FGHIGate на GaNJa NeTWoRK ST@Ti0N - Просмотр сообщения в эхоконференции RU.UNIX.BSD


	Добро пожаловать, Гость. Пожалуйста авторизуйтесь здесь.

Введите FGHI ссылку:

Присутствуют сообщения из эхоконференции RU.UNIX.BSD с датами от 18 Jan 11 22:51:00 до 16 Sep 24 17:28:15, всего сообщений: 10763

Ответить на сообщение

К списку сообщений

Предыдущее сообщение

Следующее сообщение

= Сообщение: 3236 из 10763 ===================================== RU.UNIX.BSD =
От   : Eugene Grosbein                  2:5006/1           29 Jun 15 15:09:31
Кому : Victor Sudakov                                      29 Jun 15 15:09:31
Тема : Re: IPSec VPN
FGHI : area://RU.UNIX.BSD?msgid=grosbein.net+c6b3bbdd
На   : area://RU.UNIX.BSD?msgid=2:5005/49.1+558d5ca0
= Кодировка сообщения определена как: CP866 ==================================
Ответ: area://RU.UNIX.BSD?msgid=2:5005/49.1+55950f8a
Ответ: area://RU.UNIX.BSD?msgid=2:5005/49+55c6ffa8
==============================================================================
26 июн 2015, пятница, в 08:02 NOVT, Victor Sudakov написал(а):

VS> Можно ли средствами FreeBSD+racoon сделать такой сабж, чтобы не требовалось
VS> забивки статических правил в /etc/ipsec.conf? То есть чтобы все, кто знает адрес
VS> VPN концентратора и некий пароль или preshared key, могли присоединиться и
VS> получить доступ в сеть? Клиенты - винды и другие фри.

Вполне. Я вбиваю в /usr/local/etc/racoon/psk.txt пары "логин" и "пароль",
по одной паре в строке, разделенные пробелами. В racoon есть лимит в 1000
символов на строку (или был в 0.7.3, когда я проверял в последний раз).
В качестве "логина" используется настройка Local ID: User FQDN
на стороне клиента, в качестве пароля PSK.

В racoon.conf:

remote  anonymous               # just template
{
        exchange_mode           aggressive,main,base;
        doi                     ipsec_doi;
        situation               identity_only;
        my_identifier           fqdn "hostname.ru";
        verify_identifier       on;
        mode_cfg                off;
        lifetime                time 12 hour;
        ike_frag                on;
        passive                 on;
        proposal_check          obey;
        generate_policy         unique;
#       script "/usr/local/etc/racoon/phase1" phase1_up;
#       script "/usr/local/etc/racoon/phase1" phase1_down;

        proposal {
                encryption_algorithm    3des;
                hash_algorithm          sha1;
                authentication_method   pre_shared_key;
                lifetime time           12 hour;
                dh_group                1;
        }
}

sainfo anonymous
{
        pfs_group                       1;
        lifetime time                   12 hour;
        encryption_algorithm            3des,blowfish,des;
        authentication_algorithm        hmac_sha1,hmac_md5;
        compression_algorithm           deflate;
}

Конфиг не блещет стойкостью криптографии, потому как заточен
под D-Link DI-804HV и подобные огрызки, но рабочий.
В клиентской настройке "Remote ID" ставится FQDN "hostname.ru"
Все полиси генерирует сам ракун (generate_policy unique).

Eugene
--
Что делать?! Мир стоит на воровстве!..
Воруют в Самарканде и в Хиве,
В Ширазе, в Тегеране и в Стамбуле
И даже - страшно вымолвить - в Москве!..
--- slrn/1.0.1 (FreeBSD)
* Origin: RDTC JSC (2:5006/1@fidonet)

К главной странице гейта