The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

ipsec tunnel mode междну FreeBSD и Windows XP (ipsec tunnel example freebsd crypt)


<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >> 
Ключевые слова: ipsec, tunnel, example, freebsd, crypt,  (найти похожие документы)

Date: Tue, 11 Feb 2003 11:32:00 +0500
From: Andrew Alcheev <Andrew_Alcheev@f131.n5080.z2.fidonet.org>
Newsgroups: ftn.ru.unix.bsd
Subject: ipsec tunnel mode междну FreeBSD и Windows XP

 EG> Да мне вообще пока не нужен обмен ключами, keyed-md5 вполне
 EG> достаточно. Ты именно tunnel mode делал и именно на машине с одним
 EG> интерфейсом? Покажи конфигурацию со стороны FreeBSD.

надеюсь, что это будет интересно еще кому-нибудь.

задача стояла следующая: обеспечить базовыми средствами win xp (юзер) и freebsd
(рутер) безопасное соединение по ethernet между юзером и сервером без использования
l2tp или pptp с шифрованием.

/etc/ipsec.conf:

=== Cut ===
spdadd 192.168.99.0/27 192.168.99.10/32 any -P out none;
spdadd 192.168.99.10/32 192.168.99.0/27 any -P in none;
spdadd 0.0.0.0/0 192.168.99.10/32 any -P out ipsec
  esp/tunnel/192.168.99.1-192.168.99.10/require;
spdadd 192.168.99.10/32 0.0.0.0/0 any -P in ipsec
  esp/tunnel/192.168.99.10-192.168.99.1/require;
=== Cut ===

/usr/local/etc/racoon/racoon.conf:

=== Cut ===
path pre_shared_key "/usr/local/etc/racoon/psk.txt";
path certificate "/etc/ssl/rootCA";
# log debug2;

padding
{
    maximum_length 20;
    randomize off;
    strict_check off;
    exclusive_tail off;
}

timer
{
    counter 5;
    interval 20 sec;
    persend 1;

    phase1 30 sec;
    phase2 15 sec;
}

remote anonymous
{
    exchange_mode aggressive, main;
    doi ipsec_doi;
    situation identity_only;

    nonce_size 16;
    lifetime time 10 min;
    initial_contact on;
    support_mip6 on;
    proposal_check obey;

    proposal {
        encryption_algorithm 3des;
        hash_algorithm md5;
        authentication_method pre_shared_key;
        dh_group 2;
    }
}

sainfo anonymous
{
    pfs_group 1;
    lifetime time 600 sec;

    encryption_algorithm 3des,des,cast128,blowfish;
    authentication_algorithm hmac_sha1,hmac_md5;
    compression_algorithm deflate;
}
=== Cut ===

и еще один нюанс, выявленный опытным путем: переменная sysctl

net.key.prefered_oldsa=0

в случае настройки ядра по умолчанию (=1) win xp теряла ключи после примерно 500-700
мб трафика (суммы входящего и исходящего).

<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>

 Добавить комментарий
Имя:
E-Mail:
Заголовок:
Текст:

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру