IPsec VPN racoon site 2 site

Połączenie VPN site to site po między hostem z systemem linuks z pakietem Racoon (ipsec) a Checkpoint NGX R65 (ipsec).
Poniższa konfiguracja racoon jest o tyle uniwersalna że może się łączyć z każdym innym urządzeniem obsługującym ipsec.

Konfiguracja racoon ipsec

UWAGA:
W tym przypadku naszym hostem który będzie inicjował połączenie nie będzie brama tylko host w sieci lokalnej z zainstalowanym pakietem ipsec racoon.

Pliki do konfiguracji:
racoon.conf
setkey.conf
psk.txt

Schemat połączenia:

              (racoon)                                  (checkpoint)
(lan)            (lan gw)     (ext gw)           (ext gw) (routing) (host1)
192.168.1.2/24>192.168.1.1>82.82.82.82>[internet]<83.83.83.83<<<192.168.2.2
     |                                                               |
     |__ping request >>>--------------------------<<< ping reply_____|

 

setkey.conf

#!/usr/sbin/setkey -f

flush;
spdflush;
spdadd 192.168.1.2 192.168.2.0/24 any -P out ipsec esp/tunnel/192.168.1.2-83.83.83.83/require;
spdadd 192.168.2.0/24 192.168.1.2 any -P in ipsec esp/tunnel/83.83.83.83-192.168.1.2/require;

racoon.conf

log info;
path pre_shared_key "`pwd`/psk.txt";
listen {
adminsock "/var/run/racoon/racoon.sock" "root" "operator" 0660;
isakmp_natt 192.168.1.2 [4500];
isakmp 192.168.1.2 [500];
}

remote 83.83.83.83 {
exchange_mode main;
nat_traversal on;
ike_frag on;
mode_cfg on;
passive off;
proposal_check obey;
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
}
}

sainfo address 192.168.1.2 any subnet 192.168.2.0/24 any {
lifetime time 1 hour;
pfs_group 2;
encryption_algorithm 3des;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
}

psk.txt

83.83.83.83 password

nadanie uprawnien dla pliku psk.txt

chmod 600 psk.txt

Uruchomienie:

 ./setkey.conf
 racoon -F -d -v -f racoon.conf
 ping 192.168.2.2

lub samo podniesienie tunelu:

racoonctl vpn-connect 83.83.83.83

 

Jak skonfigurować Check Point R65 aby działał z Racoon:

//techfreak.pl/konfiguracja-tunelu-vpn-site-to-site-na-checkpoint-r65/

Share Button

Przemek

Twórca portalu techfreak, elektronik, pasjonat wszystkiego co fajnie, co można przerobić. W wolnym czasie grzebie przy nettemp. A sport jaki uprawia to mini drony klasy 250.