IPSec между Linux и Cisco

Аватар пользователя Ejik

Шалом, аксакалы!

Надеюсь, таки, что не ошибся форумом, а если ошибся -- прошу сильно не пинать. Улыбка

Вопрос, собственно, в следующем -- никому не приходилось поднимать IPSec между Линуксом и Кошкой? Со стороны Линукса ядро 2.6.x и racoon. Если же приходилось, то поделитесь, pls, опытом, или дайте ссылку на достаточно подробные FAQ, HOWTO и т.п.

// WBR, Ejik

Аватар пользователя sergeil

Re: IPSec между Linux и Cisco

>> приходилось поднимать IPSec между Линуксом и Кошкой?

Да. Поднята и работает между freeswan-1.99 (kernel-2.4.x) и Cisco PIX.

>> Со стороны Линукса ядро 2.6.x и racoon.

racoon не нравится... Использую openswan-2.3.1 + kernel-2.6.11.12 (CLIPS)

>> Если же приходилось, то поделитесь, pls, опытом, или дайте ссылку на достаточно подробные FAQ, HOWTO и т.п.

Даю конфигурацию, адаптированную под openswan-2.3.1 (дома установлена, готова для тестирования). Openswan-2.3.1 может работать с ядром 2.6.x как через racoon (без модуля ipsec), так и через KLIPS (с модулем ipsec). Конфиг один и тот-же. Нужно будет посмотреть как он это работает и потом трансформировать openswan-овский конфиг в конфиг racoon.

Cisco нужно настроиить соответственно...
Здесь не помогу... Не знаю Cisco...

Точеки в первой позиции - для предотвращения искажения форматирования. Отступы должны присутствовать (точки нужно удалить).

/etc/ipsec.conf

version 2.0 # conforms to second version of ipsec.conf specification

config setup
.... interfaces="ipsec0=eth2 ipsec1=eth1"
.... # Debug-logging controls: "none" for (almost) none, "all" for lots.
.... klipsdebug=none
.... plutodebug=none
.... # Use auto= parameters in conn descriptions to control startup actions.
.... # plutoload=%search
.... # plutostart=%search
.... # Close down old connection when new one using same ID shows up.
.... uniqueids=yes

conn %default
.... keyingtries=0
.... type=tunnel
.... auth=esp
.... esp=3des-sha1-96
.... authby=secret
.... keyexchange=ike
.... ikelifetime=3600
.... keylife=3600
.... disablearrivalcheck=yes
.... pfs=no

conn block
.... auto=ignore

conn private
.... auto=ignore

conn private-or-clear
.... auto=ignore

conn clear-or-private
.... auto=ignore

conn clear
.... auto=ignore

conn packetdefault
.... auto=ignore

conn xxx101000yyy
.... #-----------------------------
.... left=xxx.xxx.xx.xx
.... leftnexthop=xxx.xxx.xx.xx
.... leftsubnet=192.168.100.0/24
.... #-----------------------------
.... right=xx.xxx.xxx.xxx
.... rightnexthop=xx.xxx.xxx.xxx
.... rightsubnet=192.168.200.0/24
.... #-----------------------------
.... auto=start

RSS-материал