Połączenie VPN site to site po między hostem z systemem linuks z pakietem Racoon (ipsec) a Checkpoint NGX R65 (ipsec).
Poniższa konfiguracja racoon jest o tyle uniwersalna że może się łączyć z każdym innym urządzeniem obsługującym ipsec.
Konfiguracja racoon ipsec
UWAGA:
W tym przypadku naszym hostem który będzie inicjował połączenie nie będzie brama tylko host w sieci lokalnej z zainstalowanym pakietem ipsec racoon.
Pliki do konfiguracji:
racoon.conf
setkey.conf
psk.txt
Schemat połączenia:
(racoon) (checkpoint)
(lan) (lan gw) (ext gw) (ext gw) (routing) (host1)
192.168.1.2/24>192.168.1.1>82.82.82.82>[internet]<83.83.83.83<<<192.168.2.2
| |
|__ping request >>>--------------------------<<< ping reply_____|
setkey.conf
#!/usr/sbin/setkey -f flush; spdflush; spdadd 192.168.1.2 192.168.2.0/24 any -P out ipsec esp/tunnel/192.168.1.2-83.83.83.83/require; spdadd 192.168.2.0/24 192.168.1.2 any -P in ipsec esp/tunnel/83.83.83.83-192.168.1.2/require;
racoon.conf
log info;
path pre_shared_key "`pwd`/psk.txt";
listen {
adminsock "/var/run/racoon/racoon.sock" "root" "operator" 0660;
isakmp_natt 192.168.1.2 [4500];
isakmp 192.168.1.2 [500];
}
remote 83.83.83.83 {
exchange_mode main;
nat_traversal on;
ike_frag on;
mode_cfg on;
passive off;
proposal_check obey;
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
}
}
sainfo address 192.168.1.2 any subnet 192.168.2.0/24 any {
lifetime time 1 hour;
pfs_group 2;
encryption_algorithm 3des;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
}
psk.txt
83.83.83.83 password
nadanie uprawnien dla pliku psk.txt
chmod 600 psk.txt
Uruchomienie:
./setkey.conf racoon -F -d -v -f racoon.conf ping 192.168.2.2
lub samo podniesienie tunelu:
racoonctl vpn-connect 83.83.83.83
Jak skonfigurować Check Point R65 aby działał z Racoon:
http://techfreak.pl/konfiguracja-tunelu-vpn-site-to-site-na-checkpoint-r65/