Racoon linux roadwarrior x509: Unterschied zwischen den Versionen

• Nach dem Erstellen der Zertifikate wie unter x509 ruckzuck beschrieben müssen die pem, key und die cacert.pem Datei auf den Roadwarrior kopiert werden. Am besten in das Verzeichnis /etc/racoon/certs.

• Als nächstes muss die cacert.pem eine OpenSSL konforme Benennung erhalten.

ln -s cacert.pem $(openssl x509 -noout -hash -in cacert.pem).0

• Dann muss das Passowrt aus dem Privaten Schlüssel enfernt werden.

openssl rsa -in roadwarrior.key -out-roadwarrior.key

• Dann werden 2 Template Dateien erzeugt

#/etc/racoon/racoon.xinux.conf
path certificate "/etc/racoon/certs";
remote 217.91.41.188 {
 exchange_mode main;
 certificate_type x509 "/etc/racoon/certs/trixie.pem" "/etc/racoon/certs/trixie.key";
 verify_cert on;
 my_identifier asn1dn;
 peers_identifier asn1dn;
 proposal {
   encryption_algorithm 3des;
   hash_algorithm md5;
   authentication_method rsasig;
   dh_group modp1024;
 }
}
sainfo address x-x-x any address 192.168.254.0/24 any {
 pfs_group modp1024;
 encryption_algorithm 3des;
 authentication_algorithm hmac_md5;
 compression_algorithm deflate;
}

#!/usr/bin/setkey -f
#/etc/raccon/setkey.xinux.key
flush;
spdflush;
spdadd x-x-x 192.168.254.0/24 any -P out ipsec esp/tunnel/x-x-x-217.91.41.188/require;
spdadd 192.168.254.0/24 x-x-x any -P in  ipsec esp/tunnel/217.91.41.188-x-x-x/require;

• Dann wird noch das Start Stop Skript erstellt /usr/local/bin/vpn

!/bin/bash
case $1 in
start)
 echo starte vpn
 IP=$(ifconfig ippp0  | grep inet | tr -s " " | cut -f 3 -d " " | cut -f 2 -d :)
 sed -e "s/x-x-x/$IP/g" /etc/racoon/setkey.xinux.conf > /tmp/setkey.conf
 sed -e "s/x-x-x/$IP/g" /etc/racoon/racoon.xinux.conf > /tmp/racoon.conf
 racoon -f /tmp/racoon.conf -l /tmp/racoon.log
 setkey -f /tmp/setkey.conf
;;
stop)
 echo stop vpn
 killall racoon
 setkey -F
 setkey -PF
;;
*)
 echo die syntax lautet $0 start|stop 
;;
esac