Jak teraz działa mój IPSec
Z uwagi na problemy, które występowały w poprzedniej konfiguracji IPSec, nieco zmieniłem konfigurację po stronie OpenBSD. Obecnie wykorzystuję isakmpd nie tylko do negocjacji kluczy, ale również do zestawiania tuneli.
Dlaczego zmiany? Głównie z powodu, który opisałem tutaj. W przypadku, gdy wykorzystywałem definiowane za pomocą ipsecctl tunele IPSec, Windows głupiał. Swoją drogą sprawdzę w chwili wolnego czasu, czy sytuacja, którą opisuję, zdarza się również na maszynach jednoprocesorowych (jednordzeniowych).
Aktualna konfiguracja w pliku isakmpd.conf:
[General] Listen-on = 172.16.x.y Use-Keynote = Yes Delete-SAs = Yes Default-phase-1-lifetime = 3600,60:86400 Default-phase-2-lifetime = 1200,60:86400 Exchange-max-time = 60 Logverbose = Yes
[X509-certificates] CA-directory = /etc/isakmpd/ca/ Cert-directory = /etc/isakmpd/certs/ CRL-directory = /etc/isakmpd/crls/ Private-key = /etc/isakmpd/private/host.key
Aktualna konfiguracja zawarta w pliku ipsec.conf:
flow esp in proto udp from 172.16.0.0/16 port 68 to 0.0.0.0/0 port 67 type bypass flow esp out proto udp from 172.16.x.y/32 port 67 to 172.16.0.0/16 port 68 type bypass
ike passive esp tunnel from 0.0.0.0/0 to 172.16.x.y local 172.16.x.z peer 172.16.x.y \ main auth hmac-sha1 enc 3des group modp1024 \ quick auth hmac-sha1 enc 3des group grp2
No i w chwili obecnej po prostu działa...
Dwa zdefiniowane flow mają za zadanie puszczać bez szyfrowania ruch DHCP, ale nie miałem do końca czasu zweryfikować, czy spełniają one w 100%25 swoje zadanie, natomiast na pewno przestałem obserwować efekt zerwania połączenia powodowany przez fakt, że laptop nie mógł odświeżyć swojej dzierżawy na serwerze DHCP.
Oryginał tego wpisu dostępny jest pod adresem Jak teraz działa mój IPSec
Autor: Paweł Goleń