Thomas: /* /etc/setkey.conf */

2014-10-17T09:23:52Z

/etc/setkey.conf

Thomas: /* installation */

2014-10-17T08:32:05Z

installation

Thomas: /* /etc/setkey.conf */

2014-10-17T08:28:55Z

/etc/setkey.conf

Thomas: Die Seite wurde neu angelegt: „==/etc/setkey.conf== #!/usr/sbin/setkey -f flush; spdflush; spdadd 192.168.254.0/24 192.168.200.0/21 any -P out ipsec esp/tunnel/217.91.41.188-217.…“

2014-08-06T14:27:16Z

Die Seite wurde neu angelegt: „==/etc/setkey.conf== #!/usr/sbin/setkey -f flush; spdflush; spdadd 192.168.254.0/24 192.168.200.0/21 any -P out ipsec esp/tunnel/217.91.41.188-217.…“

Neue Seite

==/etc/setkey.conf==
#!/usr/sbin/setkey -f
flush;
spdflush;
spdadd 192.168.254.0/24 192.168.200.0/21 any -P out ipsec
esp/tunnel/217.91.41.188-217.89.52.3/require;

spdadd 192.168.200.0/21 192.168.254.0/24 any -P in ipsec
esp/tunnel/217.89.52.3-217.89.52.3/require;

==starten von setkey==
setkey -f /etc/setkey.conf

==/etc/racoon.conf==
path pre_shared_key "/etc/psk.txt";
remote 217.89.52.3 {
exchange_mode main;
proposal {
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method pre_shared_key;
dh_group modp1536;
}
}

sainfo address 192.168.254.0/24 any address 192.168.200.0/21 any {
pfs_group modp1536;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}

==/etc/psk.txt==
217.89.52.3 schmeich-daneich-gleich

==starten von racoon==
racoon -Ff /etc/racoon.conf

==optionen==

*-D:
Diese Option gibt sämtliche Optionen der SAD aus (Dump). Wenn zusätzlich die
Option -P angegeben wird. so werden die Einträge der SPD ausgegebn

*-F
löscht sämtliche Einträge der SAD (Flush). mit der Option -P die der SPD.

*-P
Die Befehle beziehen sich auf die SPD anstelle der SAD

*-a
Üblicherweise werden >>tote<< Einträge der SAD nicht angezeigt >>Tote>> Einträge sind in ihrere Gültigkeit abgelaufen, werden aber noch von der SPD referenziert. Die Option zeigt die auch diese Einträge an.

*-d
Debugging

*-x
Die Ausgabe von PF_KEY Nachrichten

*-h
Die Ausgabe von PF_KEY Nachrichten (-x) erfolgt hexadezimal.

*-l
Diese Option kann mit -D verwendet werden, um eine Endlosschleife zu ermöglichen.

*-v
Verbose

*-f Datei
Liest die durchzuführenden Operationen aus der Datei angegebenen Datei

*-c
Liest die durchzuführenden Operationen von der Standardeingabe

=Setkey=
==Beispiele==
===setkey -D===
Es werden im gegensatz zu freeSwan pro Verbindung beide SA angezeigt

217.91.41.188 195.126.25.114
esp mode=tunnel spi=192052657(0x0b727db1) reqid=0(0x00000000)
E: 3des-cbc 406251c5 6af6b591 2b2e0109 ffa2f05f 423744ba 14df0774
A: hmac-sha1 0788b440 b2dd469c 93b88012 76664bbb e2cdaa4d
seq=0x00000000 replay=4 flags=0x00000000 state=mature
created: Mar 10 18:40:34 2005 current: Mar 10 18:56:45 2005
diff: 971(s) hard: 1800(s) soft: 1440(s)
last: Mar 10 18:41:04 2005 hard: 0(s) soft: 0(s)
current: 19056(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 111 hard: 0 soft: 0
sadb_seq=1 pid=4353 refcnt=0

195.126.25.114 217.91.41.188
esp mode=tunnel spi=191108491(0x0b64158b) reqid=0(0x00000000)
E: 3des-cbc 04885478 40f6b5f8 4007a5ed 7154fb9c 62da3b15 9fd65fba
A: hmac-sha1 b7451dd9 d92f96c3 6e969df6 08480060 0a5e1eef
seq=0x00000000 replay=4 flags=0x00000000 state=mature
created: Mar 10 18:40:34 2005 current: Mar 10 18:56:45 2005
diff: 971(s) hard: 1800(s) soft: 1440(s)
last: Mar 10 18:41:04 2005 hard: 0(s) soft: 0(s)
current: 15821(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 122 hard: 0 soft: 0
sadb_seq=5 pid=4353 refcnt=0

===setkey -PD===
Anzeige der SPD
10.10.0.0/16[any] 192.168.254.0/24[any] any
in ipsec
esp/tunnel/62.153.160.226-217.89.52.3/require
created: Mar 10 18:18:40 2005 lastused:
lifetime: 0(s) validtime: 0(s)
spid=152 seq=13 pid=4354
refcnt=1

10.10.0.0/16[any] 192.168.254.0/24[any] any
fwd ipsec
esp/tunnel/62.153.160.226-217.89.52.3/require
created: Mar 10 18:18:40 2005 lastused: Mar 10 18:25:08 2005
lifetime: 0(s) validtime: 0(s)
spid=162 seq=7 pid=4354
refcnt=1

===setkey -F===
Löschen der der SAD

===setkey -PF===
Löschen der der SPD

===setkey -f /etc/setkey.conf===
Konfigurieren der SAD und der SPD durch die Datei /etc/setkey.conf

===setkey -x===
Ausgabe des PK_KEY Kommunikationskanals
19:08:59.321550
19:08:59.322225

===setkey -xH===
Ausgabe des PK_KEY Kommunikationskanals Hexadezimal
19:10:24.969068
00000000: 02 0b 00 01 02 00 00 00 00 00 00 00 19 11 00 00
19:10:24.970090
00000000: 02 0b 00 01 02 00 00 00 00 00 00 00 19 11 00 00

===setkey -Dl===
Fortlaufende Anzeige der SAD
time p s spi ltime src -> dst
1113 esp M 07d5e3c9 209/big 195.126.25.114 -> 217.91.41.188
1113 esp M 02e5ee9e big/big 62.153.160.226 -> 217.91.41.188
1113 esp M 095be1c4 big/big 217.89.52.3 -> 217.91.41.188
1113 esp M 28ffcdfc big/big 217.91.41.188 -> 217.89.52.3
1113 esp M 08fb1b4f 209/big 217.91.41.188 -> 195.126.25.114

=Windows Roadwarrior=

*Anlegen eines Verzeichnis /var/ssl
mkdir /var/ssl
cd /var/ssl

*Erstellen einer root-CA
CA.sh -newca

*Erstellen eines Zertifikats
CA.sh -newreq

*Signieren des Zertifikats
CA.sh -sign

*Umbennnen des Zertifikats
mv newcert.pem rechnername.pem

*Umbennnen des Keys
mv newreq.pem rechnername.key

*Löscharbeiten
Löschen Sie beginnend mit
-----BEGIN CERTIFICATE REQUEST----- bis zum Ende
alles aus rechnername.key, so daß die Datei mit
-----BEGIN RSA PRIVATE KEY----- anfängt und mit
-----END RSA PRIVATE KEY------- endet.

*Generieren Sie eine Certificate Revocation List mit
openssl ca -gencrl -out crl.pem

*Anlegen eines Verzeichnis /etc/certs
mkdir /etc/certs

*Kopieren
mkdir /etc/certs
cp rechnername.pem /etc/certs
cp rechnername.key /etc/certs
cp clr.pem /etc/certs
cp demoCA/cacert.pem /etc/certs

*Anlegen der Links
ln -s cacert.pem $(openssl x509 -noout -hash -in cacert.pem).0
ln -s crl.pem $(openssl x509 -noout -hash -in cacert.pem).r0

*Überprüfung
ls -F''
158606c5.0@ 158606c5.r0@ cacert.pem crl.pem duras.xinux.com.key duras.xinux.com.pem

*Entschlüssel des Privaten Schlüssel für Racoon
openssl rsa -in rechnername.key -out rechnername.key

*Windows Client auf dem CA host

*Erstellen eines Zertifikats
CA.sh -newreq

*Signieren des Zertifikats
CA.sh -sign

*Umbennnen des Zertifikats
mv newcert.pem windows.pem

*Umbennnen des Keys
mv newreq.pem windows.key

*Löscharbeiten
Löschen Sie beginnend mit
-----BEGIN CERTIFICATE REQUEST----- bis zum Ende
alles aus dem windows.key, so daß die Datei mit
-----BEGIN RSA PRIVATE KEY----- anfängt und mit
-----END RSA PRIVATE KEY------- endet.

*Umwandeln p12 Format
openssl pkcs12 -export -in windows.pem -inkey windows.key -certfile demoCA/cacert.pem -out windows.p12

*Der DN der CA
openssl x509 -in demoCA/cacert.pem -noout -subject

=Linux Roadwarrior=

*Nach dem Erstellen der Zertifikate wie unter [[X509_ruck_zuck | x509 ruckzuck]] beschrieben müssen die pem, key und die cacert.pem Datei auf den Roadwarrior kopiert werden. Am besten in das Verzeichnis /etc/racoon/certs.

*Als nächstes muss die cacert.pem eine OpenSSL konforme Benennung erhalten.
ln -s cacert.pem $(openssl x509 -noout -hash -in cacert.pem).0

*Dann muss das Passowrt aus dem Privaten Schlüssel enfernt werden.
openssl rsa -in roadwarrior.key -out-roadwarrior.key

*Dann werden 2 Template Dateien erzeugt
#/etc/racoon/racoon.xinux.conf
path certificate "/etc/racoon/certs";
remote 217.91.41.188 {
exchange_mode main;
certificate_type x509 "/etc/racoon/certs/trixie.pem" "/etc/racoon/certs/trixie.key";
verify_cert on;
my_identifier asn1dn;
peers_identifier asn1dn;
proposal {
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method rsasig;
dh_group modp1024;
}
}
sainfo address x-x-x any address 192.168.254.0/24 any {
pfs_group modp1024;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}

#!/usr/bin/setkey -f
#/etc/raccon/setkey.xinux.key
flush;
spdflush;
spdadd x-x-x 192.168.254.0/24 any -P out ipsec esp/tunnel/x-x-x-217.91.41.188/require;
spdadd 192.168.254.0/24 x-x-x any -P in ipsec esp/tunnel/217.91.41.188-x-x-x/require;

*Dann wird noch das Start Stop Skript erstellt /usr/local/bin/vpn

!/bin/bash
case $1 in
start)
echo starte vpn
IP=$(ifconfig ippp0 | grep inet | tr -s " " | cut -f 3 -d " " | cut -f 2 -d :)
sed -e "s/x-x-x/$IP/g" /etc/racoon/setkey.xinux.conf > /tmp/setkey.conf
sed -e "s/x-x-x/$IP/g" /etc/racoon/racoon.xinux.conf > /tmp/racoon.conf
racoon -f /tmp/racoon.conf -l /tmp/racoon.log
setkey -f /tmp/setkey.conf
;;
stop)
echo stop vpn
killall racoon
setkey -F
setkey -PF
;;
*)
echo die syntax lautet $0 start|stop
;;
esac

@@ Zeile 2: / Zeile 2: @@
 apt-get install ipsec-tools racoon
-==/etc/setkey.conf==
+==/etc/ipsec-tools.conf==
   #!/usr/sbin/setkey -f
   flush;

@@ Zeile 1: / Zeile 1: @@
 ==installation==
-apt-get install ipsec-tools
+apt-get install ipsec-tools racoon
 ==/etc/setkey.conf==
   #!/usr/sbin/setkey -f

← Nächstältere Version		Version vom 17. Oktober 2014, 08:28 Uhr
Zeile 1:		Zeile 1:
		+	==installation==
		+	apt-get install ipsec-tools
	==/etc/setkey.conf==		==/etc/setkey.conf==
	#!/usr/sbin/setkey -f		#!/usr/sbin/setkey -f

Racoon howto - Versionsgeschichte

Thomas: /* /etc/setkey.conf */

Thomas: /* installation */

Thomas: /* /etc/setkey.conf */

Thomas: Die Seite wurde neu angelegt: „==/etc/setkey.conf== #!/usr/sbin/setkey -f flush; spdflush; spdadd 192.168.254.0/24 192.168.200.0/21 any -P out ipsec esp/tunnel/217.91.41.188-217.…“