IPSec Roadwarrior-VPN via racoon
Dieses Dokument beschreibt die Konfiguration und den Betrieb eines VPN mit Preshared-Keys und Racoon unter Fedora Core 4.
-
Falls nicht vorhanden, das Verzeichnis „/etc/racoon“ anlegen, hier werden alle Configfiles abgelegt
/etc/racoon/setkey.conf
#!/sbin/setkey -f # Flush the SAD and SPD flush; spdflush; ############################################################ # Roadwarrior <-> Gateway # 123.123.123.123 = externe IP des Gateways # 192.168.1.0/24 = internes Netz auf Gateway-Seite # HOST to HOST spdadd 123.123.123.123 0.0.0.0 any -P out ipsec esp/tunnel/123.123.123.123-0.0.0.0/require; spdadd 0.0.0.0 123.123.123.123 any -P in ipsec esp/tunnel/0.0.0.0-123.123.123.123/require; # HOST to LAN spdadd 192.168.1.0/24 0.0.0.0 any -P out ipsec esp/tunnel/123.123.123.123-0.0.0.0/require; spdadd 0.0.0.0 192.168.1.0/24 any -P in ipsec esp/tunnel/0.0.0.0-123.123.123.123/require; ############################################################
-
mit „chmod 0700 /etc/racoon/setkey.conf“ lesen/schreiben/ausführen für root setzen.
/etc/racoon/racoon.conf
path include "/etc/racoon";
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";
# Preshared Keys
remote anonymous {
exchange_mode aggressive, main, base;
#doi ipsec_doi;
nat_traversal on;
generate_policy on;
passive on;
#my_identifier address 212.34.164.18;
peers_identifier user_fqdn;
proposal {
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method pre_shared_key;
dh_group modp1024;
}
}
sainfo anonymous {
pfs_group modp1024;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}
-
mit „chmod 0600 /etc/racoon/racoon.conf“ lesen/schreiben für root setzen.
/etc/racoon/psk.txt enthält die PresharedKeys in folgendem Format:
roadwarrior001@gateway.de MpfeEuwPEkov7ScUtKtmAa4FGWVda9jjtruesrkJKUx8sWC4u9
-
mit „chmod 0600 /etc/racoon/psk.txt“ lesen/schreiben für root setzen.
/etc/sysconfig/racoon
OPTS="-f /etc/racoon/racoon.conf -l /var/log/racoon -v"
-
mit „chmod 0644 /etc/sysconfig/racoon“ die Berechtigungen setzen
/etc/init.d/racoon
#!/bin/bash # # racoon Start/Stop the racoon IKE daemon. # # chkconfig: 2345 90 60 # description: racoon is the IKE daemon of the KAME tools. Use it with \ # the native Linux 2.6 IPsec-Stack # processname: racoon # config: /etc/racoon/racoon.conf # pidfile: /var/run/racoon.pid # Source function library. . /etc/init.d/functions OPTS="" [ -f /etc/sysconfig/racoon ] && . /etc/sysconfig/racoon RETVAL=0 prog="racoon" start() { /etc/racoon/setkey.conf echo -n $"Starting $prog: " daemon racoon $OPTS RETVAL=$? echo [ $RETVAL -eq 0 ] && touch /var/lock/subsys/racoon return $RETVAL } stop() { echo -n $"Stopping $prog: " killproc racoon RETVAL=$? echo [ $RETVAL -eq 0 ] && rm -f /var/lock/subsys/racoon return $RETVAL } rhstatus () { status racoon } restart () { stop start } reload () { echo -n $"Reloading racoon daemon configuration: " killproc racoon -HUP RETVAL=$? echo return $RETVAL } case "$1" in start) start ;; stop) stop ;; restart) restart ;; reload) reload ;; status) rhstatus ;; condrestart) [ -f /var/lock/subsys/crond ] && restart || : ;; *) echo $"Usage: $0 {start|stop|status|reload|restart|condrestart}" exit 1 esac exit $?
-
mit „chmod 0744 /etc/init.d/racoon“ die Berechtigungen setzen.
-
ein „chkconfig –add racoon“ aktiviert das Script beim Booten
-
mit „service racoon start“ die Security Policy Database (SPD) laden (setkey.conf) und den Racoon-Dämon starten
-
geloggt wird nach /var/log/racoon
-
Um den Debuglevel zu erhöhen ggf. in /etc/sysconfig/racoon die -v Option um weitere v ergänzen, z.B.
OPTS="-f /etc/racoon/racoon.conf -l /var/log/racoon -vvv"