Racoon: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
(Die Seite wurde neu angelegt: „==/etc/setkey.conf== #!/usr/sbin/setkey -f flush; spdflush; spdadd 192.168.254.0/24 192.168.200.0/21 any -P out ipsec esp/tunnel/217.91.41.188-217.89.…“) |
|||
| Zeile 37: | Zeile 37: | ||
racoon -Ff /etc/racoon.conf | racoon -Ff /etc/racoon.conf | ||
| + | ==optionen== | ||
| + | |||
| + | *-D: | ||
| + | Diese Option gibt sämtliche Optionen der SAD aus (Dump). Wenn zusätzlich die | ||
| + | Option -P angegeben wird. so werden die Einträge der SPD ausgegebn | ||
| + | |||
| + | *-F | ||
| + | löscht sämtliche Einträge der SAD (Flush). mit der Option -P die der SPD. | ||
| + | |||
| + | *-P | ||
| + | Die Befehle beziehen sich auf die SPD anstelle der SAD | ||
| + | |||
| + | |||
| + | *-a | ||
| + | Üblicherweise werden >>tote<< Einträge der SAD nicht angezeigt >>Tote>> Einträge sind in ihrere Gültigkeit abgelaufen, werden aber noch von der SPD referenziert. Die Option zeigt die auch diese Einträge an. | ||
| + | |||
| + | *-d | ||
| + | Debugging | ||
| + | |||
| + | *-x | ||
| + | Die Ausgabe von PF_KEY Nachrichten | ||
| + | |||
| + | *-h | ||
| + | Die Ausgabe von PF_KEY Nachrichten (-x) erfolgt hexadezimal. | ||
| + | |||
| + | *-l | ||
| + | Diese Option kann mit -D verwendet werden, um eine Endlosschleife zu ermöglichen. | ||
| + | |||
| + | *-v | ||
| + | Verbose | ||
| + | |||
| + | *-f Datei | ||
| + | Liest die durchzuführenden Operationen aus der Datei angegebenen Datei | ||
| + | |||
| + | *-c | ||
| + | Liest die durchzuführenden Operationen von der Standardeingabe | ||
| + | |||
| + | ==Beispiele== | ||
| + | ===setkey -D=== | ||
| + | Es werden im gegensatz zu freeSwan pro Verbindung beide SA angezeigt | ||
| + | |||
| + | 217.91.41.188 195.126.25.114 | ||
| + | esp mode=tunnel spi=192052657(0x0b727db1) reqid=0(0x00000000) | ||
| + | E: 3des-cbc 406251c5 6af6b591 2b2e0109 ffa2f05f 423744ba 14df0774 | ||
| + | A: hmac-sha1 0788b440 b2dd469c 93b88012 76664bbb e2cdaa4d | ||
| + | seq=0x00000000 replay=4 flags=0x00000000 state=mature | ||
| + | created: Mar 10 18:40:34 2005 current: Mar 10 18:56:45 2005 | ||
| + | diff: 971(s) hard: 1800(s) soft: 1440(s) | ||
| + | last: Mar 10 18:41:04 2005 hard: 0(s) soft: 0(s) | ||
| + | current: 19056(bytes) hard: 0(bytes) soft: 0(bytes) | ||
| + | allocated: 111 hard: 0 soft: 0 | ||
| + | sadb_seq=1 pid=4353 refcnt=0 | ||
| + | |||
| + | 195.126.25.114 217.91.41.188 | ||
| + | esp mode=tunnel spi=191108491(0x0b64158b) reqid=0(0x00000000) | ||
| + | E: 3des-cbc 04885478 40f6b5f8 4007a5ed 7154fb9c 62da3b15 9fd65fba | ||
| + | A: hmac-sha1 b7451dd9 d92f96c3 6e969df6 08480060 0a5e1eef | ||
| + | seq=0x00000000 replay=4 flags=0x00000000 state=mature | ||
| + | created: Mar 10 18:40:34 2005 current: Mar 10 18:56:45 2005 | ||
| + | diff: 971(s) hard: 1800(s) soft: 1440(s) | ||
| + | last: Mar 10 18:41:04 2005 hard: 0(s) soft: 0(s) | ||
| + | current: 15821(bytes) hard: 0(bytes) soft: 0(bytes) | ||
| + | allocated: 122 hard: 0 soft: 0 | ||
| + | sadb_seq=5 pid=4353 refcnt=0 | ||
| + | |||
| + | ===setkey -PD=== | ||
| + | Anzeige der SPD | ||
| + | 10.10.0.0/16[any] 192.168.254.0/24[any] any | ||
| + | in ipsec | ||
| + | esp/tunnel/62.153.160.226-217.89.52.3/require | ||
| + | created: Mar 10 18:18:40 2005 lastused: | ||
| + | lifetime: 0(s) validtime: 0(s) | ||
| + | spid=152 seq=13 pid=4354 | ||
| + | refcnt=1 | ||
| + | |||
| + | 10.10.0.0/16[any] 192.168.254.0/24[any] any | ||
| + | fwd ipsec | ||
| + | esp/tunnel/62.153.160.226-217.89.52.3/require | ||
| + | created: Mar 10 18:18:40 2005 lastused: Mar 10 18:25:08 2005 | ||
| + | lifetime: 0(s) validtime: 0(s) | ||
| + | spid=162 seq=7 pid=4354 | ||
| + | refcnt=1 | ||
| + | |||
| + | ===setkey -F=== | ||
| + | Löschen der der SAD | ||
| + | |||
| + | ===setkey -PF=== | ||
| + | Löschen der der SPD | ||
| + | |||
| + | ===setkey -f /etc/setkey.conf=== | ||
| + | Konfigurieren der SAD und der SPD durch die Datei /etc/setkey.conf | ||
| + | |||
| + | ===setkey -x=== | ||
| + | Ausgabe des PK_KEY Kommunikationskanals | ||
| + | 19:08:59.321550 | ||
| + | 19:08:59.322225 | ||
| + | |||
| + | ===setkey -xH=== | ||
| + | Ausgabe des PK_KEY Kommunikationskanals Hexadezimal | ||
| + | 19:10:24.969068 | ||
| + | 00000000: 02 0b 00 01 02 00 00 00 00 00 00 00 19 11 00 00 | ||
| + | 19:10:24.970090 | ||
| + | 00000000: 02 0b 00 01 02 00 00 00 00 00 00 00 19 11 00 00 | ||
| + | |||
| + | ===setkey -Dl=== | ||
| + | Fortlaufende Anzeige der SAD | ||
| + | time p s spi ltime src -> dst | ||
| + | 1113 esp M 07d5e3c9 209/big 195.126.25.114 -> 217.91.41.188 | ||
| + | 1113 esp M 02e5ee9e big/big 62.153.160.226 -> 217.91.41.188 | ||
| + | 1113 esp M 095be1c4 big/big 217.89.52.3 -> 217.91.41.188 | ||
| + | 1113 esp M 28ffcdfc big/big 217.91.41.188 -> 217.89.52.3 | ||
| + | 1113 esp M 08fb1b4f 209/big 217.91.41.188 -> 195.126.25.114 | ||
| + | |||
| + | [[Kategorie:VPN]] | ||
{{HOWTO}} | {{HOWTO}} | ||
Version vom 18. März 2014, 19:00 Uhr
/etc/setkey.conf
#!/usr/sbin/setkey -f
flush;
spdflush;
spdadd 192.168.254.0/24 192.168.200.0/21 any -P out ipsec
esp/tunnel/217.91.41.188-217.89.52.3/require;
spdadd 192.168.200.0/21 192.168.254.0/24 any -P in ipsec
esp/tunnel/217.89.52.3-217.89.52.3/require;
starten von setkey
setkey -f /etc/setkey.conf
/etc/racoon.conf
path pre_shared_key "/etc/psk.txt";
remote 217.89.52.3 {
exchange_mode main;
proposal {
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method pre_shared_key;
dh_group modp1536;
}
}
sainfo address 192.168.254.0/24 any address 192.168.200.0/21 any {
pfs_group modp1536;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}
/etc/psk.txt
217.89.52.3 schmeich-daneich-gleich
starten von racoon
racoon -Ff /etc/racoon.conf
optionen
- -D:
Diese Option gibt sämtliche Optionen der SAD aus (Dump). Wenn zusätzlich die Option -P angegeben wird. so werden die Einträge der SPD ausgegebn
- -F
löscht sämtliche Einträge der SAD (Flush). mit der Option -P die der SPD.
- -P
Die Befehle beziehen sich auf die SPD anstelle der SAD
- -a
Üblicherweise werden >>tote<< Einträge der SAD nicht angezeigt >>Tote>> Einträge sind in ihrere Gültigkeit abgelaufen, werden aber noch von der SPD referenziert. Die Option zeigt die auch diese Einträge an.
- -d
Debugging
- -x
Die Ausgabe von PF_KEY Nachrichten
- -h
Die Ausgabe von PF_KEY Nachrichten (-x) erfolgt hexadezimal.
- -l
Diese Option kann mit -D verwendet werden, um eine Endlosschleife zu ermöglichen.
- -v
Verbose
- -f Datei
Liest die durchzuführenden Operationen aus der Datei angegebenen Datei
- -c
Liest die durchzuführenden Operationen von der Standardeingabe
Beispiele
setkey -D
Es werden im gegensatz zu freeSwan pro Verbindung beide SA angezeigt
217.91.41.188 195.126.25.114
esp mode=tunnel spi=192052657(0x0b727db1) reqid=0(0x00000000)
E: 3des-cbc 406251c5 6af6b591 2b2e0109 ffa2f05f 423744ba 14df0774
A: hmac-sha1 0788b440 b2dd469c 93b88012 76664bbb e2cdaa4d
seq=0x00000000 replay=4 flags=0x00000000 state=mature
created: Mar 10 18:40:34 2005 current: Mar 10 18:56:45 2005
diff: 971(s) hard: 1800(s) soft: 1440(s)
last: Mar 10 18:41:04 2005 hard: 0(s) soft: 0(s)
current: 19056(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 111 hard: 0 soft: 0
sadb_seq=1 pid=4353 refcnt=0
195.126.25.114 217.91.41.188
esp mode=tunnel spi=191108491(0x0b64158b) reqid=0(0x00000000)
E: 3des-cbc 04885478 40f6b5f8 4007a5ed 7154fb9c 62da3b15 9fd65fba
A: hmac-sha1 b7451dd9 d92f96c3 6e969df6 08480060 0a5e1eef
seq=0x00000000 replay=4 flags=0x00000000 state=mature
created: Mar 10 18:40:34 2005 current: Mar 10 18:56:45 2005
diff: 971(s) hard: 1800(s) soft: 1440(s)
last: Mar 10 18:41:04 2005 hard: 0(s) soft: 0(s)
current: 15821(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 122 hard: 0 soft: 0
sadb_seq=5 pid=4353 refcnt=0
setkey -PD
Anzeige der SPD
10.10.0.0/16[any] 192.168.254.0/24[any] any
in ipsec
esp/tunnel/62.153.160.226-217.89.52.3/require
created: Mar 10 18:18:40 2005 lastused:
lifetime: 0(s) validtime: 0(s)
spid=152 seq=13 pid=4354
refcnt=1
10.10.0.0/16[any] 192.168.254.0/24[any] any
fwd ipsec
esp/tunnel/62.153.160.226-217.89.52.3/require
created: Mar 10 18:18:40 2005 lastused: Mar 10 18:25:08 2005
lifetime: 0(s) validtime: 0(s)
spid=162 seq=7 pid=4354
refcnt=1
setkey -F
Löschen der der SAD
setkey -PF
Löschen der der SPD
setkey -f /etc/setkey.conf
Konfigurieren der SAD und der SPD durch die Datei /etc/setkey.conf
setkey -x
Ausgabe des PK_KEY Kommunikationskanals
19:08:59.321550 19:08:59.322225
setkey -xH
Ausgabe des PK_KEY Kommunikationskanals Hexadezimal
19:10:24.969068 00000000: 02 0b 00 01 02 00 00 00 00 00 00 00 19 11 00 00 19:10:24.970090 00000000: 02 0b 00 01 02 00 00 00 00 00 00 00 19 11 00 00
setkey -Dl
Fortlaufende Anzeige der SAD
time p s spi ltime src -> dst 1113 esp M 07d5e3c9 209/big 195.126.25.114 -> 217.91.41.188 1113 esp M 02e5ee9e big/big 62.153.160.226 -> 217.91.41.188 1113 esp M 095be1c4 big/big 217.89.52.3 -> 217.91.41.188 1113 esp M 28ffcdfc big/big 217.91.41.188 -> 217.89.52.3 1113 esp M 08fb1b4f 209/big 217.91.41.188 -> 195.126.25.114