Я пытаюсь установить соединение IPsec между двумя системами. У меня есть настройки енота с обеих сторон. У клиента должен быть динамический IP-адрес, поэтому на сервере включены passive и generate_policy, а для offer_check установлено значение obey.
При такой настройке сервер генерирует политики, но они предназначены только для порта 500. Из-за этого трафик от сервера к клиенту (кроме порта 500) не инкапсулируется. Поскольку у клиента есть политика, требующая esp, этот входящий трафик игнорируется.
Я считаю, что политика настраивается на основе раздела sainfo клиента, поэтому я попытался изменить идентификатор с anonymous
на определенные адреса с портами, и это не работает.
Сервер racoon.conf:
remote anonymous
{
exchange_mode aggressive,main;
generate_policy on;
passive on;
verify_cert off;
ike_frag on;
my_identifier address;
lifetime time 2 min;
proposal_check obey;
proposal {
encryption_algorithm blowfish;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 5 ;
}
}
sainfo anonymous
{
pfs_group 5;
lifetime time 2 min;
encryption_algorithm blowfish ;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
}
Клиент racoon.conf
path pre_shared_key "/tmp/psk.txt";
remote 172.16.1.1
{
exchange_mode aggressive,base,main;
my_identifier keyid tag "client-test";
verify_cert off;
nat_traversal on;
script "/tmp/phase1-up.sh" phase1_up;
lifetime time 2 min;
initial_contact on;
proposal_check obey;
proposal {
encryption_algorithm blowfish;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 5 ;
}
}
sainfo anonymous
{
pfs_group 5;
lifetime time 2 min;
encryption_algorithm blowfish;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
}
Клиентские политики
#! /usr/sbin/setkey -f
flush;
spdflush;
spdadd 172.16.2.1 172.16.1.1 any -P out ipsec
esp/transport//require;
spdadd 172.16.1.1 172.16.2.1 any -P in ipsec
esp/transport//require;
Вам также потребуется соответствующая политика на сервере. Просто замените вход и выход в политике клиента, поместите его на сервер, и он должен работать нормально даже с удаленным анонимным доступом.