next up previous contents
Next: Az /etc/ipsec.secrets fájl Up: Manuális kulcsú, PSK (Phase Previous: Manuális kulcsú, PSK (Phase   Tartalomjegyzék

Az /etc/ipsec.conf fájl

A config setup részt változatlanul hagyhatjuk. A conn %default részben a következő sorok elé tegyünk # jelet:



#leftrsasigkey=%dns
#rightrsasigkey=%dns



mivel nem RSA hitelesítést fogunk alkalmazni, ebben a beállításban nem lesz szükségünk RSA aláíró kulcsokra. Egyébként ha RSA-t alkalmazunk, akkor sem gyakori, hogy a nyilvános kulcsokat az ellenoldali DNS szerverből származtassuk, mivel ehhez a DNS szervert is le kell cserélnünk egy biztonságosabb változatra a DNSSEC-re, ami jelen pillanatban még csak prototípus állapotban létezik. Bővebb információ található a project lapján: http://www.toad.com/ dnssec/

Az authby értékét állítsuk át rsasig-ről secret-re, ezzel közöltük, hogy PSK hitelesítésről lesz szó. A conn sample részben a left értéke legyen az egyik átjáró IP címe, right a másik átjáró címe. leftnexthop értéke legyen a left IP című átjáróról traceroute right paranccsal kapott első IP cím, rightnexthop értéke pedig a right IP című átjáróról traceroute left paranccsal kapott első IP cím. A leftsubnet értéke a left IP című átjáró mögött elhelyezkedő hálózat címe és maszkja, míg a rightsubnet a right IP című átjáró mögött elhelyezkedő hálózat címe és maszkja. A kiosztásnál úgy gondoljunk a left és right oldalra, mint A és B részre, nem pedig egy viszonylagos szemszögre. Ami az egyik gép konfigurációs állományában left, az a másik gép konfigurációs állományában is ugyanazt az értéket kell tartalmazza. A FreeSwan fel fogja ismerni, hogy melyik oldal melyik. Engedélyezzük az



auto=add



sort, amivel azt érjük el, hogy az ipsec_pluto betölti a kapcsolat leírásokat az adatbázisába induláskor, de nem próbálja meg felépíteni azokat, csak akkor ha erre kifejezett utasítást kap. A kész konfigurációs fájl nálam a következőképpen néz ki: 

config setup
	interfaces=%defaultroute
	klipsdebug=none
	plutodebug=none
	plutoload=%search
	plutostart=%search
	uniqueids=yes

conn %default
	keyingtries=0
	spi=0x200
	esp=3des-md5-96
	espenckey=0x01234567_89abcdef_02468ace_13579bdf_12345678_9abcdef0
	espauthkey=0x12345678_9abcdef0_2468ace0_13579bdf
	authby=secret

	conn sample
	left=193.224.41.14
	leftnexthop=193.224.41.1
	leftsubnet=172.20.0.0/21
	right=195.228.210.98
	rightnexthop=195.228.210.97
	rightsubnet=172.20.24.0/21
	auto=add

next up previous contents
Next: Az /etc/ipsec.secrets fájl Up: Manuális kulcsú, PSK (Phase Previous: Manuális kulcsú, PSK (Phase   Tartalomjegyzék
Feczak Szabolcs 2001-05-26