на главную - закладки

Чтение онлайн

КНИГИ

switch

АВТОРЫ

ЖАНРЫ

Деловая литература

Детективы

Детские

Документальная литература

Дом и Семья

Драматургия

Жанр не определен

Компьютеры и Интернет

Любовные романы

Научно-образовательная

Поэзия

Приключения

Проза

Прочее

Религия и эзотерика

Справочная литература

Старинная литература

Техника

Фантастика

Фольклор

Юмор

Linux Advanced Routing & Traffic Control HOWTO
на обложку

Larroy Pedro
Шрифт:

#!/sbin/setkey –f

flush;

spdflush;

spdadd 10.0.0.216 10.0.0.11 any –P out ipsec

esp/transport//require;

spdadd 10.0.0.11 10.0.0.216 any –P in ipsec

esp/transport//require;

На хосте 10.0.0.11:

#!/sbin/setkey –f

flush;

spdflush;

spdadd 10.0.0.11 10.0.0.216 any –P out ipsec

esp/transport//require;

spdadd 10.0.0.216 10.0.0.11 any –P in ipsec

esp/transport//require;

Теперь

все готово к запуску racoon! После того, как он будет запущен, попробуем установить сеанс связи, через telnet, с хоста 10.0.0.11 на хост 10.0.0.216, впрочем можно и наоборот. racoon тут же начнет "переговоры" с удаленным хостом:

12:18:44: INFO: isakmp.c:1689:isakmp_post_acquire: IPsec-SA

request for 10.0.0.11 queued due to no phase1 found.

12:18:44: INFO: isakmp.c:794:isakmp_ph1begin_i: initiate new

phase 1 negotiation: 10.0.0.216[500]<=>10.0.0.11[500]

12:18:44: INFO: isakmp.c:799:isakmp_ph1begin_i: begin Aggressive mode.

12:18:44: INFO: vendorid.c:128:check_vendorid: received Vendor ID:

KAME/racoon

12:18:44: NOTIFY: oakley.c:2037:oakley_skeyid: couldn't find

the proper pskey, try to get one by the peer's address.

12:18:44: INFO: isakmp.c:2417:log_ph1established: ISAKMP-SA

established 10.0.0.216[500]-10.0.0.11[500] spi:044d25dede78a4d1:ff01e5b4804f0680

12:18:45: INFO: isakmp.c:938:isakmp_ph2begin_i: initiate new phase 2

negotiation: 10.0.0.216[0]<=>10.0.0.11[0]

12:18:45: INFO: pfkey.c:1106:pk_recvupdate: IPsec-SA established:

ESP/Transport 10.0.0.11->10.0.0.216 spi=44556347(0x2a7e03b)

12:18:45: INFO: pfkey.c:1318:pk_recvadd: IPsec-SA established:

ESP/Transport 10.0.0.216->10.0.0.11 spi=15863890(0xf21052)

Если теперь дать команду setkey –D, чтобы просмотреть список созданных защищенных каналов, мы получим такой вывод:

10.0.0.216 10.0.0.11

esp mode=transport spi=224162611(0x0d5c7333) reqid=0(0x00000000)

E: 3des-cbc 5d421c1b d33b2a9f 4e9055e3 857db9fc 211d9c95 ebaead04

A: hmac-sha1 c5537d66 f3c5d869 bd736ae2 08d22133 27f7aa99

seq=0x00000000 replay=4 flags=0x00000000 state=mature

created: Nov 11 12:28:45 2002 current: Nov 11 12:29:16 2002

diff: 31(s) hard: 600(s) soft: 480(s)

last: Nov 11 12:29:12 2002 hard: 0(s) soft: 0(s)

current: 304(bytes) hard: 0(bytes) soft: 0(bytes)

allocated: 3 hard: 0 soft: 0

sadb_seq=1 pid=17112 refcnt=0

10.0.0.11 10.0.0.216

esp mode=transport spi=165123736(0x09d79698) reqid=0(0x00000000)

E: 3des-cbc d7af8466 acd4f14c 872c5443 ec45a719 d4b3fde1 8d239d6a

A: hmac-sha1 41ccc388 4568ac49 19e4e024 628e240c 141ffe2f

seq=0x00000000 replay=4 flags=0x00000000 state=mature

created: Nov 11 12:28:45 2002 current: Nov 11 12:29:16 2002

diff: 31(s) hard: 600(s) soft: 480(s)

last: hard: 0(s) soft: 0(s)

current: 231(bytes) hard: 0(bytes) soft: 0(bytes)

allocated: 2 hard: 0 soft: 0

sadb_seq=0 pid=17112 refcnt=0

А

команда setkey –DP — список политик безопасности, даст такой результат:

10.0.0.11[any] 10.0.0.216[any] tcp

in ipsec

esp/transport//require

created:Nov 11 12:28:28 2002 lastused:Nov 11 12:29:12 2002

lifetime:0(s) validtime:0(s)

spid=3616 seq=5 pid=17134

refcnt=3

10.0.0.216[any] 10.0.0.11[any] tcp

out ipsec

esp/transport//require

created:Nov 11 12:28:28 2002 lastused:Nov 11 12:28:44 2002

lifetime:0(s) validtime:0(s)

spid=3609 seq=4 pid=17134

refcnt=3

7.2.2.1. Известные проблемы и недостатки.

Если этот вариант у вас не работает, проверьте — все ли файлы конфигурации принадлежат суперпользователю (root) и доступны на чтение только ему. Чтобы запустить racoon в приоритетном режиме, используйте ключ '-f'. Чтобы указать ему местоположение файла конфигурации — ключ '-f'. Для того, чтобы увеличить детальность, добавьте инструкцию 'log debug;' в racoon.conf.

7.2.3. Автоматизация с использованием сертификатов X.509

Как уже говорилось, использование предопределенных ключей осложнено необходимостью тесной координации с удаленной стороной, что не всегда бывает удобно. Кроме того, при согласовании ключевой информации она становится известной нескольким лицам (по крайней мере двоим), а секрет, который знают несколько человек, перестает быть секретом. К счастью существуют асимметричные технологии кодирования, которые помогают снять эту проблему.

1-456789101112131415161718-55
Поделиться с друзьями:
© 2024 xBook

Почта для связи: ivanpetrovpochta123@gmail.com