Новое IPSec howto

Материал из OpenBSD-Wiki
Перейти к: навигация, поиск

IPsec и IKE

Данная статья 100 % копипаст с www.openbsd.ru

ISAKMP/Oakley

Страницы руководств: ipsec.conf ipsecctl isakmpd

IKEv2

Поддержка протокола IKEv2, решающего ряд проблем ISAKMP/Oakley, реализована в iked начиная с OpenBSD 5.1. Конфигурация сервера производится редактированием файла /etc/iked.conf. Например, для того чтобы произвести доступ к частной сети 10.0.0.0/16 по IPsec с использованием PSK аутентификации необходимо сконфигурировать сервер (172.23.61.134) для доступа клиентов (172.23.61.0/24):

ikev2 "test" esp from 10.0.0.0/16 to any \
    peer 172.23.61.0/24 local 172.23.61.134 \
    psk humppa

и клиент (172.23.61.156):

ikev2 "test" active esp from any to 10.0.0.0/16 \
    peer 172.23.61.134 local 172.23.61.156 \
    psk humppa

Протестировать конфигурацию можно запустив iked в режиме отладки:

# iked -dv

Дополнительную отладочную печать можно получить, указав два или три ключа -v.

Аутентификация по X.509 сертификатам также поддерживается. Сертификаты могут быть созданы программой ikectl.