したがって、
portinstall ipsec-tools
ipsecサポートを使用してカーネルをコンパイルすることを忘れないでください:
デバイス暗号
オプションIPSEC
注意、7.xからIPSEC_ESPは指定する必要はありません!
ipsec.confを作成します
cat> /etc/ipsec.conf
洗い流す
spdflush;
spdadd 192.168.50.0/24 192.168.0.0/24 any -P out ipsec esp / tunnel / 83.170.247.74-84.204.32.202 / unique;
spdadd 192.168.0.0/24 192.168.50.0/24 ipsec esp / tunnel / 84.204.32.202-83.170.247.74 / uniqueの-P
ctrl + d
このケースをrc.confに登録します
猫>> / etc / rc.conf
ipsec_enable = "YES"
ipsec_file = "/ etc / ipsec.conf"
ctrl + d
racoonを設定します:
cat> /usr/local/etc/racoon/racoon.conf
パスには「/ usr / local / etc / racoon」が含まれます。
パスpre_shared_key "/usr/local/etc/racoon/psk.txt";
ログdebug2;
パディング
{
最大長20; #最大パディング長。
ランダム化オフ; #長さのランダム化を有効にします。
strict_check off; #厳密なチェックを有効にします。
exclusive_tail off; #最後の1オクテットを抽出します。
}
リモート匿名
{
exchange_mode main、base、aggressive;
doi ipsec_doi;
#situation identity_only;
my_identifierアドレス83.170.247.74;
nonce_size 16;
ライフタイム6000秒; #秒、分、時間
initial_contact on;
support_proxy on;
suggestion_checkに従います。 #従う、厳しくする、または主張する
提案{
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
}
}
sainfo anonymous
{
pfs_group 2;
ライフタイム6000秒;
encryption_algorithm 3des;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
}
ctrl + d
注意、これらのセクションで重要なパラメーターはencryption_algorithmおよびauthenticaton_algorythmであり、リモートシステムのパラメーターと一致する必要があります。
cat> /usr/local/etc/racoon/psk.txt
84.204.32.202 mysuperpass
ctrl + d
rc.confに起動を追加します
猫>> / etc / rc.conf
racoon_enable = "yes"
ctrl + d
それだけです!
次のようにトンネル機能を確認できます。
ping -S 192.168.50.1 192.168.0.1
pingを実行し、setkey -Dコマンドでインストール済みのトンネルを表示する必要があります
84.204.32.202 83.170.247.74
espモード=トンネルspi = 50593206(0x0303fdb6)reqid = 16386(0x00004002)
E:3des-cbc 4ddd80ee 36d3d454 e3d60ec0 8683a8cc d4ac9b19 d0cec696
A:hmac-sha1 93681407 6f58fa41 e98a0a68 91b1f2f1 6433d1c0
seq = 0x00000256 replay = 4 flags = 0x00000000 state = mature
作成日:8月1日22:07:57 2008現在:8月1日22:17:58 2008
diff:601(s)hard:3600(s)soft:2880(s)
last:Aug 1 22:17:57 2008 hard:0(s)soft:0(s)
現在:62192(バイト)ハード:0(バイト)ソフト:0(バイト)
割り当て:598ハード:0ソフト:0
sadb_seq = 1 pid = 21678 refcnt = 1
84.204.32.202 83.170.247.74
espモード=トンネルspi = 213695417(0x0cbcbbb9)reqid = 16386(0x00004002)
E:3des-cbc 26e917dd 39474c5e a6961f2f afe1383c 97e6471b ac84dee0
A:hmac-sha1 5e108c5d c8ee80f0 b04ac307 11470fd8 e518d44f
seq = 0x000006db replay = 4 flags = 0x00000000 state = mature
作成日:8月1日21:38:31 2008現在:8月1日22:17:58 2008
diff:2367(s)hard:3600(s)soft:2880(s)
last:Aug 1 22:07:57 2008 hard:0(s)soft:0(s)
現在:182520(バイト)ハード:0(バイト)ソフト:0(バイト)
割り当て:1755ハード:0ソフト:0
sadb_seq = 0 pid = 21678 refcnt = 1
静的な追加ルートを登録する必要はありません!
192.168.0.xは192.168.50.xを完全に透過的に表示します
私のブログのクロスポストnexus.org.ua/weblog/message/874