Hi
Képtelen vagyok megoldani ezt az egyszerű dolgot. persze sehol nem találtam rendesen leírva win alá mi kell ipsechez.
debian:/etc/racoon/cert# openssl genrsa -des3 -out ca.key 1024
debian:/etc/racoon/cert# openssl req -new -x509 -days 365 -key ca.key -out ca.crt
racoon.conf:
certificate_type x509 "ca.cer" "ca.crt";
psk val működik a dolog tehát többi rendben.
Majd winbe local tanusítványhoz fel veszem a legfelső szintű be a ca.crt t.
Ipsec kapcsolat nem megy windows ezt mondja oakley log ba:
4-16: 16:47:40:697:2b8 Forrás IP-címe: 192.168.1.144 Forrás IP-címének maszkja: 255.255.255.255 Cél IP-címe: 192.168.1.147 Cél IP-címének maszkja: 255.255.255.255 Protokoll: 0 Forrás portja: 0 Cél portja: 0 IKE helyi cím 192.168.1.144 IKE peer cím 192.168.1.147
4-16: 16:47:40:697:2b8 Tanúsítvánnyal hitelesített identitás. Peer IP-címe: 192.168.1.147
4-16: 16:47:40:697:2b8 Én
4-16: 16:47:40:697:2b8 Az internetes kulcscsere nem talált érvényes számítógép-tanúsítványt
4-16: 16:47:40:697:2b8 0x80092004 0x0
Vajon miért mondja ezt?
hiába rakom Computer Személyes be akkor se.
UPDATE fenti működik
most szeretném ezt:
Viszont most azt szeretném hogy a kliens minden forgalma titkosított legyen GW felé(ez most linuxos ipsec), tehát NAT olt forgalom is titkosítva legyen.
hogy állítsam be setkey t ? valaki tipp?
GW:172.16.0.1
GW external: 192.168.1.147
kliens:172.16.0.144
most ez van ami nyílván nem elég:
spdadd 172.16.0.1/32 172.16.0.144/32 any -P out ipsec esp/transport//require;
spdadd 172.16.0.144/32 172.16.0.1/32 any -P in ipsec esp/transport//require;
- 995 megtekintés
Hozzászólások
Jól látom, hogy csak a CA certet veszed fel windows alatt?
A kliens certjét nem kellene létrehozni, kliens.key, titkos kulcs, CA.cert a windows-on kliens.cert a másik oldalon? Vagy nem így működik windows alatt?
- A hozzászóláshoz be kell jelentkezni
kössz valóban kell kliensnek cert amit sajátCA val írok alá.
Így működik.
Viszont most azt szeretném hogy a kliens minden forgalma titkosított legyen GW felé(ez most linuxos ipsec), tehát NAT olt forgalom is titkosítva legyen.
hogy állítsam be setkey t ? valaki tipp?
GW:172.16.0.1
GW external: 192.168.1.147
kliens:172.16.0.144
most ez van ami nyílván nem elég:
spdadd 172.16.0.1/32 172.16.0.144/32 any -P out ipsec esp/transport//require;
spdadd 172.16.0.144/32 172.16.0.1/32 any -P in ipsec esp/transport//require;
- A hozzászóláshoz be kell jelentkezni
valaki? egyáltalán lehet ilyet?
lényeg szeretném ha titkosítottan menjen mindne forgalom belső hálózaton ami GW n keresztűl megy
- A hozzászóláshoz be kell jelentkezni