|
|
www.lissyara.su
—> www.lissyara.su
—> Заголовок меню (маленький - 10-15 символов)
Заголовок страницы (до 50 символов)
Автор: slim.
Со стороны циски и, что касается racoon со стороны фри делал оч хороший человек, Михаил ( admin_mick ) , так что уточняйте все вопросы по поводу параметров шифрования, я у него буду спрашивать, .
В один прекрасный день оказалось, что филиал вот уж завтра открывается, а с покупкой цисок фигово. Решили попробовать программный маршрутизатор со стороны филиала, как временное решение, но все делалось так, чтоб когда придет туда циска не пришлось на главной ничего менять.
Имеем 10.10.31.0.24 – сеть филиала
10.10.222.52/30 – сеть маршрутизируемая провайдером
Внешний адрес FreeBSD 10.10.222.54
Внешний адрес Cisco 10.10.222.53
Адреса туннеля фря 10.10.223.54 циска 10.10.223.53
Пересобираем ядро с поддержкой ipsec
device crypto
options IPSEC
options IPSEC_FILTERTUNNEL # я добавил из интереса
options IPSEC_DEBUG
| Ставим raccoon
cd /usr/ports/security/ipsec-tools/
make install clean
| убрана только поддержку ip6
Не создалась папка ( может и не должна ) /usr/local/etc/raccoon/
mkdir /usr/local/etc/raccoon
cp /usr/local/share/examples/ipsec-tools/psk.txt /usr/local/etc/raccoon/
cp /usr/local/share/examples/ipsec-tools/racoon.conf /usr/local/etc/raccoon/
| FreeBSD
/etc/rc.conf
ifconfig_em0="inet 10.10.31.1 netmask 255.255.255.0"
ifconfig_em1="inet 10.10.222.54 netmask 255.255.255.252"
static_routes="net1"
route_net1="-net 10.10.222.1 10.10.222.53"
gif_interfaces="YES"
gif_interfeces="gif0"
gifconfig_gif0="10.10.222.54 10.10.222.1"
ifconfig_gif0="inet 10.10.223.54 10.10.223.53 netmask 255.255.255.252"
racoon_enable="YES"
ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"
| /usr/local/etc/racoon/racoon.conf
path pre_shared_key "/usr/local/etc/racoon/psk.txt"; #location of pre-shared key file
log notify; #log verbosity setting: set to 'notify' when testing and debugging is complete
padding # options are not to be changed
{
maximum_length 20;
randomize off;
strict_check off;
exclusive_tail off;
}
timer # timing options. change as needed
{
counter 5;
interval 20 sec;
persend 1;
phase1 30 sec;
phase2 15 sec;
}
listen # address [port] that racoon will listening on
{
isakmp 10.10.222.54 [500];
}
remote 10.10.222.1 [500]
{
exchange_mode main,aggressive;
doi ipsec_doi;
situation identity_only;
my_identifier address 10.10.222.54;
peers_identifier address 10.10.222.1;
lifetime time 1800 sec;
passive off;
proposal_check obey;
generate_policy off;
proposal {
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method pre_shared_key;
lifetime time 1800 sec;
dh_group 2;
}
}
sainfo anonymous
{
pfs_group 2;
lifetime time 86400 sec;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}
| /etc/ipsec.conf
Шифруем только ipencap трафик
spdadd 10.10.222.54/32 10.10.222.1/32 ipencap -P out ipsec esp/tunnel/10.10.222.54-10.10.222.1/require;
spdadd 10.10.222.1/32 10.10.222.54/32 ipencap -P in ipsec esp/tunnel/10.10.222.1-10.10.222.54/require;
| Cisco
interface Tunnel20
ip address 10.10.223.53 255.255.255.252
ip mtu 1400
ip tcp adjust-mss 1360
tunnel source 10.10.222.1
tunnel destination 10.10.222.54
tunnel mode ipip
tunnel protection ipsec profile Filail20
crypto ipsec profile Filail20
set security-association lifetime seconds 86400
set transform-set TSET_3DESMD5
set pfs group2
crypto ipsec transform-set TSET_3DESMD5 esp-3des esp-md5-hmac
crypto isakmp key [KEY] address 10.10.222.54 no-xauth
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
lifetime 1800
| /usr/local/etc/racoon/psk.txt
gif_interfaces="YES"
gif_interfeces="gif0"
gifconfig_gif0="10.10.222.54 10.10.222.1"
ifconfig_gif0="inet 10.10.223.54 10.10.223.53 netmask 255.255.255.252"
| интерфейс создавался но не корректно, примеры записи смотрел в хэндбуке, сильно капаться в этом не хотелось по этому записал в скрипт
/usr/local/etc/rc.d/tun.sh
/sbin/ifconfig gif0 inet 10.10.223.54 10.10.223.53 netmask 255.255.255.252 tunnel 10.10.222.54 10.10.222.1 mtu 1400 up
| Для gre туннеля отличия минимальны
FreeBSD
/sbin/ifconfig gre0 inet 10.10.223.54 10.10.223.53 netmask 255.255.255.252 tunnel 10.10.222.54 10.10.222.53 link1 up
| /etc/ipsec.conf
Шифруем только gre трафик
spdadd 10.10.222.54/32 10.10.222.1/32 gre -P out ipsec esp/tunnel/10.10.222.54-10.10.222.1/require;
spdadd 10.10.222.1/32 10.10.222.54/32 gre -P in ipsec esp/tunnel/10.10.222.1-10.10.222.54/require;
| На циске только тип туннеля вместо tunnel mode ipip ставим tunnel mode gre
размещено: 2008-11-15,
последнее обновление: 2008-11-15,
автор: slim
|
|
|
|
2014-07-27, lissyara
gmirror
Удалённое создание софтверного зеркала средствами gmirror, на диске разбитом с использованием gpart. Использование меток дисков для монтирования разделов.
2013-08-20, zentarim
Scan+Print server FreeBSD 9
Настройка сервера печати и сервера сканирования под управлением операционной системы FreebSD 9 для МФУ Canon PIXMA MP540
2011-11-20, BlackCat
Разъём на WiFi-карту
Делаем съёмной несъёмную антену на WiFi-карте путём установки ВЧ-разъёма
2011-09-14, manefesto
Настройка git+gitosis
Настройка системы контроля версия исходного кода в связке git+gitosis+ssh
|
Статистика сайта
|
Сейчас на сайте находится: 12 чел.
|
За последние 30 мин было: 68 человек
|
За сегодня было 354 показов, 171 уникальных IP
|
|
|
|
Этот информационный блок появился по той простой причине,
что многие считают нормальным, брать чужую информацию не уведомляя автора
(что не так страшно), и не оставляя линк на оригинал и автора — что более существенно.
Я не против распространения информации — только за. Только условие простое — извольте
подписывать автора, и оставлять линк на оригинальную страницу в виде прямой, активной, нескриптовой,
незакрытой от индексирования, и не запрещенной для следования роботов ссылки.
Если соизволите поставить автора в известность — то вообще почёт вам и уважение.
© lissyara 2006-10-24 08:47 MSK
|
|
|
Комментарии пользователей [2 шт.]