Начальная страница

1.2.2. Интерфейсы IPsec

1.2.2. Интерфейсы IPsec

1.2.2. Интерфейсы IPsec

Ниже приведён пример файла ifcfg для IPsec-соединения для двух сетей LAN A. Уникальное имя соединения в этом примере — ipsec1, поэтому имя результирующего файла — /etc/sysconfig/network-scripts/ifcfg-ipsec1. 

        TYPE=IPsec ONBOOT=yes IKE_METHOD=PSK SRCNET=192.168.1.0/24 DSTNET=192.168.2.0/24 DST=X.X.X.X

В данном примере X.X.X.X — общий маршрутизируемый адрес IP целевого маршрутизатора IPsec.

Ниже приведены настраиваемые параметры интерфейса IPsec:

DST=<адрес>

где <адрес> — адрес IP конечного узла или маршрутизатора IPsec. Используется для обоих конфигураций IPsec: "узел-узел" и "сеть-сеть".

DSTNET=<сеть>

где <сеть> — адрес сети назначения IPsec. Используется только для конфигурации типа "сеть-сеть".

SRC=<адрес>

где <адрес> — адрес IP узла или маршрутизатора источника. Эта установка не является обязательной и используется только в конфигурации типа "узел-узел".

SRCNET=<сеть>

где <сеть> — адрес сети источника IPsec. Используется только для конфигурации типа "сеть-сеть".

TYPE=<тип-интерфейса>

где <тип-интерфейса> имеет значение IPSEC. Оба приложения являются частью пакета ipsec-tools.

Если используется ручное шифрование с IPsec, обратитесь к /usr/share/doc/initscripts-<версия>/sysconfig.txt (где <версия> — номер версии установленного пакета initscripts) за параметрами конфигурации.

Демон управления ключами IKEv1 racoon выполняет согласование и настройку параметров для IPsec. Использует разделённые ключи, подписи RSA или GSS-API. Для автоматического управления шифрованием ключей используются следующие опции:

IKE_METHOD=<метод-шифрования>

где <метод-шифрования> может принимать значения PSK, X509 или GSSAPI. При указании PSK также должен быть задан параметр IKE_PSK. При указании X509 также должен быть задан параметр IKE_CERTFILE.

IKE_PSK=<ключ>

где <ключ> — разделённый, секретный ключ для метода PSK (preshared keys).

IKE_CERTFILE=<файл-сертификата>

где <файл-сертификата> — корректный файл сертификата X.509 узла.

IKE_PEER_CERTFILE=<файл-сертификата>

где <файл-сертификата> — корректный файл сертификата X.509 для удалённого узла.

IKE_DNSSEC=<значение>

где <значение> равно yes. Демон racoon получает сертификат удалённого узла X.509 через DNS. НЕ используйте этот параметр при установленном IKE_PEER_CERTFILE.

За дальнейшей информацией об алгоритмах шифрования для IPsec обратитесь к странице помощи setkey. Информация о racoon может быть найдена на страницах помощи racoon и racoon.conf.