# firewall (необязательно, можете загрузить модулем.)
# Однако, сам по себе файрволл всё же нужен, ибо неплохо ограничить
# хосты которые могут коннектится на порты ракона - на всякий случай...
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=1000
options TCP_DROP_SYNFIN

# IPSEC
options IPSEC
options IPSEC_ESP
options IPSEC_DEBUG # необязательно, но облегчит поиск проблем

   Пока собирается ядро, обновляем порты такой командой:

test.lissyara.su # csup -g -L 2 -h cvsup5.ru.freebsd.org \ ? /usr/share/examples/cvsup/ports-supfile && cd /usr/ports/ \ ? && make fetchindex

   После обновления ставим racoon, из коллекции ipsec-tools:

/usr/home/lissyara/>cd /usr/ports/security/ipsec-tools/ /usr/ports/security/ipsec-tools/>make install clean

   Лезет такое окошко:

+--------------------------------------------------------------------+ | Options for ipsec-tools 0.6.6 | | +----------------------------------------------------------------+ | | |[X] DEBUG enable Debug support | | | |[ ] IPV6 enable IPV6 support | | | |[ ] ADMINPORT enable Admin port | | | |[ ] STATS enable Statistics logging function | | | |[X] DPD enable Dead Peer Detection | | | |[ ] NATT enable NAT-Traversal (kernel-patch required) | | | |[ ] NATTF require NAT-Traversal (fail without kernel-patch)| | | |[X] FRAG enable IKE fragmentation payload support | | | |[ ] HYBRID enable Hybrid Mode-cfg and Xauth support | | | |[ ] PAM enable PAM authentication | | | |[ ] GSSAPI enable GSS-API authentication | | | |[ ] RADIUS enable Radius authentication | | | |[ ] SAUNSPEC enable Unspecified SA mode | | | |[ ] RC5 enable RC5 encryption (patented) | | | |[ ] IDEA enable IDEA encryption (patented) | | +-+----------------------------------------------------------------+-+ | [ OK ] Cancel | +--------------------------------------------------------------------+

   Опции, которые я выбрал - указаны. После инсталляции, идём создавать директории (странно, но хотя стартовые скрипты инсталлялся, директории которые требуются - не создаются, хотя в этих самых скриптах они указаны), заодно копируем дефолтовый конфиг, который тоже не инсталлится куда положено:

/usr/home/lissyara/>mkdir -p /usr/local/etc/racoon/cert /usr/home/lissyara/>cp /usr/local/share/examples/ipsec-tools/racoon.conf \ ? /usr/local/etc/racoon/racoon.conf

   До рихтовки конфига, надо нагенерить сертификатов. Честно говоря с OpenSSL особо не разбирался, сама операция откуда-то чесно дёрнута, и подрихтована под свои нужды, посему даю как есть:

/usr/home/lissyara/>cd /usr/local/etc/racoon/cert/ /usr/local/etc/racoon/cert/>openssl req -new -nodes -newkey rsa:1024 \ ? -sha1 -keyform PEM -keyout via.epia.private -outform PEM \ ? -out via.epia.pem Generating a 1024 bit RSA private key ..............................++++++ ..++++++ writing new private key to 'via.epia.private' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:SU State or Province Name (full name) [Some-State]:USSR Locality Name (eg, city) []:Moscow Organization Name (eg, company) [Internet Widgits Pty Ltd]:Home Network Organizational Unit Name (eg, section) []: Common Name (eg, YOUR name) []:Alex Keda Email Address []:admin@lissyara.su Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: /usr/local/etc/racoon/cert/> /usr/local/etc/racoon/cert/>ll total 4 -rw-r--r-- 1 root wheel 676 15 мар 14:44 via.epia.pem -rw-r--r-- 1 root wheel 887 15 мар 14:44 via.epia.private /usr/local/etc/racoon/cert/>openssl x509 -req -in via.epia.pem \ ? -signkey via.epia.private -out via.epia.public Signature ok subject=/C=SU/ST=USSR/L=Moscow/O=Home Network/CN=Alex Keda/emailAddress=admin@lissyara.su Getting Private key /usr/local/etc/racoon/cert/>ll total 6 -rw-r--r-- 1 root wheel 676 15 мар 14:44 via.epia.pem -rw-r--r-- 1 root wheel 887 15 мар 14:44 via.epia.private -rw-r--r-- 1 root wheel 899 15 мар 14:48 via.epia.public /usr/local/etc/racoon/cert/>

   Для второй машины тоже генерим ключи, и копируем с одной на другую файлики *.public. В принципе, имена ключей неважны, можно называть и по IP, с соответствующими расширениями.
   Далее, рисуем конфиги, для обоих одинаковые, тока меняются местами все IP и ключи:
/etc/rc.conf

# added by lissyara 2007-03-15 in 14:32 # Включем racoon racoon_enable="YES" # создаём gif-интерфейс cloned_interfaces="gif0" # пробиваем туннель gif_interfaces="gif0" gifconfig_gif0="217.15.62.49 217.15.62.200" ifconfig_gif0="inet 192.168.160.254 192.168.170.254 netmask 0xffffffff" # Включаем IPSEC ipsec_enable="YES" # вводим статический роутинг static_routes="RemoteLan" route_RemoteLan="192.168.170.0/24 -interface gif0"

/etc/ipsec.conf

# тут описывается как шифруется проходящая # в туннеле инфа. Для второй машины надо просто поменять IP местами spdadd 217.15.62.49/32 217.15.62.200/32 ipencap -P out ipsec esp/tunnel/217.15.62.49-217.15.62.200/require; spdadd 217.15.62.200/32 217.15.62.49/32 ipencap -P in ipsec esp/tunnel/217.15.62.200-217.15.62.49/require;

/usr/local/etc/racoon/racoon.conf

# $KAME: racoon.conf.sample,v 1.28 2002/10/18 14:33:28 itojun Exp $ # "path" затрагивает директиву "include". "path" должен быть задан до любых # директив "include" с относительным путём к файлу. # Вы можете перезадать директиву "path" впоследствии, однако, это может # привести большому замешательству. path include "/usr/local/etc/racoon" ; #include "remote.conf" ; # файл должен содержать пару ключей ID/key, для аутентификации по ключам. #path pre_shared_key "/usr/local/etc/racoon/psk.txt" ; # racoon будет искать файл сертификата в директории, если передан полезный # запрос certificate/certificate. path certificate "/usr/local/etc/racoon/cert/" ; # "log" определяет уровень логгирования. Он сопровождается одним из # "notify", "debug" или "debug2". log debug2; # "padding" задаёт некоторые параметры формирования пакетов (если я верно понял) # Ничего тут не трогайте. (Ага, конечно! - прим. lissyara) padding { maximum_length 20; # максимальная длинна набивки (?). randomize off; # включение случайной длинны. strict_check off; # включить строгую проверку. exclusive_tail off; # извлекать один последний октет. } # если директива listen не задана, racoon слушает все доступные # адреса интерфейсов. listen { #isakmp ::1 [7000]; isakmp 217.15.62.49 [500]; #admin [7002]; # административный порт для racoonctl. #strict_address; # требует что все адреса должны быть ограничены. } # Задание различных дефолтовых таймеров. timer { # Эти значения могут быть изменены удалённым узлом. counter 5; # максимальный счётчик попыток отсыла. interval 20 sec; # максимальный интерал для повторной посылки. persend 1; # число отсылаемых пакетов. # максимальное время ожидания для завершения каждой фазы. phase1 30 sec; phase2 15 sec; } # описываем удалённый хост (на второй машине - идентично, # тока другой IP и ключи) remote 217.15.62.200 { exchange_mode aggressive,main; my_identifier asn1dn; peers_identifier asn1dn; # сертификаты этой машины certificate_type x509 "via.epia.public" "via.epia.private"; # сертификат удлённой машины peers_certfile x509 "test.lissyara.su.public"; proposal { encryption_algorithm 3des; hash_algorithm sha1; authentication_method rsasig; dh_group 2 ; } } # Вначале хотел вообще без этой секции, # но неподнялось, с такой руганью в логах: # racoon: ERROR: failed to get sainfo. sainfo anonymous { pfs_group 5; lifetime time 60 min; encryption_algorithm 3des ; authentication_algorithm hmac_sha1; compression_algorithm deflate ; }

   Думается, к этому моменту ядро уже пересобралось, и проинсталлилось. Можно перезагружатья. После перезагрузки смотрим:

/usr/home/lissyara/>ifconfig vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 inet 192.168.160.254 netmask 0xffffff00 broadcast 192.168.160.255 ether 00:40:63:d8:23:6d media: Ethernet autoselect (100baseTX <full-duplex>) status: active vr1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 inet 217.15.62.49 netmask 0xffffffc0 broadcast 217.15.62.63 ether 00:40:63:d8:23:3c media: Ethernet autoselect (100baseTX <full-duplex>) status: active lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384 inet 127.0.0.1 netmask 0xff000000 gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280 tunnel inet 217.15.62.49 --> 217.15.62.200 inet 192.168.160.254 --> 192.168.170.254 netmask 0xffffffff /usr/home/lissyara/> /usr/home/lissyara/>ps -ax | grep racoon 859 ?? Is 0:00,01 /usr/local/sbin/racoon 1091 p0 R+ 0:00,01 grep racoon /usr/home/lissyara/>

   Всё нормально, все интерфейсы создались, racoon запущен. Надо заметить, что пока в фаерволле не прокрутили дырки для протоколов и портов, по которым пашет туннель, по нему ничё не пойдёт. Также учтите, что ядро собранное с вышеуказанными (которые про firewall, а не про ipsec) опциями, включает файроволл при загрузке, в режиме запрета всего. Поэтому до перезагрузки лучше настроить файрволл, или иметь физический доступ к машине.
   Крутим дырки:

/usr/home/lissyara/>ipfw show | head -4 00100 48 4032 allow ip from any to any via gif0 00200 2 1656 allow udp from 217.15.62.200 to me dst-port 500 00300 35 5600 allow esp from me to 217.15.62.200 00400 35 5600 allow esp from 217.15.62.200 to me

   Ну и пробуем попинговаться:

/usr/home/lissyara/>ping 192.168.170.254 PING 192.168.170.254 (192.168.170.254): 56 data bytes 64 bytes from 192.168.170.254: icmp_seq=4 ttl=64 time=3.160 ms 64 bytes from 192.168.170.254: icmp_seq=5 ttl=64 time=2.355 ms ^C --- 192.168.170.254 ping statistics --- 6 packets transmitted, 2 packets received, 66% packet loss round-trip min/avg/max/stddev = 2.355/2.758/3.160/0.402 ms /usr/home/lissyara/>

   Первые 4 пакета потерялись, при поднятии туннеля (чё-то всё же стало кривей - на 4.11 терялся всего один пакет, хотя сетевая дистанция была куда больше), затем всё забегало.
   В случае проблем, смотрим логи (/var/log/security). У меня там (/var/log/messages) нашлась интересная строка:

Mar 16 10:51:31 epia kernel: WARNING: pseudo-random number generator used for IPsec processing

   Рыскания по инету ни к чему не привели - вроде как реально чё-то стало кривей... В рассылке lists.freebsd.org рекомендуют ставить железный генератор случайных чисел :).

P.S. Рекомендую ознакомиться со старой версией статьи для понимания происходящего.