воскресенье, 29 марта 2015 г.

IP SEC туннель с использованием racoon для поставщиков SIP телефонии

Пример настройки racoon для создания IPSEC туннеля, между вашим сервером и сервером поставщика.
Исходные данные:
server_ip    77.77.77.77
login    super_login
password    super_pass
local_net   10.10.10.0/24
remote_net    172.1.1.1/32
ike_encryption    3des
ike_auth   sha1
ike_dh_group   1024 (2)
ike_lifetime   28800
sa_encryption   3des
sa_auth    hmac_sha1
sa_pfs_group    1024 (2)

sa_lifetime 3600

Итак приступим.
1. Добавляем еще один айпи адрес на ваш сервер. Выберем какой нибудь адрес из local_net   10.10.10.0/24, например 10.10.10.10 и привесим его алиасом на интерфейс сервера (если на сервере несколько сетевых интерфейсов, то желательно на внешний, который смотрит в интернет).
ifconfig eth:local 10.10.10.10/24 up
2. Добавляем статический маршрут на remote_net    172.1.1.1/32 через наш локальный адрес
ip ro add 172.1.1.1 via 10.10.10.10
3.Теперь конфигурим racoon. Находим файл psk.txt. В него записываем наш пароль для сервер провайдера в таком формате
77.77.77.77  super_pass
4. Далее файл setkey.conf. Его содержимое, согласно наших параметров.
# This is a sample setkey.conf
flush;
spdflush;
spdadd 10.10.10.0/24 172.1.1.1/32 any -P out ipsec
    esp/tunnel/ХХ.ХХ.ХХ.ХХ-77.77.77.77/require;
spdadd 172.1.1.1/32 10.10.10.0/24 any -P in ipsec
    esp/tunnel/77.77.77.77-ХХ.ХХ.ХХ.ХХ/require;

где ХХ.ХХ.ХХ.ХХ - внешний адрес вашего сервера.

5. Содержимое файла racoon.conf

path include "/etc/racoon";
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/cert";
remote 77.77.77.77 {
    exchange_mode aggressive, main;
    lifetime time 28800 sec;
    proposal {
        encryption_algorithm 3des;
        hash_algorithm sha1;
        authentication_method pre_shared_key;
        dh_group 2;
    }
    generate_policy off;
    my_identifier fqdn "super_login";
    nat_traversal force;
}
sainfo address 10.10.10.0/24 any address 172.1.1.1/32 any {
    pfs_group 2;
    lifetime time 3600 sec;
    encryption_algorithm 3des;
    authentication_algorithm hmac_sha1;
    compression_algorithm deflate;
}

6. Делаем 
setkey -f setkey.conf
и рестарт (или старт, если он не был запущен) racoon.
7.Проверяем:
ping 172.1.1.1

  
Автор: на
Ярлыки: , ,

Комментариев нет:

Отправить комментарий

Подписаться на: Комментарии к сообщению (Atom)