Общие сведения по настройке защищённого соединения
Статья включает:
IPsec - это протокол безопасности на межсетевом уровне. В ЗОСРВ Нейтрино используется пакет реализации протокола IPsec ipsec-tools. Для создания SA (безопасных ассоциаций) с другими хостами используется сервер racoon. Для настройки SA и SP (политики безопасности) используется утилита setkey.
Для настройки соединения необходимо задать SP с помощью setkey, создать файл с ключами и создать конфигурационный файл сервера racoon. Пусть имеется локальная сеть 192.168.0.0/16, host1 - 192.168.1.1, host2 - 192.168.1.2. На host1 для получения зашифрованного трафика создан интерфейс с адресом 10.10.1.1/24, на host2 - 10.10.1.2/24. Тогда на host1 и host2 необходимо, запустить io-pkt-* с поддержкой IPsec, настроить SP с помощью setkey и создать соединение с помощью racoon. Примеры файлов настройки для host1 приведены ниже (для host2 файлы аналогичны за исключением IP-адресов).
Файл setkey.conf
flush; spdflush; spdadd 10.10.1.2/32 10.10.1.1/32 any -P in ipsec esp/tunnel/192.168.1.2-192.168.1.2/require; spdadd 10.10.1.1/32 10.10.1.2/32 any -P out ipsec esp/tunnel/192.168.1.2-192.168.1.1/require;
Файл racoon.conf
path pre_shared_key "/etc/racoon.d/psk.txt"; log debug; listen { isakmp 192.168.1.1 [500]; } remote 192.168.1.2 { nat_traversal off; exchange_mode main,aggressive; my_identifier address 192.168.1.1; proposal { encryption_algorithm 3des; hash_algorithm sha1; authentication_method pre_shared_key; dh_group modp1024; lifetime time 86400 sec; } } sainfo anonymous { pfs_group modp1024; lifetime time 28800 sec; encryption_algorithm 3des; authentication_algorithm hmac_sha1; compression_algorithm deflate; }
Файл psk.txt
192.168.1.1 PSWD
Пример запуска io-pkt-* с поддержкой IPsec:
# io-pkt-ksz -de1000 -ptcpip ipsec auditksz=1
Настройка SP с помощью setkey:
# setkey -f setkey.conf
Создание соединения с помощью racoon:
# racoon -f racoon.conf
Проверка соединения со стороны host1:
# ping -c10 -I 10.10.1.1 10.10.1.2
Для дополнительной проверки шифрования данных можно запустить tcpdump на host2:
# tcpdump -vvv src 192.168.1.1
Полученный вывод tcpdump должен содержать информацию о том, что это пакет протокола ESP:
16:28:36.442292 IP (tos 0x0, ttl 64, id 9159, offset 0, flags [none], proto ESP (50), length 136) 192.168.1.1 > 192.168.1.2: ESP(spi=0x0151e75a,seq=0x3), length 116
Предыдущий раздел: перейти