Fw: help vpn.
Víctor Pasten V.
victor en aciertonet.com
Vie Mayo 2 13:18:56 CLT 2003
okas aca va:
/etc/isakmpd/isakmpd.conf:
[General]
Policy-File= /etc/isakmpd/isakmpd.policy
Listen-on= ip.del.gw.vpn
[Phase 1]
Default= ISAKMP-clients
[Phase 2]
Passive-Connections= IPsec-clients
# Phase 1 peer sections
#######################
[ISAKMP-clients]
Phase= 1
Transport= udp
Configuration= main-mode
ID= my-ID
[my-ID]
ID-type= FQDN
Name= gw-vpn.tudominio.algo
# Phase 2 sections
##################
[IPsec-clients]
Phase= 2
Configuration= quick-mode
Local-ID= default-route
Remote-ID= dummy-remote
[default-route]
ID-type= IPV4_ADDR_SUBNET
Network= dir.red.interna
Netmask= 255.255.255.0
[dummy-remote]
ID-type= IPV4_ADDR
Address= 0.0.0.0
#[x509-certificates]
CA-directory= /etc/isakmpd/ca/
Cert-directory= /etc/isakmpd/certs/
Private-key= /etc/isakmpd/private/local.key
# Transform's
########################
#
# Para Main Mode:
# {DES,BLF,3DES,CAST}-{MD5,SHA}[-{DSS,RSA_SIG}]
#
# Para Quick Mode:
# QM-{ESP,AH}[-TRP]-{DES,3DES,CAST,BLF,AES}[-{MD5,SHA,RIPEMD}][-PFS]
-SUITE
[main-mode]
DOI=IPSEC
EXCHANGE_TYPE=ID_PROT
Transforms=3DES-MD5-Client
[quick-mode]
DOI=IPSEC
EXCHANGE_TYPE=QUICK_MODE
Suites=QM-ESP-3DES-MD5-SUITE
[3DES-MD5-Client]
ENCRYPTION_ALGORITHM= 3DES_CBC
HASH_ALGORITHM= MD5
AUTHENTICATION_METHOD= RSA_SIG
GROUP_DESCRIPTION= MODP_1536
Life= LIFE_9000_SECS
[QM-ESP-3DES-MD5-SUITE]
Protocols= QM-ESP-3DES-MD5
[QM-ESP-3DES-MD5]
PROTOCOL_ID= IPSEC_ESP
Transforms= QM-ESP-3DES-MD5-XF
[QM-ESP-3DES-MD5-XF]
TRANSFORM_ID= 3DES
ENCAPSULATION_MODE= TUNNEL
AUTHENTICATION_ALGORITHM= HMAC_MD5
GROUP_DESCRIPTION= MODP_1024
Life= LIFE_3600_SECS
# Lifetime definitions
[LIFE_3600_SECS]
LIFE_TYPE= SECONDS
LIFE_DURATION= 3600,1800:7200
[LIFE_9000_SECS]
LIFE_TYPE= SECONDS
LIFE_DURATION= 9000,4500:18000
Y un isakmpd.policy básico (abierto), sin seguridad integrada (aun no pruebo
ese tema de asociar servicios/certificados)
Authorizer: "POLICY"
Conditions: app_domain == "IPsec policy" &&
esp_present == "yes" &&
esp_enc_alg != "null" -> "true";
----- Original Message -----
From: "jorge" <jorge en netsecure.cl>
To: <bsd en inf.utfsm.cl>
Sent: Friday, May 02, 2003 12:58 PM
Subject: Re: Fw: help vpn.
> > >
> > >
> > > > El SafeNet-softremote, ¿se puede bajar de alguna parte para
evaluación?,
> > > yo
> > > > mis pruebas las he hecho con SSH Sentinel 1.4 y todo bien, pero me
> > > interesa
> > > > evaluar alternativas.
> > > >
> > > > En todo caso softremote lo usaste al final con certificados x.509?
Usas
> > > > Virtual IP?
> >
> > Probado, use el virtual adapter y le asigne una ip de la red protegida
> > (interna) y funciona bastante bien, ahora el campo de la ip se puede
dejar
> > en 0.0.0.0, debiera ser para capturar ip dinamicamente (creo yo, no he
> > leido), eso quizas es importante por si quieres usar ip dinamica y que a
su
> > vez le configure un dns, un wins o algo por el estilo.
> >
> >
> >
> > > Lo deje autenticando con x.509 V3, virtual IP lo probare ahora y te
> > cuento.
> > >
>
> Ya po apretao, manda el isakmpd.conf y el policy para incorporarlo a la
> base de conocimiento...
>
> Jorge...
>