[FUG-BR] RES: Usando IPsec no FreeBSD
Renato Frederick
frederick em dahype.org
Quinta Junho 18 17:46:15 BRT 2009
Aproveitando, meu setup de exemplo fechando uma vpn com cisco:
proxy# cat racoon.conf
path pre_shared_key "/usr/local/etc/racoon/psk.txt" ;
log notify;
padding
{
maximum_length 20; # maximum padding length.
randomize on; # enable randomize length.
randomize_length on;
strict_check off; # enable strict check.
exclusive_tail on; # extract last one octet.
}
timer
{
# These value can be changed per remote node.
counter 5; # maximum trying count to send.
interval 40 sec; # maximum interval to resend.
persend 1; # the number of packets per a send.
# timer for waiting to complete each phase.
phase1 300 sec;
phase2 300 sec;
}
remote anonymous
{
#exchange_mode main,aggressive;
exchange_mode main,aggressive,base;
doi ipsec_doi;
#situation identity_only;
verify_identifier off;
send_cert off;
send_cr off;
nonce_size 16;
lifetime time 15 min; # sec,min,hour
#lifetime byte 5 MB; # B,KB,GB
initial_contact on;
support_mip6 off;
proposal_check claim; # obey, strict or claim
# If clients are connecting from dynamic addresses
# set generate_policy to "on"
generate_policy on;
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key ;
dh_group 2 ;
}
}
sainfo anonymous
{
#pfs_group 1;
# commented out pfs_group so that any pfs_group would be accepted
lifetime time 3600 sec;
#lifetime byte 50 MB;
encryption_algorithm 3des,des,cast128 ;
authentication_algorithm hmac_md5,hmac_sha1;
compression_algorithm deflate;
}
proxy# cat ipsec.conf
flush;
spdflush;
spdadd 172.16.90.0/24 192.168.200.0/24 any -P out ipsec esp/tunnel/IP_LOCAL-IP_REMOTO/require;
spdadd 192.168.200.0/24 172.16.90.0/24 any -P in ipsec esp/tunnel/IP_REMOTO-IP_LOCAL/require;
sendo que o tunel é fechado para que a rede local 172.16.90.0/24 acesse a rede remota 192.168.200.0/24.
/usr/local/etc/racoon/psk.txt é a chave compartilhada entre os 2 hosts.
Depois disto tem que criar o túnel, colocar as rotas através dele e qunado houver tráfego se tudo der certo o túnel sobe.
Se não subir, aí tem que fazer debbug, parte mais chata do IPSEC :-/
Com o cisco tive que mudar para aggressive mode.
Com sonicwall não precisa.
Boa sorte
> -----Mensagem original-----
> De: Renato Frederick
> Enviada em: quinta-feira, 18 de junho de 2009 17:33
> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> Assunto: RES: [FUG-BR] Usando IPsec no FreeBSD
>
> http://www.primeirospassos.org/sessao10_8_b.html
>
> porém esta versão é velha
>
> o gifconfig foi substifuido pelo ifconfig gif0 create
>
> e o /usr/ports/security/racoon pelo ipsec-tools.
>
>
>
> > -----Mensagem original-----
> > De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] Em
> > nome de Thiago Gomes
> > Enviada em: quinta-feira, 18 de junho de 2009 17:27
> > Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> > Assunto: Re: [FUG-BR] Usando IPsec no FreeBSD
> >
> > tem como me passar algum exemplo de fechamento de tunel com isakmpd
> >
> >
> > 2009/6/18 c0re dumped <ez.c0re em gmail.com>:
> > > No Free (ou no Open) vc vai usar o isakmpd.
> > >
> > > A configuração é um pouco mais complexa que a do freswan, mas não é
> > > nenhum bicho de sete cabeças se você conhecer o IPSec
> > >
> > >
> > > --
> > >
> > > "To err is human, to blame it on somebody else shows management
> > potential."
> > > -------------------------
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Mais detalhes sobre a lista de discussão freebsd