[rlug] Re: FreeS/WAN 1.99 -> Openswan

Fri, 23 Jun 2006 08:32:55 -0700 

Cum FreeS/WAN e "stramosul" lui Openswan mi-ar face placere sa cred ca
migrarea va fi foarte facila ("cp /mnt/backup/etc/ipsec.conf
./ipsec.conf", etc), dar surprize pot aparea la tot pasul si prefer sa
le evit. FreeS/WAN 2.0 am pus deci sunt pregatit pentru "1.99->2.0"
dar in rest... exista ceva deosebit de care sa tin cont?


For future reference, pentru ca acum masina respectiva deja "toarce"
linistita cu Debian Sarge si Openswan, iata pasii de care a fost
nevoie pentru a obtine ceva functional, pornind de la Freeswan 1.99.
Ceea ce e mai jos este valabil daca folositi varianta ce foloseste
preshared-key; pentru alte metode probabil ca e mai simplu, fiind
suficient sa eliminati observatiile 2 si 4. Iata, deci:

- trebuie specificat "version 2" in ipsec.conf

- implicit s-a trecut de la autentificare cu preshared-key la rsa. Ca
atare,  pentru a va functiona solutia, daca e bazata pe PSK,
specificati "authby=secret" pentru fiecare conexiune configurata sau
global, pentru "conn %default".

- nu mai e nevoie de directivele "plutoload" si "plutostart".

- inainte vreme era acceptat in ipsec.secrets formatul

ip1 ip2 "secret_key"

acum este nevoie sa se respecte formatul

ip1 ip2 : PSK "secret_key"

cu putin awk-wizardry se rezolva:

=== cut here ===
awk '{ print $1 " " $2 " : PSK " $3 }' /etc/ipsec.secrets.old >
/etc/ipsec.secrets
chown 600 /etc/ipsec.secrets
=== and here ===

Pentru a obtine un kernel cu suport ipsec, pe Debian, am folosit ceva
de genul asta (oarecum din memorie, nu mai am acces la sistemul
respectiv acum):

=== cut here ===
#apt-get install kernel-source-2.4.27 kernel-patch-openswan openswan
#cd /usr/src && tar -xvjf kernel-source-2.4.27.tar.bz2
#cd kernel-source-2.4.27
#make-kpkg --append-to-version=.20060623-grn --revision=01
--added-patches=openswan --config=menuconfig kernel_image
modules_image
=== and here ===

ATENTIE: nu compilati in kernel suport IPSEC si suport pentru "PF_KEY
sockets" impreuna. O sa va treziti cu o frumoasa eroare. ;)

Succese maxime!
--
GRN

http://nano.cube.ro - the man behind
http://www.infinium.ro - the business

_______________________________________________
RLUG mailing list
[email protected]
http://lists.lug.ro/mailman/listinfo/rlug














    











					Raspunde prin e-mail lui