Az első érvényes sorban cseréljük le a 10.0.0.1 10.12.12.1 IP cím párost a mi két átjárónk IP címére a többit hagyjuk változatlanul. nálam ez a sor valahogy így néz ki a módosítás után:
193.224.41.14 195.228.210.98 :
PSK "jxmjSU5l33u5n2mkWSVu1j3URTRSu4WmST5nS
u5T4n5SWjuSRRSk5V1uV234jjTWuS5R11jkU"+
Másoljuk át a ipsec.conf fájlt a másik átjáróra, valamint az cseréljük ki a másik átjárón lévő /etc/ipsec.secrets fájl első sorát az általunk módosított verzióra. Tehát a konfigurációs fájlnak (legalábbis a főbb paramétereknek) és az ipsec.secrets első sorának meg kell egyezniük a két átjárón ! Indítsuk újra az ipsec-et mindkét átjárón:
/etc/init.d/ipsec restart
Ellenőrizzük a beállításunk eredményét:
ipsec whack --status
parancsra a következőhöz hasonlónak kell megjelennie:
000 interface ipsec0/eth0 193.224.41.14
000
000 "sample": 172.20.0.0/21===193.224.41.14---193.224.41.1...
000 "sample": ...195.228.210.97---195.228.210.98===172.20.24.0/21
000 "sample": ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s;
rekey_fuzz: 100%; keyingtries: 0
000 "sample": policy: PSK+ENCRYPT+TUNNEL+PFS; interface: eth0
000 "sample": newest ISAKMP SA: ##0; newest IPsec SA: #0; eroute owner: #0
Látható, hogy melyik interface lett kijelölve a tunnel számára, illetve a tunnel állomásainak címei, valamint, hogy PSK hitelesítésről van szó. Indítsuk el a minta kapcsolatunkat mindkét átjárón:
ipsec manual --up sample
Ellenőrizzük a kapcsolatot felépülését:
ipsec look
drama Sat May 12 11:39:35 CEST 2001 172.20.0.0/21 -> 172.20.24.0/21 => tun0x1002@195.228.210.98 esp0x55781b4@195.228.210.98 ipsec0->eth0 mtu=16260->1500 esp0x55781b4@195.228.210.98 ESP_3DES_HMAC_MD5: dir=out src=193.224.41.14 iv_bits=64bits iv=0x4dc1463cbc3f564c ooowin=64 alen=128 aklen=128 eklen=192 life(c,s,h)=add(5,0,0) esp0x64f26d26@193.224.41.14 ESP_3DES_HMAC_MD5: dir=in src=195.228.210.98 iv_bits=64bits iv=0xbe68ef595afac515 ooowin=64 alen=128 aklen=128 eklen=192 life(c,s,h)=add(5,0,0) tun0x1001@193.224.41.14 IPIP: dir=in src=195.228.210.98 life(c,s,h)=add(5,0,0) tun0x1002@195.228.210.98 IPIP: dir=out src=193.224.41.14 life(c,s,h)=add(5,0,0) Destination Gateway Genmask Flags MSS Window irtt Iface 0.0.0.0 193.224.41.1 0.0.0.0 UG 40 0 0 eth0 172.20.24.0 193.224.41.1 255.255.248.0 UG 40 0 0 ipsec0 193.224.41.0 0.0.0.0 255.255.255.0 U40 0 0 eth0
Ez azt jelenti, hogy egy tunnel épült fel tun0x1002 azonosítóval a 195.228.210.98 IP címig. Az ipsec0 logikai interface az eth0 fizikai interface-en alapul. A kimenő kapcsolat azonosítója
esp0x55781b4, a bejövő kapcsolaté esp0x64f26d26. Mindkét irányban ESP és 3DES kódolás van használatban MD5 hitelesítéssel. Az útválasztás során pedig a 172.20.24.0/255.255.248.0 hálózatnak szánt csomagok az ipsec0 interfacen fognak kilépni a külvilágba.
Fáradtságos munkánk eredménye az lesz, hogy a "bal" hálózat gépei el tudják érni a "jobb" hálózat gépeit (az átjárókról közvetlenül nem látszódnak az ellenoldali hálózat részét képező gépek, csak a logikailag mögöttük elhelyezkedő gépekről). A 172.20.0.0/21-es hálózat 172.20.3.16 IP című gépe például gond nélkül el tudja érni a 172.20.24.0/21-es hálózat 172.20.24.10 IP című gépét.
--- 172.20.24.10 ping statistics --- 10 packets transmitted, 10 packets received, 0% packet loss round-trip min/avg/max = 101.7/146.5/206.3 ms