Racoon: Unterschied zwischen den Versionen
(Die Seite wurde neu angelegt: „==/etc/setkey.conf== #!/usr/sbin/setkey -f flush; spdflush; spdadd 192.168.254.0/24 192.168.200.0/21 any -P out ipsec esp/tunnel/217.91.41.188-217.89.…“) |
|||
Zeile 37: | Zeile 37: | ||
racoon -Ff /etc/racoon.conf | racoon -Ff /etc/racoon.conf | ||
+ | ==optionen== | ||
+ | |||
+ | *-D: | ||
+ | Diese Option gibt sämtliche Optionen der SAD aus (Dump). Wenn zusätzlich die | ||
+ | Option -P angegeben wird. so werden die Einträge der SPD ausgegebn | ||
+ | |||
+ | *-F | ||
+ | löscht sämtliche Einträge der SAD (Flush). mit der Option -P die der SPD. | ||
+ | |||
+ | *-P | ||
+ | Die Befehle beziehen sich auf die SPD anstelle der SAD | ||
+ | |||
+ | |||
+ | *-a | ||
+ | Üblicherweise werden >>tote<< Einträge der SAD nicht angezeigt >>Tote>> Einträge sind in ihrere Gültigkeit abgelaufen, werden aber noch von der SPD referenziert. Die Option zeigt die auch diese Einträge an. | ||
+ | |||
+ | *-d | ||
+ | Debugging | ||
+ | |||
+ | *-x | ||
+ | Die Ausgabe von PF_KEY Nachrichten | ||
+ | |||
+ | *-h | ||
+ | Die Ausgabe von PF_KEY Nachrichten (-x) erfolgt hexadezimal. | ||
+ | |||
+ | *-l | ||
+ | Diese Option kann mit -D verwendet werden, um eine Endlosschleife zu ermöglichen. | ||
+ | |||
+ | *-v | ||
+ | Verbose | ||
+ | |||
+ | *-f Datei | ||
+ | Liest die durchzuführenden Operationen aus der Datei angegebenen Datei | ||
+ | |||
+ | *-c | ||
+ | Liest die durchzuführenden Operationen von der Standardeingabe | ||
+ | |||
+ | ==Beispiele== | ||
+ | ===setkey -D=== | ||
+ | Es werden im gegensatz zu freeSwan pro Verbindung beide SA angezeigt | ||
+ | |||
+ | 217.91.41.188 195.126.25.114 | ||
+ | esp mode=tunnel spi=192052657(0x0b727db1) reqid=0(0x00000000) | ||
+ | E: 3des-cbc 406251c5 6af6b591 2b2e0109 ffa2f05f 423744ba 14df0774 | ||
+ | A: hmac-sha1 0788b440 b2dd469c 93b88012 76664bbb e2cdaa4d | ||
+ | seq=0x00000000 replay=4 flags=0x00000000 state=mature | ||
+ | created: Mar 10 18:40:34 2005 current: Mar 10 18:56:45 2005 | ||
+ | diff: 971(s) hard: 1800(s) soft: 1440(s) | ||
+ | last: Mar 10 18:41:04 2005 hard: 0(s) soft: 0(s) | ||
+ | current: 19056(bytes) hard: 0(bytes) soft: 0(bytes) | ||
+ | allocated: 111 hard: 0 soft: 0 | ||
+ | sadb_seq=1 pid=4353 refcnt=0 | ||
+ | |||
+ | 195.126.25.114 217.91.41.188 | ||
+ | esp mode=tunnel spi=191108491(0x0b64158b) reqid=0(0x00000000) | ||
+ | E: 3des-cbc 04885478 40f6b5f8 4007a5ed 7154fb9c 62da3b15 9fd65fba | ||
+ | A: hmac-sha1 b7451dd9 d92f96c3 6e969df6 08480060 0a5e1eef | ||
+ | seq=0x00000000 replay=4 flags=0x00000000 state=mature | ||
+ | created: Mar 10 18:40:34 2005 current: Mar 10 18:56:45 2005 | ||
+ | diff: 971(s) hard: 1800(s) soft: 1440(s) | ||
+ | last: Mar 10 18:41:04 2005 hard: 0(s) soft: 0(s) | ||
+ | current: 15821(bytes) hard: 0(bytes) soft: 0(bytes) | ||
+ | allocated: 122 hard: 0 soft: 0 | ||
+ | sadb_seq=5 pid=4353 refcnt=0 | ||
+ | |||
+ | ===setkey -PD=== | ||
+ | Anzeige der SPD | ||
+ | 10.10.0.0/16[any] 192.168.254.0/24[any] any | ||
+ | in ipsec | ||
+ | esp/tunnel/62.153.160.226-217.89.52.3/require | ||
+ | created: Mar 10 18:18:40 2005 lastused: | ||
+ | lifetime: 0(s) validtime: 0(s) | ||
+ | spid=152 seq=13 pid=4354 | ||
+ | refcnt=1 | ||
+ | |||
+ | 10.10.0.0/16[any] 192.168.254.0/24[any] any | ||
+ | fwd ipsec | ||
+ | esp/tunnel/62.153.160.226-217.89.52.3/require | ||
+ | created: Mar 10 18:18:40 2005 lastused: Mar 10 18:25:08 2005 | ||
+ | lifetime: 0(s) validtime: 0(s) | ||
+ | spid=162 seq=7 pid=4354 | ||
+ | refcnt=1 | ||
+ | |||
+ | ===setkey -F=== | ||
+ | Löschen der der SAD | ||
+ | |||
+ | ===setkey -PF=== | ||
+ | Löschen der der SPD | ||
+ | |||
+ | ===setkey -f /etc/setkey.conf=== | ||
+ | Konfigurieren der SAD und der SPD durch die Datei /etc/setkey.conf | ||
+ | |||
+ | ===setkey -x=== | ||
+ | Ausgabe des PK_KEY Kommunikationskanals | ||
+ | 19:08:59.321550 | ||
+ | 19:08:59.322225 | ||
+ | |||
+ | ===setkey -xH=== | ||
+ | Ausgabe des PK_KEY Kommunikationskanals Hexadezimal | ||
+ | 19:10:24.969068 | ||
+ | 00000000: 02 0b 00 01 02 00 00 00 00 00 00 00 19 11 00 00 | ||
+ | 19:10:24.970090 | ||
+ | 00000000: 02 0b 00 01 02 00 00 00 00 00 00 00 19 11 00 00 | ||
+ | |||
+ | ===setkey -Dl=== | ||
+ | Fortlaufende Anzeige der SAD | ||
+ | time p s spi ltime src -> dst | ||
+ | 1113 esp M 07d5e3c9 209/big 195.126.25.114 -> 217.91.41.188 | ||
+ | 1113 esp M 02e5ee9e big/big 62.153.160.226 -> 217.91.41.188 | ||
+ | 1113 esp M 095be1c4 big/big 217.89.52.3 -> 217.91.41.188 | ||
+ | 1113 esp M 28ffcdfc big/big 217.91.41.188 -> 217.89.52.3 | ||
+ | 1113 esp M 08fb1b4f 209/big 217.91.41.188 -> 195.126.25.114 | ||
+ | |||
+ | [[Kategorie:VPN]] | ||
{{HOWTO}} | {{HOWTO}} |
Version vom 18. März 2014, 19:00 Uhr
/etc/setkey.conf
#!/usr/sbin/setkey -f flush; spdflush; spdadd 192.168.254.0/24 192.168.200.0/21 any -P out ipsec esp/tunnel/217.91.41.188-217.89.52.3/require; spdadd 192.168.200.0/21 192.168.254.0/24 any -P in ipsec esp/tunnel/217.89.52.3-217.89.52.3/require;
starten von setkey
setkey -f /etc/setkey.conf
/etc/racoon.conf
path pre_shared_key "/etc/psk.txt"; remote 217.89.52.3 { exchange_mode main; proposal { encryption_algorithm 3des; hash_algorithm md5; authentication_method pre_shared_key; dh_group modp1536; } } sainfo address 192.168.254.0/24 any address 192.168.200.0/21 any { pfs_group modp1536; encryption_algorithm 3des; authentication_algorithm hmac_md5; compression_algorithm deflate; }
/etc/psk.txt
217.89.52.3 schmeich-daneich-gleich
starten von racoon
racoon -Ff /etc/racoon.conf
optionen
- -D:
Diese Option gibt sämtliche Optionen der SAD aus (Dump). Wenn zusätzlich die Option -P angegeben wird. so werden die Einträge der SPD ausgegebn
- -F
löscht sämtliche Einträge der SAD (Flush). mit der Option -P die der SPD.
- -P
Die Befehle beziehen sich auf die SPD anstelle der SAD
- -a
Üblicherweise werden >>tote<< Einträge der SAD nicht angezeigt >>Tote>> Einträge sind in ihrere Gültigkeit abgelaufen, werden aber noch von der SPD referenziert. Die Option zeigt die auch diese Einträge an.
- -d
Debugging
- -x
Die Ausgabe von PF_KEY Nachrichten
- -h
Die Ausgabe von PF_KEY Nachrichten (-x) erfolgt hexadezimal.
- -l
Diese Option kann mit -D verwendet werden, um eine Endlosschleife zu ermöglichen.
- -v
Verbose
- -f Datei
Liest die durchzuführenden Operationen aus der Datei angegebenen Datei
- -c
Liest die durchzuführenden Operationen von der Standardeingabe
Beispiele
setkey -D
Es werden im gegensatz zu freeSwan pro Verbindung beide SA angezeigt
217.91.41.188 195.126.25.114 esp mode=tunnel spi=192052657(0x0b727db1) reqid=0(0x00000000) E: 3des-cbc 406251c5 6af6b591 2b2e0109 ffa2f05f 423744ba 14df0774 A: hmac-sha1 0788b440 b2dd469c 93b88012 76664bbb e2cdaa4d seq=0x00000000 replay=4 flags=0x00000000 state=mature created: Mar 10 18:40:34 2005 current: Mar 10 18:56:45 2005 diff: 971(s) hard: 1800(s) soft: 1440(s) last: Mar 10 18:41:04 2005 hard: 0(s) soft: 0(s) current: 19056(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 111 hard: 0 soft: 0 sadb_seq=1 pid=4353 refcnt=0 195.126.25.114 217.91.41.188 esp mode=tunnel spi=191108491(0x0b64158b) reqid=0(0x00000000) E: 3des-cbc 04885478 40f6b5f8 4007a5ed 7154fb9c 62da3b15 9fd65fba A: hmac-sha1 b7451dd9 d92f96c3 6e969df6 08480060 0a5e1eef seq=0x00000000 replay=4 flags=0x00000000 state=mature created: Mar 10 18:40:34 2005 current: Mar 10 18:56:45 2005 diff: 971(s) hard: 1800(s) soft: 1440(s) last: Mar 10 18:41:04 2005 hard: 0(s) soft: 0(s) current: 15821(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 122 hard: 0 soft: 0 sadb_seq=5 pid=4353 refcnt=0
setkey -PD
Anzeige der SPD
10.10.0.0/16[any] 192.168.254.0/24[any] any in ipsec esp/tunnel/62.153.160.226-217.89.52.3/require created: Mar 10 18:18:40 2005 lastused: lifetime: 0(s) validtime: 0(s) spid=152 seq=13 pid=4354 refcnt=1 10.10.0.0/16[any] 192.168.254.0/24[any] any fwd ipsec esp/tunnel/62.153.160.226-217.89.52.3/require created: Mar 10 18:18:40 2005 lastused: Mar 10 18:25:08 2005 lifetime: 0(s) validtime: 0(s) spid=162 seq=7 pid=4354 refcnt=1
setkey -F
Löschen der der SAD
setkey -PF
Löschen der der SPD
setkey -f /etc/setkey.conf
Konfigurieren der SAD und der SPD durch die Datei /etc/setkey.conf
setkey -x
Ausgabe des PK_KEY Kommunikationskanals
19:08:59.321550 19:08:59.322225
setkey -xH
Ausgabe des PK_KEY Kommunikationskanals Hexadezimal
19:10:24.969068 00000000: 02 0b 00 01 02 00 00 00 00 00 00 00 19 11 00 00 19:10:24.970090 00000000: 02 0b 00 01 02 00 00 00 00 00 00 00 19 11 00 00
setkey -Dl
Fortlaufende Anzeige der SAD
time p s spi ltime src -> dst 1113 esp M 07d5e3c9 209/big 195.126.25.114 -> 217.91.41.188 1113 esp M 02e5ee9e big/big 62.153.160.226 -> 217.91.41.188 1113 esp M 095be1c4 big/big 217.89.52.3 -> 217.91.41.188 1113 esp M 28ffcdfc big/big 217.91.41.188 -> 217.89.52.3 1113 esp M 08fb1b4f 209/big 217.91.41.188 -> 195.126.25.114