Ipsec
如何讓 racoon 為所有埠生成安全策略?
我正在嘗試在兩個系統之間建立 IPsec 連接。我在兩邊都有浣熊設置。客戶端將擁有一個動態 IP 地址,因此在伺服器上,passive 和 generate_policy 處於打開狀態,proposal_check 設置為服從。
使用此設置,伺服器正在生成策略,但它們僅適用於埠 500。因此,從伺服器到客戶端的流量(埠 500 上的流量除外)沒有被封裝。由於客戶端有一個需要 esp 的策略,因此傳入的流量會被忽略。
我相信該策略是根據客戶端的 sainfo 節設置的,因此我嘗試將標識符從更改為
anonymous
具有埠的特定地址,但這不起作用。伺服器 racoon.conf:
remote anonymous { exchange_mode aggressive,main; generate_policy on; passive on; verify_cert off; ike_frag on; my_identifier address; lifetime time 2 min; proposal_check obey; proposal { encryption_algorithm blowfish; hash_algorithm sha1; authentication_method pre_shared_key; dh_group 5 ; } } sainfo anonymous { pfs_group 5; lifetime time 2 min; encryption_algorithm blowfish ; authentication_algorithm hmac_sha1; compression_algorithm deflate; }
客戶端 racoon.conf
path pre_shared_key "/tmp/psk.txt"; remote 172.16.1.1 { exchange_mode aggressive,base,main; my_identifier keyid tag "client-test"; verify_cert off; nat_traversal on; script "/tmp/phase1-up.sh" phase1_up; lifetime time 2 min; initial_contact on; proposal_check obey; proposal { encryption_algorithm blowfish; hash_algorithm sha1; authentication_method pre_shared_key; dh_group 5 ; } } sainfo anonymous { pfs_group 5; lifetime time 2 min; encryption_algorithm blowfish; authentication_algorithm hmac_sha1; compression_algorithm deflate; }
客戶政策
#! /usr/sbin/setkey -f flush; spdflush; spdadd 172.16.2.1 172.16.1.1 any -P out ipsec esp/transport//require; spdadd 172.16.1.1 172.16.2.1 any -P in ipsec esp/transport//require;
您還需要伺服器上的相應策略。只需替換客戶端策略上的輸入和輸出,將其放在伺服器上,即使使用遠端匿名它也應該可以正常工作。