Racoon linux roadwarrior x509
Zur Navigation springen
Zur Suche springen
- Nach dem Erstellen der Zertifikate wie unter x509 ruckzuck beschrieben müssen die pem, key und die cacert.pem Datei auf den Roadwarrior kopiert werden. Am besten in das Verzeichnis /etc/racoon/certs.
- Als nächstes muss die cacert.pem eine OpenSSL konforme Benennung erhalten.
ln -s cacert.pem $(openssl x509 -noout -hash -in cacert.pem).0
- Dann muss das Passowrt aus dem Privaten Schlüssel enfernt werden.
openssl rsa -in roadwarrior.key -out-roadwarrior.key
- Dann werden 2 Template Dateien erzeugt
#/etc/racoon/racoon.xinux.conf
path certificate "/etc/racoon/certs";
remote 217.91.41.188 {
exchange_mode main;
certificate_type x509 "/etc/racoon/certs/trixie.pem" "/etc/racoon/certs/trixie.key";
verify_cert on;
my_identifier asn1dn;
peers_identifier asn1dn;
proposal {
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method rsasig;
dh_group modp1024;
}
}
sainfo address x-x-x any address 192.168.254.0/24 any {
pfs_group modp1024;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}
#!/usr/bin/setkey -f #/etc/raccon/setkey.xinux.key flush; spdflush; spdadd x-x-x 192.168.254.0/24 any -P out ipsec esp/tunnel/x-x-x-217.91.41.188/require; spdadd 192.168.254.0/24 x-x-x any -P in ipsec esp/tunnel/217.91.41.188-x-x-x/require;
- Dann wird noch das Start Stop Skript erstellt /usr/local/bin/vpn
!/bin/bash case $1 in start) echo starte vpn IP=$(ifconfig ippp0 | grep inet | tr -s " " | cut -f 3 -d " " | cut -f 2 -d :) sed -e "s/x-x-x/$IP/g" /etc/racoon/setkey.xinux.conf > /tmp/setkey.conf sed -e "s/x-x-x/$IP/g" /etc/racoon/racoon.xinux.conf > /tmp/racoon.conf racoon -f /tmp/racoon.conf -l /tmp/racoon.log setkey -f /tmp/setkey.conf ;; stop) echo stop vpn killall racoon setkey -F setkey -PF ;; *) echo die syntax lautet $0 start|stop ;; esac