The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

ipsec tunnel mode междну FreeBSD и Windows XP (ipsec tunnel example freebsd crypt)


<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>
Ключевые слова: ipsec, tunnel, example, freebsd, crypt,  (найти похожие документы)
Date: Tue, 11 Feb 2003 11:32:00 +0500 From: Andrew Alcheev <[email protected]> Newsgroups: ftn.ru.unix.bsd Subject: ipsec tunnel mode междну FreeBSD и Windows XP EG> Да мне вообще пока не нужен обмен ключами, keyed-md5 вполне EG> достаточно. Ты именно tunnel mode делал и именно на машине с одним EG> интерфейсом? Покажи конфигурацию со стороны FreeBSD. надеюсь, что это будет интересно еще кому-нибудь. задача стояла следующая: обеспечить базовыми средствами win xp (юзер) и freebsd (рутер) безопасное соединение по ethernet между юзером и сервером без использования l2tp или pptp с шифрованием. /etc/ipsec.conf: === Cut === spdadd 192.168.99.0/27 192.168.99.10/32 any -P out none; spdadd 192.168.99.10/32 192.168.99.0/27 any -P in none; spdadd 0.0.0.0/0 192.168.99.10/32 any -P out ipsec esp/tunnel/192.168.99.1-192.168.99.10/require; spdadd 192.168.99.10/32 0.0.0.0/0 any -P in ipsec esp/tunnel/192.168.99.10-192.168.99.1/require; === Cut === /usr/local/etc/racoon/racoon.conf: === Cut === path pre_shared_key "/usr/local/etc/racoon/psk.txt"; path certificate "/etc/ssl/rootCA"; # log debug2; padding { maximum_length 20; randomize off; strict_check off; exclusive_tail off; } timer { counter 5; interval 20 sec; persend 1; phase1 30 sec; phase2 15 sec; } remote anonymous { exchange_mode aggressive, main; doi ipsec_doi; situation identity_only; nonce_size 16; lifetime time 10 min; initial_contact on; support_mip6 on; proposal_check obey; proposal { encryption_algorithm 3des; hash_algorithm md5; authentication_method pre_shared_key; dh_group 2; } } sainfo anonymous { pfs_group 1; lifetime time 600 sec; encryption_algorithm 3des,des,cast128,blowfish; authentication_algorithm hmac_sha1,hmac_md5; compression_algorithm deflate; } === Cut === и еще один нюанс, выявленный опытным путем: переменная sysctl net.key.prefered_oldsa=0 в случае настройки ядра по умолчанию (=1) win xp теряла ключи после примерно 500-700 мб трафика (суммы входящего и исходящего).

<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>

 Добавить комментарий
Имя:
E-Mail:
Заголовок:
Текст:




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру