Z uwagi na problemy, które występowały w poprzedniej konfiguracji IPSec, nieco zmieniłem konfigurację po stronie OpenBSD. Obecnie wykorzystuję isakmpd nie tylko do negocjacji kluczy, ale również do zestawiania tuneli.
Jak teraz działa mój IPSec
Dlaczego zmiany? Głównie z powodu, który opisałem tutaj. W przypadku, gdy wykorzystywałem definiowane za pomocą ipsecctl tunele IPSec, Windows głupiał. Swoją drogą sprawdzę w chwili wolnego czasu, czy sytuacja, którą opisuję, zdarza się również na maszynach jednoprocesorowych (jednordzeniowych).
Aktualna konfiguracja w pliku isakmpd.conf:
[General] Listen-on = 172.16.x.y Use-Keynote = Yes Delete-SAs = Yes Default-phase-1-lifetime = 3600,60:86400 Default-phase-2-lifetime = 1200,60:86400 Exchange-max-time = 60 Logverbose = Yes [X509-certificates] CA-directory = /etc/isakmpd/ca/ Cert-directory = /etc/isakmpd/certs/ CRL-directory = /etc/isakmpd/crls/ Private-key = /etc/isakmpd/private/host.key
Aktualna konfiguracja zawarta w pliku ipsec.conf:
flow esp in proto udp from 172.16.0.0/16 port 68 to 0.0.0.0/0 port 67 type bypass flow esp out proto udp from 172.16.x.y/32 port 67 to 172.16.0.0/16 port 68 type bypass ike passive esp tunnel from 0.0.0.0/0 to 172.16.x.y local 172.16.x.z peer 172.16.x.y \ main auth hmac-sha1 enc 3des group modp1024 \ quick auth hmac-sha1 enc 3des group grp2
No i w chwili obecnej po prostu działa...
Dwa zdefiniowane flow mają za zadanie puszczać bez szyfrowania ruch DHCP, ale nie miałem do końca czasu zweryfikować, czy spełniają one w 100% swoje zadanie, natomiast na pewno przestałem obserwować efekt zerwania połączenia powodowany przez fakt, że laptop nie mógł odświeżyć swojej dzierżawy na serwerze DHCP.
