Az /etc/ipsec.rsasigkeys fájl

conn %default
	leftid=@drama.obuda.kando.hu
	leftrsasigkey=0x01038cd34d4799676b82f391eb54ce810e5bde33fd575e9
	21ea1a917a21c6e0e69d3a19cf0db7d95566e842bc633636ef182c0a2404a06
	aedce7b52fb32fb8147324488b7be2013396090212021f6179139e2a796b871
	895b8f23c9a868ac2d33738f4b345cfe6123bc63b6df65d4fcdbaadcfb7534c
	5ebb050855c9e7326d2303abe8090b97cfc6070e4bba5f78f17591292a28d20
	dcc47aa6994c88f05c78597d5cf8faa1104113de15ca4a8e7d53c0efb7a0290
	f5e13d6a724f23547f81154f6ecbff3669fd5bfdd91577d3182aced88d68f99
	220682673028ced874abee6c6f816ee0a5b304bfb65d638fd8615dc597bb253
	681f347964de603579d6bef2e583
	rightid=@firewall.matesz.hu	
	rightrsasigkey=0x01037ac40bf718ac6d02e9909f77c6ba222b484a36ce2d
	646c77bd2bc1d4b22cc508a8d4766724ccc4fc4ed5374e22f0fded53fdff840
	ca619d822fedd4e5886fb43b29b48dbb33eceb47cb744991e4566fbaec9fd5d
	03cc5f2ddf6e790eee40f837473734cc7fdd26046f5d3ff0d191cbc3ec11574
	d39e35387e5ae4d74a2a1d88f7f64e853df48a2ea201dd120b33bb51851d2ef
	1aa21e314ea0c338a84b4caca2979ea045c76331e7bf617234e585c288225e7
	a5d7dfc4b949307b0e656072e2dc5b6d57b97ae85e6de3d5d7816c1c67df391
	4f1aba22920632ebf7feb2583cb7fb245ef62b56794c9a2048f72d0865b779d
	2a487aef0f64e386fbc11c1b1d5fb

ahol az egyes kulcsok (rsasigkey) az adott átjárón lévő
/etc/ipsec.secrets pubkey értékei. Az azonosítók (id) pedig az átjárók @ jellel kezdett FQDN (Fully Qualified Domain Name) nevei. A @ azt jelenti, hogy ne próblája meg feloldani a nevet IP címre, ami azért hasznos, mert a konfiguráció akkor is működik, ha esetleg a DNS szerver nem működne, vagy valaki kompromittálná azt. ID-nek alkalmazható még IP cím, ami nem túl informatív egy ember számára, illetve felhasználó@FQDN. A konfiguráció módosítása után másoljuk át a fájlokat a másik átjáróra is és indítsuk újra mindkét gépen az ipsecet:

/etc/init.d/ipsec restart

Most már nem szükséges kézzel felépítenünk a kapcsolatokat, mivel az auto értékét start-ra állítottuk.

Ellenőrizzük a beállításainkat:

ipsec whack --status
000 interface ipsec0/eth0 193.224.41.14
000  
000 "sample": 172.20.0.0/21===193.224.41.14---193.224.41.1...
000 "sample": ...195.228.210.97---195.228.210.98===172.20.24.0/21
000 "sample":   ike_life: 3600s; ipsec_life: 28800s; 
                rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0
000 "sample":   policy: RSASIG+ENCRYPT+TUNNEL+PFS; interface: eth0; routed
000 "sample":   newest ISAKMP SA: #1; newest IPsec SA: #3; eroute owner: #3
000  
000 #3: "sample" STATE_QUICK_R2 (IPsec SA established); 
                 EVENT_SA_REPLACE in 28516s; newest IPSEC; 
		 eroute owner000 #3: "sample" 
		 esp.9b1088c5@195.228.210.98 esp.699edf5@193.224.41.14 
                 tun.1004@195.228.210.98 tun.1003@193.224.41.14
000 #2: "sample" STATE_QUICK_I2 (sent QI2, IPsec SA established); 
                 EVENT_SA_REPLACE in 28022s
000 #2: "sample" esp.9b1088c4@195.228.210.98 esp.699edf4@193.224.41.14 
                 tun.1002@195.228.210.98 tun.1001@193.224.41.14
000 #1: "sample" STATE_MAIN_I4 (ISAKMP SA established); 
                 EVENT_SA_REPLACE in 2580s; newest ISAKMP

látható, hogy már RSASIG hitelesítés van alkalmazásban. Ezek után teszteljük, hogy elérik-e egymást a VPN tagjai.