IPSec en Linux utilizando Racoon

En esta entrada se implementara Racoon con ipsec que nos permitira utilizar llaves precompartidas .
primero instalaremos el respectivo paquete de racoon

#apt-get install racoon


y nos vamos a configurarlo #cd /etc/racoon

aca se definira la llave precompartida que se utilizara en la comunicacion

#pico psk.txt

y esta seria la configurcion final del archivo.

# IPv4/v6 addresses
#10.160.94.3 mekmitasdigoat
#172.16.1.133 0x12345678
#194.100.55.1 whatcertificatereally
#3ffe:501:410:ffff:200:86ff:fe05:80fa mekmitasdigoat
#3ffe:501:410:ffff:210:4bff:fea2:8baa mekmitasdigoat
# USER_FQDN
#foo@kame.net mekmitasdigoat
# FQDN
foo.kame.net hoge
# Direcciones IPv4
10.3.16.112 clave precompartida simple
10.3.19.10 "fuji-mauro-orbit";
# USER_FQDN
cristian@misena.edu.co Esta es una clave precompartida para una dirección de correo
# FQDN
www.spenneberg.net Esta es una clave precompartida


haora pasamos a configurar el archivo racoon.conf

#pico racoon.conf

y aca se configuraran los parametros de la comunicacion como los metodos de encriptacion y demas parmetros necesarios para la comunicacion.

este seria la configuracion final del archivo.

#
# NOTE: This file will not be used if you use racoon-tool(8) to manage your
# IPsec connections. racoon-tool will process racoon-tool.conf(5) and
# generate a configuration (/var/lib/racoon/racoon.conf) and use it, instead
# of this file.
#
# Simple racoon.conf
#
#
# Please look in /usr/share/doc/racoon/examples for
# examples that come with the source.
#
# Please read racoon.conf(5) for details, and alsoread setkey(8).
#
#
# Also read the Linux IPSEC Howto up at
# http://www.ipsec-howto.org/t1.html
#

path pre_shared_key "/etc/racoon/psk.txt";
#path certificate "/etc/racoon/certs";

remote 10.3.19.114 {
exchange_mode main;
proposal {
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method pre_shared_key;
dh_group modp1024;
}
generate_policy off;
}

sainfo address 10.3.16.81[any] any address 10.3.19.114[any] any {
pfs_group modp768;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}


y por ultimo pasaremos a configurar el archivo de configuracion de ipsec donde solo se tendran el cuentas las bases de datos de las politicas y el modo de comunicacion que se va a usar.

#!/usr/sbin/setkey -f

# NOTE: Do not use this file if you use racoon with racoon-tool
# utility. racoon-tool will setup SAs and SPDs automatically using
# /etc/racoon/racoon-tool.conf configuration.
#

## Flush the SAD and SPD
#
flush;
spdflush;

## Some sample SPDs for use racoon
#
# spdadd 10.10.100.1 10.10.100.2 any -P out ipsec
# esp/transport//require;
#
# spdadd 10.10.100.2 10.10.100.1 any -P in ipsec
# esp/transport//require;
#

# Políticas de seguridad
spdadd 10.3.16.81 10.3.19.114 any -P out ipsec
esp/transport//require;
# ah/transport//require;
spdadd 10.3.19.114 10.3.16.81 any -P in ipsec
esp/transport//require;
# ah/transport//require;


haora para probar que todo esta bien con los comandos #setkey -f ipsec-tools.conf y #/etc/init.d/racoon restart y si no nos sale ningun problema la comunicacion se hara correctamente.