Racoon, konfiguracja tunelu VPN

egow · Post autor: **egow** » 13 grudnia 2012, 13:01

Mam zrobić tunel VPN o następujących parametrach:

Adres publiczny, mój określony jako IP_A, zdalny jako IP_B

sieć połączeniowa 10.0.0.128/30
adres tam 10.0.0.129
adres tu 10.0.0.130
adresy źródłowe tu 10.0.1.0/28

 Faza 1Authentication-method: rsa-signatures
Diffie-Hellman-group: group2
Authentication-algorithm: sha1
Encryption-algorithm: aes-256-cbc
Lifetime-seconds: 86400
Faza 2
Protocol: esp
Authentication-algorithm: hmac-sha1-96
Encryption-algorithm: aes-256-cbc
Lifetime-seconds: 3600

racoon.conf:

Kod: Zaznacz cały

 path certificate "/etc/racoon/certs"
remote IP_B
{
    exchange_mode main,base,aggressive;


    my_identifier address IP_A;
    peers_identifier address IP_B;


    lifetime time 86400 sec ;    # sec,min,hour


    # phase 1 proposal (for ISAKMP SA)
    proposal {
        encryption_algorithm aes 256;
        hash_algorithm sha1 ;
        authentication_method rsasig ;
        dh_group 2 ;
    }


    proposal_check strict;
}


sainfo anonymous
{
    pfs_group 2 ;
    lifetime time 3600 sec ;
    encryption_algorithm aes 256 ;
    authentication_algorithm hmac_sha1 ;
    compression_algorithm deflate ;
}

ipsectools.conf

Kod: Zaznacz cały

  flush;
 spdflush;


spdadd 10.0.0.0/28 IP_B/32 any -P out
ipsec esp/tunnel/10.0.0.130-10.0.0.129/require;
 
spdadd IP_B/32 10.0.0.0/28 any -P in
ipsec esp/tunnel/10.0.0.129-10.0.0.130/require;

W logach pojawia się błąd:

Kod: Zaznacz cały

ERROR: no supported certtype 0
oraz
DEBUG: no remote configuration found
ERROR: no configuration found

Niestety, nie daję rady ogarnąć co nie działa, nie zajmowałem się tym wcześniej, to co tu wpisałem to próby pójścia według poradników itp. Pliki otrzymane od drugiej strony umieściłem w /etc/racoon/certs.
Jeśli ktoś miałby chwilę i rzucił okiem co jest źle w konfiguracji i podsunął wskazówki czego szukać, będę wdzięczny.

sethiel · Post autor: **sethiel** » 18 grudnia 2012, 12:44

Mnie osobiście dużo łatwiej konfiguruje się racoona używając racoon-tool.conf - mniej się trzeba opisać, ładniej to jest rozmieszczone - jakieś to takie bardziej logiczne.

Podczas instalacji pada zawsze pytanie jak chcesz konfigurować racoona - racoon.conf czy racoon-tool.conf.

Racoon-tool wygląda mniej więcej tak:
Sekcja globalna (w sekcjach lokalnych się część będzie powtarzać więc nadmiar można usunąć).

Kod: Zaznacz cały

# How to control the syslog level
global:
    log: notify
    path_pre_shared_key: /etc/racoon/psk.txt
    path_certificate: /etc/racoon/certs
#   path_racoon_conf: /var/lib/racoon/racoon.conf

peer(%default):
    verify_identifier: on
    hash_algorithm[0]: sha1
    encryption_algorithm[0]: 3des

connection(%default):
     src_ip: xxx.xxx.xxx.xxx #<- tutaj wstaw własny adres IP (jeśli  masz kilka interfejsów np. to wpisujesz ten który nasłuchuje)

sekcja lokalna

Kod: Zaznacz cały

peer(xxx.xxx.xxx.xxx): #<- adres IP maszynki do której się łączysz
    hash_algorithm[2]: sha1
    encryption_algorithm[2]: 3des
    lifetime: time 86400 seconds
    dh_group[1]: modp768
    passive: off
    peers_identifier: address

#podsieci które chcesz przekazywać
connection(WRO-do-WAW):
    authentication_algorithm: hmac_sha1
    encryption_algorithm: 3des
    pfs_group: 1
    dst_ip: xxx.xxx.xxx.xxx #<- adres IP maszynki do której się łączysz
    src_range: 192.168.220.0/23
    dst_range: 192.168.240.0/23
    admin_status: enabled

connection(WRO_ADM-do-WAW):
    dst_ip: xxx.xxx.xxx.xxx #<- adres IP maszynki do której się łączysz
    src_range: 10.0.10.0/24
    dst_range: 192.168.240.0/23
    admin_status: enabled

ipsec-tools.conf mam pusty. Ale mam shorewall który robi za menedżera iptables i menedżera ruchu.

Odpowiedź moja troszkę "od czapy" ale może coś Ci to pomoże.