Configuración IPsec en Debían Etch

Configuración IPsec en debían etch

lo primero que debemos hacer es instalar el paquete ipsec-tools

apt-get install ipsec-tools

luego editamos el archivo de configuración ipsec-tools.conf, primero descomentar las siguientes lineas:

flush;spdflush;

si queremos implementar AH agregamos las siguientes lineas:

#AH#add IPlocal IPdestino ah 0x200 -A hmac-md5 0x"clave generada de 128 bits";add IPdestino IPlocal ah 0x300 -A hmac-md5 0x"clave generada de 128 bits";##politicas de seguridad#spdadd 192.168.1.1 192.168.1.2 any -P out ipsecah/transport//require;# esp/transport//require;spdadd 192.168.1.2 192.168.1.1 any -P in ipsecah/transport//require;# esp/transport//require;

(las claves mencionadas se generan con el comando; esta clave la debe tener el equipo con el que nos queremos conectar para la negociación de la seguridad en las mismas líneas que mencionamos anteriormente)

dd if=/dev/random count=16 bs=1| xxd -ps para AHdd if=/dev/random count=24 bs=1| xxd -ps para ESP

si queremos implementar ESP agregamos las siguientes lineas:

#ESP#add IPlocal IPdestino esp 0x200 -E 3des-cbc 0x"clave generada de 192 bits";add IPdestino IPlocal esp 0x300 -E 3des-cbc 0x"clave generada de 192 bits";##politicas de seguridad#spdadd 192.168.1.1 192.168.1.2 any -P out ipsecesp/transport//require;# ah/transport//require;spdadd 192.168.1.2 192.168.1.1 any -P in ipsecesp/transport//require;# ah/transport//require;

y provamos si la configuracion esta buena con el siguiente comando:

setkey -f /etc/ipsec-tools.conf

luego instalamos el paquete tcpdump para mirar la autenticación de los paquete mediante un ping sea por AH o ESP

apt-get install tcpdump

ahora podemos comprobar si esta funcionando con el siguiente comando:

tcpdump -i eth0 src host 192.168.1.1 or dst 192.168.1.2

hasta aqui todo debe estar correcto.

configuracion del racoon esto se instala para trabajar con certificados digitales o claves precompartidas

instalamos el paquete racoon (durante la instalacion nos pregunta el modo de configuracion para el demonio IKE de racoon, al que configuraremos en modo directo)

apt-get install racoon

luego de la instalacion verificamos la creacion de tres archivos en el directorio racoon:

/etc/racoon/psk.txt

/etc/racoon/racoon.conf

/etc/racoon/racoon-tool.conf

ahora editamos el archivo psk.txt, comentamos todas las lineas y agregamos las siguientes:

pico /etc/racoon/psk.txt

#direcciones IPv4192.168.1.1192.168.1.2 0x"clave generada de 128 bits"; # [email protected]# FQDN

Luego editamos el archivo racoon.conf, comentamos la linea #path certificate "/etc/racoon/certs"; para trabajar con clave precompartida, y copiamos o modificamos la ip remota con quien trabajaremos.

path pre_shared_key "/etc/racoon/psk.txt";#path certificate "/etc/racoon/certs";

remote 192.168.1.2 {exchange_mode main,aggressive;proposal {encryption_algorithm 3des;hash_algorithm sha1;authentication_method pre_shared_key;dh_group modp1024;}generate_policy off;}

sainfo address 192.168.1.2[any] any address 192.168.1.1/24[any] any {pfs_group modp768;encryption_algorithm 3des;authentication_algorithm hmac_md5;compression_algorithm deflate;}

sainfo address 192.168.1.1[any] any address 192.168.1.2/24[any] any {pfs_group modp768;encryption_algorithm 3des;authentication_algorithm hmac_md5;compression_algorithm deflate;}

luego reiniciamos el racoon.

/etc/init.d/racoon restart

Y ya solo queda comprobar que todo esta funcionando correctamente, todo debe estar bien.

tcpdump -i eth0 src host 192.168.1.1 or dst 192.168.1.2

Configuración IPsec en Debían Etch

Documents

Transcript of Configuración IPsec en Debían Etch