Racoon linux roadwarrior x509
Zur Navigation springen
Zur Suche springen
- Nach dem Erstellen der Zertifikate wie unter x509 ruckzuck beschrieben müssen die pem, key und die cacert.pem Datei auf den Roadwarrior kopiert werden. Am besten in das Verzeichnis /etc/racoon/certs.
- Als nächstes muss die cacert.pem eine OpenSSL konforme Benennung erhalten.
ln -s cacert.pem $(openssl x509 -noout -hash -in cacert.pem).0
- Dann muss das Passowrt aus dem Privaten Schlüssel enfernt werden.
openssl rsa -in roadwarrior.key -out-roadwarrior.key
- Dann werden 2 Template Dateien erzeugt
#/etc/racoon/racoon.xinux.conf path certificate "/etc/racoon/certs"; remote 217.91.41.188 { exchange_mode main; certificate_type x509 "/etc/racoon/certs/trixie.pem" "/etc/racoon/certs/trixie.key"; verify_cert on; my_identifier asn1dn; peers_identifier asn1dn; proposal { encryption_algorithm 3des; hash_algorithm md5; authentication_method rsasig; dh_group modp1024; } } sainfo address x-x-x any address 192.168.254.0/24 any { pfs_group modp1024; encryption_algorithm 3des; authentication_algorithm hmac_md5; compression_algorithm deflate; }
#!/usr/bin/setkey -f #/etc/raccon/setkey.xinux.key flush; spdflush; spdadd x-x-x 192.168.254.0/24 any -P out ipsec esp/tunnel/x-x-x-217.91.41.188/require; spdadd 192.168.254.0/24 x-x-x any -P in ipsec esp/tunnel/217.91.41.188-x-x-x/require;
- Dann wird noch das Start Stop Skript erstellt /usr/local/bin/vpn
!/bin/bash case $1 in start) echo starte vpn IP=$(ifconfig ippp0 | grep inet | tr -s " " | cut -f 3 -d " " | cut -f 2 -d :) sed -e "s/x-x-x/$IP/g" /etc/racoon/setkey.xinux.conf > /tmp/setkey.conf sed -e "s/x-x-x/$IP/g" /etc/racoon/racoon.xinux.conf > /tmp/racoon.conf racoon -f /tmp/racoon.conf -l /tmp/racoon.log setkey -f /tmp/setkey.conf ;; stop) echo stop vpn killall racoon setkey -F setkey -PF ;; *) echo die syntax lautet $0 start|stop ;; esac