Configuración IPsec en debían etch
lo primero que debemos hacer es instalar el paquete ipsec-tools
apt-get install ipsec-tools
luego editamos el archivo de configuración ipsec-tools.conf, primero descomentar las siguientes lineas:
flush;spdflush;
si queremos implementar AH agregamos las siguientes lineas:
#AH#add IPlocal IPdestino ah 0x200 -A hmac-md5 0x"clave generada de 128 bits";add IPdestino IPlocal ah 0x300 -A hmac-md5 0x"clave generada de 128 bits";##politicas de seguridad#spdadd 192.168.1.1 192.168.1.2 any -P out ipsecah/transport//require;# esp/transport//require;spdadd 192.168.1.2 192.168.1.1 any -P in ipsecah/transport//require;# esp/transport//require;
(las claves mencionadas se generan con el comando; esta clave la debe tener el equipo con el que nos queremos conectar para la negociación de la seguridad en las mismas líneas que mencionamos anteriormente)
dd if=/dev/random count=16 bs=1| xxd -ps para AHdd if=/dev/random count=24 bs=1| xxd -ps para ESP
si queremos implementar ESP agregamos las siguientes lineas:
#ESP#add IPlocal IPdestino esp 0x200 -E 3des-cbc 0x"clave generada de 192 bits";add IPdestino IPlocal esp 0x300 -E 3des-cbc 0x"clave generada de 192 bits";##politicas de seguridad#spdadd 192.168.1.1 192.168.1.2 any -P out ipsecesp/transport//require;# ah/transport//require;spdadd 192.168.1.2 192.168.1.1 any -P in ipsecesp/transport//require;# ah/transport//require;
y provamos si la configuracion esta buena con el siguiente comando:
setkey -f /etc/ipsec-tools.conf
luego instalamos el paquete tcpdump para mirar la autenticación de los paquete mediante un ping sea por AH o ESP
apt-get install tcpdump
ahora podemos comprobar si esta funcionando con el siguiente comando:
tcpdump -i eth0 src host 192.168.1.1 or dst 192.168.1.2
hasta aqui todo debe estar correcto.
configuracion del racoon esto se instala para trabajar con certificados digitales o claves precompartidas
instalamos el paquete racoon (durante la instalacion nos pregunta el modo de configuracion para el demonio IKE de racoon, al que configuraremos en modo directo)
apt-get install racoon
luego de la instalacion verificamos la creacion de tres archivos en el directorio racoon:
/etc/racoon/psk.txt
/etc/racoon/racoon.conf
/etc/racoon/racoon-tool.conf
ahora editamos el archivo psk.txt, comentamos todas las lineas y agregamos las siguientes:
pico /etc/racoon/psk.txt
#direcciones IPv4192.168.1.1192.168.1.2 0x"clave generada de 128 bits"; # [email protected]# FQDN
Luego editamos el archivo racoon.conf, comentamos la linea #path certificate "/etc/racoon/certs"; para trabajar con clave precompartida, y copiamos o modificamos la ip remota con quien trabajaremos.
path pre_shared_key "/etc/racoon/psk.txt";#path certificate "/etc/racoon/certs";
remote 192.168.1.2 {exchange_mode main,aggressive;proposal {encryption_algorithm 3des;hash_algorithm sha1;authentication_method pre_shared_key;dh_group modp1024;}generate_policy off;}
sainfo address 192.168.1.2[any] any address 192.168.1.1/24[any] any {pfs_group modp768;encryption_algorithm 3des;authentication_algorithm hmac_md5;compression_algorithm deflate;}
sainfo address 192.168.1.1[any] any address 192.168.1.2/24[any] any {pfs_group modp768;encryption_algorithm 3des;authentication_algorithm hmac_md5;compression_algorithm deflate;}
luego reiniciamos el racoon.
/etc/init.d/racoon restart
Y ya solo queda comprobar que todo esta funcionando correctamente, todo debe estar bien.
tcpdump -i eth0 src host 192.168.1.1 or dst 192.168.1.2
Top Related