Fw: help vpn.
jorge
jorge en netsecure.cl
Mie Dic 10 10:21:56 CLST 2003
Gracias loko...(jajaja te toco trabajar ?)
buuu...yo viene a entrenar Quake no mas...hahah
El vie, 02-05-2003 a las 13:18, Víctor Pasten V. escribió:
> okas aca va:
>
> /etc/isakmpd/isakmpd.conf:
>
> [General]
> Policy-File= /etc/isakmpd/isakmpd.policy
> Listen-on= ip.del.gw.vpn
>
> [Phase 1]
> Default= ISAKMP-clients
>
> [Phase 2]
> Passive-Connections= IPsec-clients
>
>
> # Phase 1 peer sections
> #######################
>
> [ISAKMP-clients]
> Phase= 1
> Transport= udp
> Configuration= main-mode
> ID= my-ID
>
> [my-ID]
> ID-type= FQDN
> Name= gw-vpn.tudominio.algo
>
> # Phase 2 sections
> ##################
>
> [IPsec-clients]
> Phase= 2
> Configuration= quick-mode
> Local-ID= default-route
> Remote-ID= dummy-remote
>
> [default-route]
> ID-type= IPV4_ADDR_SUBNET
> Network= dir.red.interna
> Netmask= 255.255.255.0
>
> [dummy-remote]
> ID-type= IPV4_ADDR
> Address= 0.0.0.0
>
> #[x509-certificates]
> CA-directory= /etc/isakmpd/ca/
> Cert-directory= /etc/isakmpd/certs/
> Private-key= /etc/isakmpd/private/local.key
>
> # Transform's
> ########################
> #
> # Para Main Mode:
> # {DES,BLF,3DES,CAST}-{MD5,SHA}[-{DSS,RSA_SIG}]
> #
> # Para Quick Mode:
> # QM-{ESP,AH}[-TRP]-{DES,3DES,CAST,BLF,AES}[-{MD5,SHA,RIPEMD}][-PFS]
> -SUITE
>
>
>
> [main-mode]
> DOI=IPSEC
> EXCHANGE_TYPE=ID_PROT
> Transforms=3DES-MD5-Client
>
> [quick-mode]
> DOI=IPSEC
> EXCHANGE_TYPE=QUICK_MODE
> Suites=QM-ESP-3DES-MD5-SUITE
>
> [3DES-MD5-Client]
> ENCRYPTION_ALGORITHM= 3DES_CBC
> HASH_ALGORITHM= MD5
> AUTHENTICATION_METHOD= RSA_SIG
> GROUP_DESCRIPTION= MODP_1536
> Life= LIFE_9000_SECS
>
> [QM-ESP-3DES-MD5-SUITE]
> Protocols= QM-ESP-3DES-MD5
>
> [QM-ESP-3DES-MD5]
> PROTOCOL_ID= IPSEC_ESP
> Transforms= QM-ESP-3DES-MD5-XF
>
> [QM-ESP-3DES-MD5-XF]
> TRANSFORM_ID= 3DES
> ENCAPSULATION_MODE= TUNNEL
> AUTHENTICATION_ALGORITHM= HMAC_MD5
> GROUP_DESCRIPTION= MODP_1024
> Life= LIFE_3600_SECS
>
> # Lifetime definitions
> [LIFE_3600_SECS]
> LIFE_TYPE= SECONDS
> LIFE_DURATION= 3600,1800:7200
> [LIFE_9000_SECS]
> LIFE_TYPE= SECONDS
> LIFE_DURATION= 9000,4500:18000
>
>
>
> Y un isakmpd.policy básico (abierto), sin seguridad integrada (aun no pruebo
> ese tema de asociar servicios/certificados)
>
> Authorizer: "POLICY"
> Conditions: app_domain == "IPsec policy" &&
> esp_present == "yes" &&
> esp_enc_alg != "null" -> "true";
>
> ----- Original Message -----
> From: "jorge" <jorge en netsecure.cl>
> To: <bsd en inf.utfsm.cl>
> Sent: Friday, May 02, 2003 12:58 PM
> Subject: Re: Fw: help vpn.
>
>
> > > >
> > > >
> > > > > El SafeNet-softremote, ¿se puede bajar de alguna parte para
> evaluación?,
> > > > yo
> > > > > mis pruebas las he hecho con SSH Sentinel 1.4 y todo bien, pero me
> > > > interesa
> > > > > evaluar alternativas.
> > > > >
> > > > > En todo caso softremote lo usaste al final con certificados x.509?
> Usas
> > > > > Virtual IP?
> > >
> > > Probado, use el virtual adapter y le asigne una ip de la red protegida
> > > (interna) y funciona bastante bien, ahora el campo de la ip se puede
> dejar
> > > en 0.0.0.0, debiera ser para capturar ip dinamicamente (creo yo, no he
> > > leido), eso quizas es importante por si quieres usar ip dinamica y que a
> su
> > > vez le configure un dns, un wins o algo por el estilo.
> > >
> > >
> > >
> > > > Lo deje autenticando con x.509 V3, virtual IP lo probare ahora y te
> > > cuento.
> > > >
> >
> > Ya po apretao, manda el isakmpd.conf y el policy para incorporarlo a la
> > base de conocimiento...
> >
> > Jorge...
> >