Ipsec

如何讓 racoon 為所有埠生成安全策略?

  • February 22, 2012

我正在嘗試在兩個系統之間建立 IPsec 連接。我在兩邊都有浣熊設置。客戶端將擁有一個動態 IP 地址,因此在伺服器上,passive 和 generate_policy 處於打開狀態,proposal_check 設置為服從。

使用此設置,伺服器正在生成策略,但它們僅適用於埠 500。因此,從伺服器到客戶端的流量(埠 500 上的流量除外)沒有被封裝。由於客戶端有一個需要 esp 的策略,因此傳入的流量會被忽略。

我相信該策略是根據客戶端的 sainfo 節設置的,因此我嘗試將標識符從更改為anonymous具有埠的特定地址,但這不起作用。

伺服器 racoon.conf:

remote anonymous
{
       exchange_mode aggressive,main;
       generate_policy on;
       passive on;
       verify_cert off;
       ike_frag on;

       my_identifier address;

       lifetime time 2 min;
       proposal_check obey;

       proposal {
               encryption_algorithm blowfish;
               hash_algorithm sha1;
               authentication_method pre_shared_key;
               dh_group 5 ;
       }
}

sainfo anonymous
{
       pfs_group 5;
       lifetime time 2 min;
       encryption_algorithm blowfish ;
       authentication_algorithm hmac_sha1;
       compression_algorithm deflate;
}

客戶端 racoon.conf

path pre_shared_key "/tmp/psk.txt";

remote 172.16.1.1
{
       exchange_mode aggressive,base,main;
       my_identifier keyid tag "client-test";
       verify_cert off;
       nat_traversal on;
       script "/tmp/phase1-up.sh" phase1_up;
       lifetime time 2 min;
       initial_contact on;
       proposal_check obey;

       proposal {
               encryption_algorithm blowfish;
               hash_algorithm sha1;
               authentication_method pre_shared_key;
               dh_group 5 ;
       }
}

sainfo anonymous
{
       pfs_group 5;
       lifetime time 2 min;
       encryption_algorithm blowfish;
       authentication_algorithm hmac_sha1;
       compression_algorithm deflate;
}

客戶政策

#! /usr/sbin/setkey -f
flush;
spdflush;
spdadd 172.16.2.1 172.16.1.1 any -P out ipsec
   esp/transport//require;
spdadd 172.16.1.1 172.16.2.1 any -P in ipsec
   esp/transport//require;

您還需要伺服器上的相應策略。只需替換客戶端策略上的輸入和輸出,將其放在伺服器上,即使使用遠端匿名它也應該可以正常工作。

引用自:https://serverfault.com/questions/261866