it, at startup.
#auto=add
auto=start
# To use RSA authentication (not legal in US until 20 Sept 2000),
# uncomment this next line.
#authby=rsasig
authby=secret
# VPN mezi branami centraly f.Propesko ve Veseli a pobocky v Dynine
conn gw-propeskove-to-gw-propeskody
left=<ip>
leftnexthop=<ip>
right=<ip>
rightnexthop=<ip>
auto=start
