Как заставить racoon генерировать политики безопасности для всех портов?

Я пытаюсь установить соединение IPsec между двумя системами. У меня есть настройки енота с обеих сторон. У клиента будет динамический IP-адрес, поэтому на сервере включены passive и generate_policy, а для offer_check задано значение obey.

При такой настройке сервер генерирует политики, но они предназначены только для порта 500. Из-за этого ни один трафик с сервера на клиент (кроме порта 500) не инкапсулирован. Так как у клиента есть политика, которая требует esp, этот входящий трафик игнорируется.

Я считаю, что политика настраивается на основе раздела sainfo клиента, поэтому я попытался изменить идентификатор с anonymous на конкретные адреса с портами, и это не работает.

Сервер racoon.conf:

remote anonymous
{
        exchange_mode aggressive,main;
        generate_policy on;
        passive on;
        verify_cert off;
        ike_frag on;

        my_identifier address;

        lifetime time 2 min;
        proposal_check obey;

        proposal {
                encryption_algorithm blowfish;
                hash_algorithm sha1;
                authentication_method pre_shared_key;
                dh_group 5 ;
        }
}

sainfo anonymous
{
        pfs_group 5;
        lifetime time 2 min;
        encryption_algorithm blowfish ;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate;
}

Клиент racoon.conf

path pre_shared_key "/tmp/psk.txt";

remote 172.16.1.1
{
        exchange_mode aggressive,base,main;
        my_identifier keyid tag "client-test";
        verify_cert off;
        nat_traversal on;
        script "/tmp/phase1-up.sh" phase1_up;
        lifetime time 2 min;
        initial_contact on;
        proposal_check obey;

        proposal {
                encryption_algorithm blowfish;
                hash_algorithm sha1;
                authentication_method pre_shared_key;
                dh_group 5 ;
        }
}

sainfo anonymous
{
        pfs_group 5;
        lifetime time 2 min;
        encryption_algorithm blowfish;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate;
}

Клиентские политики

#! /usr/sbin/setkey -f
flush;
spdflush;
spdadd 172.16.2.1 172.16.1.1 any -P out ipsec
    esp/transport//require;
spdadd 172.16.1.1 172.16.2.1 any -P in ipsec
    esp/transport//require;
Источник

1 ответ

Решение

Вам также нужна соответствующая политика на сервере. Просто замените входную и выходную политики клиента, поместите его на сервер, и он должен работать нормально даже с удаленным анонимным пользователем.

Источник
Другие вопросы по тегам