next up previous contents
Next: Automatikus kulcsú, RSA hitelesítés, Up: Manuális kulcsú, PSK (Phase Previous: Az /etc/ipsec.conf fájl   Tartalomjegyzék

Az /etc/ipsec.secrets fájl

Az első érvényes sorban cseréljük le a 10.0.0.1 10.12.12.1 IP cím párost a mi két átjárónk IP címére a többit hagyjuk változatlanul. nálam ez a sor valahogy így néz ki a módosítás után:

193.224.41.14 195.228.210.98 : 
PSK "jxmjSU5l33u5n2mkWSVu1j3URTRSu4WmST5nS
     u5T4n5SWjuSRRSk5V1uV234jjTWuS5R11jkU"+

Másoljuk át a ipsec.conf fájlt a másik átjáróra, valamint az cseréljük ki a másik átjárón lévő /etc/ipsec.secrets fájl első sorát az általunk módosított verzióra. Tehát a konfigurációs fájlnak (legalábbis a főbb paramétereknek) és az ipsec.secrets első sorának meg kell egyezniük a két átjárón ! Indítsuk újra az ipsec-et mindkét átjárón:



/etc/init.d/ipsec restart



Ellenőrizzük a beállításunk eredményét:



ipsec whack --status



parancsra a következőhöz hasonlónak kell megjelennie:

000 interface ipsec0/eth0 193.224.41.14
000  
000 "sample": 172.20.0.0/21===193.224.41.14---193.224.41.1...
000 "sample": ...195.228.210.97---195.228.210.98===172.20.24.0/21
000 "sample":   ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; 
                rekey_fuzz: 100%; keyingtries: 0
000 "sample":   policy: PSK+ENCRYPT+TUNNEL+PFS; interface: eth0
000 "sample":   newest ISAKMP SA: ##0; newest IPsec SA: #0; eroute owner: #0

Látható, hogy melyik interface lett kijelölve a tunnel számára, illetve a tunnel állomásainak címei, valamint, hogy PSK hitelesítésről van szó. Indítsuk el a minta kapcsolatunkat mindkét átjárón:



ipsec manual --up sample



Ellenőrizzük a kapcsolatot felépülését:



ipsec look

drama Sat May 12 11:39:35 CEST 2001
172.20.0.0/21      -> 172.20.24.0/21     
=> tun0x1002@195.228.210.98 esp0x55781b4@195.228.210.98
ipsec0->eth0 mtu=16260->1500
esp0x55781b4@195.228.210.98 ESP_3DES_HMAC_MD5: dir=out 
  src=193.224.41.14 iv_bits=64bits iv=0x4dc1463cbc3f564c 
  ooowin=64 alen=128 aklen=128 eklen=192 life(c,s,h)=add(5,0,0)
esp0x64f26d26@193.224.41.14 ESP_3DES_HMAC_MD5: dir=in  
  src=195.228.210.98 iv_bits=64bits iv=0xbe68ef595afac515 
  ooowin=64 alen=128 aklen=128 eklen=192 life(c,s,h)=add(5,0,0)
tun0x1001@193.224.41.14 IPIP: dir=in  
  src=195.228.210.98 life(c,s,h)=add(5,0,0)
tun0x1002@195.228.210.98 IPIP: dir=out 
  src=193.224.41.14 life(c,s,h)=add(5,0,0)
Destination     Gateway Genmask Flags   MSS Window  irtt Iface
0.0.0.0 193.224.41.1    0.0.0.0 UG       40 0  0 eth0
172.20.24.0     193.224.41.1    255.255.248.0   UG       40 0  0 ipsec0
193.224.41.0    0.0.0.0 255.255.255.0   U40 0  0 eth0

Ez azt jelenti, hogy egy tunnel épült fel tun0x1002 azonosítóval a 195.228.210.98 IP címig. Az ipsec0 logikai interface az eth0 fizikai interface-en alapul. A kimenő kapcsolat azonosítója
esp0x55781b4, a bejövő kapcsolaté esp0x64f26d26. Mindkét irányban ESP és 3DES kódolás van használatban MD5 hitelesítéssel. Az útválasztás során pedig a 172.20.24.0/255.255.248.0 hálózatnak szánt csomagok az ipsec0 interfacen fognak kilépni a külvilágba.

Fáradtságos munkánk eredménye az lesz, hogy a "bal" hálózat gépei el tudják érni a "jobb" hálózat gépeit (az átjárókról közvetlenül nem látszódnak az ellenoldali hálózat részét képező gépek, csak a logikailag mögöttük elhelyezkedő gépekről). A 172.20.0.0/21-es hálózat 172.20.3.16 IP című gépe például gond nélkül el tudja érni a 172.20.24.0/21-es hálózat 172.20.24.10 IP című gépét.

--- 172.20.24.10 ping statistics ---
10 packets transmitted, 10 packets received, 0% packet loss
round-trip min/avg/max = 101.7/146.5/206.3 ms


next up previous contents
Next: Automatikus kulcsú, RSA hitelesítés, Up: Manuális kulcsú, PSK (Phase Previous: Az /etc/ipsec.conf fájl   Tartalomjegyzék
Feczak Szabolcs 2001-05-26