тайная канцелярия

КОНСТАНТИН ГАВРИЛЕНКО

Спецвыпуск: Хакер, номер #068, стр. 068-056-7

path certificate "/etc/racoon/certs" — местонахождение директории с сертификатами;

remote anonymous { - открывает секцию конфигурации туннелей, для которых не прописана политика;

generate_policy on — включает режим установления политики безопасности, полученной от клиента;

nat_traversal force — использование механизма преодoления NAT во всех случаях;

ike_frag on — включение режима поддержки фрагментации IKE;

esp_frag 552 — включение режима поддержки фрагментации пакета до инкапсуляции в ESP;

ca_type x509 "cacert.pem" — имя файла CA;

certificate_type x509 "stalin.arhont.com.crt" "stalin.arhont.com.key" — тип и имя открытого сертификата и секретного ключа сервера;

verify_cert on — включение поддержки проверки сертификата клиента;

authentication_method hybrid_rsa_server — выбор hybrid_rsa_server метода аутентификации;

mode_cfg { — открытие секции конфигурации информации для клиента;

network4 192.168.1.1 — определение ряда ИП-адресов, назначаемых клиентам;

pool_size 128 — размер ряда ИП-адресов, назначаемых клиентам;

auth_source system — механизм аутентификации;

dns4 192.168.1.121 — ИП-адрес DNS-сервера, назначаемого клиентам;

banner "/etc/racoon/motd" — путь к файлу заголовка, передаваемому клиентам.

[конфигурация клиента.]

Процесс конфигурации клиента практически такой же, как и для сервера, за исключением некоторых опций в файле конфигурации Ракуна.

dyno racoon # cat racoon.conf

path certificate "/etc/racoon/certs";

listen {

isakmp 192.168.55.66 [500];

isakmp_natt 192.168.55.66 [4500];

strict_address;

}

remote 192.168.55.111 {

exchange_mode aggressive;

nat_traversal force;

ike_frag on;

esp_frag 552;

dpd_delay 60;

ca_type x509 "cacert.pem";

certificate_type x509 "berija.arhont.com.crt" "berija.arhont.com.key";

verify_cert on;

my_identifier asn1dn;

peers_identifier asn1dn;

verify_identifier off;

mode_cfg on;

script "/etc/racoon/phase1-up.sh" phase1_up;

script "/etc/racoon/phase1-down.sh" phase1_down;

passive off;

proposal {

lifetime time 120 min;

encryption_algorithm rijndael256;

hash_algorithm sha256;

authentication_method hybrid_rsa_client;

dh_group modp4096;

}

proposal_check obey;

}

sainfo anonymous {

lifetime time 30 minutes;

encryption_algorithm rijndael;

authentication_algorithm hmac_sha1;

compression_algorithm deflate;

pfs_group modp2048;

}

Обзор новых опций в файле конфигурации клиента:

mode_cfg on — включениe режима запроса опций клиента;

script "/etc/racoon/phase1-up.sh" phase1_up — путь к скрипту, используемому при выполнении первой фазы обмена;

script "/etc/racoon/phase1-down.sh" phase1_down — путь к скрипту, используемому при окончании первой фазы обмена.

После завершения конфигурации клиента запусти демон Ракун. В настоящей конфигурации политика безопасности не прописана, соответственно, ядро не знает, какие пакеты нуждаются в защите, и не инициирует соединение — это нужно сделать вручную.

инициирование туннеля

arhontus racoon # racoonctl vpn-connect -u g_kos 192.168.55.111

Password:

Bound to address 192.168.1.1