Aproveitando, meu setup de exemplo fechando uma vpn com cisco: proxy# cat racoon.conf path pre_shared_key "/usr/local/etc/racoon/psk.txt" ; log notify;
padding { maximum_length 20; # maximum padding length. randomize on; # enable randomize length. randomize_length on; strict_check off; # enable strict check. exclusive_tail on; # extract last one octet. } timer { # These value can be changed per remote node. counter 5; # maximum trying count to send. interval 40 sec; # maximum interval to resend. persend 1; # the number of packets per a send. # timer for waiting to complete each phase. phase1 300 sec; phase2 300 sec; } remote anonymous { #exchange_mode main,aggressive; exchange_mode main,aggressive,base; doi ipsec_doi; #situation identity_only; verify_identifier off; send_cert off; send_cr off; nonce_size 16; lifetime time 15 min; # sec,min,hour #lifetime byte 5 MB; # B,KB,GB initial_contact on; support_mip6 off; proposal_check claim; # obey, strict or claim # If clients are connecting from dynamic addresses # set generate_policy to "on" generate_policy on; proposal { encryption_algorithm 3des; hash_algorithm sha1; authentication_method pre_shared_key ; dh_group 2 ; } } sainfo anonymous { #pfs_group 1; # commented out pfs_group so that any pfs_group would be accepted lifetime time 3600 sec; #lifetime byte 50 MB; encryption_algorithm 3des,des,cast128 ; authentication_algorithm hmac_md5,hmac_sha1; compression_algorithm deflate; } proxy# cat ipsec.conf flush; spdflush; spdadd 172.16.90.0/24 192.168.200.0/24 any -P out ipsec esp/tunnel/IP_LOCAL-IP_REMOTO/require; spdadd 192.168.200.0/24 172.16.90.0/24 any -P in ipsec esp/tunnel/IP_REMOTO-IP_LOCAL/require; sendo que o tunel é fechado para que a rede local 172.16.90.0/24 acesse a rede remota 192.168.200.0/24. /usr/local/etc/racoon/psk.txt é a chave compartilhada entre os 2 hosts. Depois disto tem que criar o túnel, colocar as rotas através dele e qunado houver tráfego se tudo der certo o túnel sobe. Se não subir, aí tem que fazer debbug, parte mais chata do IPSEC :-/ Com o cisco tive que mudar para aggressive mode. Com sonicwall não precisa. Boa sorte > -----Mensagem original----- > De: Renato Frederick > Enviada em: quinta-feira, 18 de junho de 2009 17:33 > Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > Assunto: RES: [FUG-BR] Usando IPsec no FreeBSD > > http://www.primeirospassos.org/sessao10_8_b.html > > porém esta versão é velha > > o gifconfig foi substifuido pelo ifconfig gif0 create > > e o /usr/ports/security/racoon pelo ipsec-tools. > > > > > -----Mensagem original----- > > De: freebsd-boun...@fug.com.br [mailto:freebsd-boun...@fug.com.br] Em > > nome de Thiago Gomes > > Enviada em: quinta-feira, 18 de junho de 2009 17:27 > > Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > > Assunto: Re: [FUG-BR] Usando IPsec no FreeBSD > > > > tem como me passar algum exemplo de fechamento de tunel com isakmpd > > > > > > 2009/6/18 c0re dumped <ez.c...@gmail.com>: > > > No Free (ou no Open) vc vai usar o isakmpd. > > > > > > A configuração é um pouco mais complexa que a do freswan, mas não é > > > nenhum bicho de sete cabeças se você conhecer o IPSec > > > > > > > > > -- > > > > > > "To err is human, to blame it on somebody else shows management > > potential." > > > ------------------------- > > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > ------------------------- > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd