Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Následující verze | Předchozí verze | ||
cs:spravce:pripojovani:ipsec:linux [2013/04/10 14:18] 127.0.0.1 upraveno mimo DokuWiki |
cs:spravce:pripojovani:ipsec:linux [2022/01/12 13:54] (aktuální) jan.tomasek@cesnet.cz [Stahování revokačního listu] |
||
---|---|---|---|
Řádek 59: | Řádek 59: | ||
komunikovat nešifrovaně. | komunikovat nešifrovaně. | ||
- | Vytvořte soubor ''/etc/ipsec-policies.conf'' s tímto obsahem: | + | Vytvořte soubor ''/etc/ipsec-policies.conf'' s tímto obsahem (raději použijte rovnou IP adresy): |
- | <xterm> | + | <code bash> |
SETKEY="/usr/local/sbin/setkey" | SETKEY="/usr/local/sbin/setkey" | ||
LOCAL="**radius1.example.com**" | LOCAL="**radius1.example.com**" | ||
PEERS="radius1.eduroam.cz" | PEERS="radius1.eduroam.cz" | ||
- | </xterm> | + | </code> |
a spusťte [[cs:spravce:pripojovani:ipsec:linux:ipsec-policies|ipsec-policies start]]. Po spuštění by se | a spusťte [[cs:spravce:pripojovani:ipsec:linux:ipsec-policies|ipsec-policies start]]. Po spuštění by se | ||
mělo zobrazit: | mělo zobrazit: | ||
- | <xterm> | + | <code> |
Setting ipsec policies: | Setting ipsec policies: | ||
**radius1.example.com** <-> radius1.eduroam.cz | **radius1.example.com** <-> radius1.eduroam.cz | ||
- | </xterm> | + | </code> |
Pro ověření, že je opravdu vše v pořádku, si můžete ještě zkontrolovat | Pro ověření, že je opravdu vše v pořádku, si můžete ještě zkontrolovat | ||
Řádek 79: | Řádek 79: | ||
následující výstup: | následující výstup: | ||
- | <xterm> | + | <code bash> |
195.113.187.22[any] **10.0.0.1**[any] any | 195.113.187.22[any] **10.0.0.1**[any] any | ||
in prio def ipsec | in prio def ipsec | ||
Řádek 101: | Řádek 101: | ||
spid=18 seq=2 pid=5559 | spid=18 seq=2 pid=5559 | ||
refcnt=1 | refcnt=1 | ||
- | </xterm> | + | </code> |
Jestliže všechno vypadá v pořádku, zkuste pingnout na národní | Jestliže všechno vypadá v pořádku, zkuste pingnout na národní | ||
Řádek 119: | Řádek 119: | ||
symbolický link na kořenový certifikát CA. Jména linků jsou hash z subjectu kořenového certifikátu CA. Linky vytvořte takto: | symbolický link na kořenový certifikát CA. Jména linků jsou hash z subjectu kořenového certifikátu CA. Linky vytvořte takto: | ||
- | <xterm> | + | <code bash> |
radius1:/etc/ssl# ln -s certs/CCA2005.pem \ | radius1:/etc/ssl# ln -s certs/CCA2005.pem \ | ||
`openssl x509 -in certs/CCA2005.pem -noout -hash`.0 | `openssl x509 -in certs/CCA2005.pem -noout -hash`.0 | ||
- | </xterm> | + | </code> |
Kořenový certifikát, soubor ''CCA2005.pem'', získáte na stránkách [[http://www.cesnet.cz/pki/|CESNET CA]]. | Kořenový certifikát, soubor ''CCA2005.pem'', získáte na stránkách [[http://www.cesnet.cz/pki/|CESNET CA]]. | ||
Řádek 133: | Řádek 133: | ||
souboru musí odpovídat linku odkazujícímu na certifikát, jen přípona | souboru musí odpovídat linku odkazujícímu na certifikát, jen přípona | ||
souboru bude ''.r0''. Při každém stažení certifikátu musíte | souboru bude ''.r0''. Při každém stažení certifikátu musíte | ||
- | kontrolovat jeho platnost a podpis, tak doporučuji použití skriptů [[http://tools.cesnet-ca.cz/getcrl/|getcrl.sh a getcrls.sh]], které | + | kontrolovat jeho platnost a podpis, tak doporučuji použití skriptů [[https://github.com/CESNET/getcrl|getcrl.sh a getcrls.sh]], které |
se o vše potřebné umí postarat. | se o vše potřebné umí postarat. | ||
Instalace je následující: | Instalace je následující: | ||
- | <xterm> | + | <code bash> |
radius1:~/getcrl-1.9# ./configure --prefix=/usr/local/getcrl-1.9 --sysconfdir=/etc \ | radius1:~/getcrl-1.9# ./configure --prefix=/usr/local/getcrl-1.9 --sysconfdir=/etc \ | ||
--with-crt-dir=/etc/ssl --with-crl-dir=/etc/ssl | --with-crt-dir=/etc/ssl --with-crl-dir=/etc/ssl | ||
radius1:~/getcrl-1.9# make | radius1:~/getcrl-1.9# make | ||
radius1:~/getcrl-1.9# make install | radius1:~/getcrl-1.9# make install | ||
- | </xterm> | + | </code> |
Vytvořte soubor ''/etc/getcrls.cfg'' s obsahem: | Vytvořte soubor ''/etc/getcrls.cfg'' s obsahem: | ||
Řádek 153: | Řádek 153: | ||
Vyzkoušejte, jestli vše funguje: | Vyzkoušejte, jestli vše funguje: | ||
- | <xterm> | + | <code bash> |
radius1:~# /usr/local/getcrl-1.9/sbin/getcrls.sh -s | radius1:~# /usr/local/getcrl-1.9/sbin/getcrls.sh -s | ||
- | </xterm> | + | </code> |
Výstup by měl vypadat takto: | Výstup by měl vypadat takto: | ||
Řádek 178: | Řádek 178: | ||
správně spočítat lifetime pro SA. Vzorec naleznete v [[:cs:spravce:pripojovani:ipsec:uvod|obecném popisu parametrů IPsec spojení]]. | správně spočítat lifetime pro SA. Vzorec naleznete v [[:cs:spravce:pripojovani:ipsec:uvod|obecném popisu parametrů IPsec spojení]]. | ||
- | <xterm> | + | <code bash> |
path certificate "/etc/ssl"; | path certificate "/etc/ssl"; | ||
Řádek 214: | Řádek 214: | ||
proposal_check claim; | proposal_check claim; | ||
} | } | ||
- | </xterm> | + | </code> |
Sekce s ''listen {...}'' je volitelná a je na zvážení | Sekce s ''listen {...}'' je volitelná a je na zvážení | ||
Řádek 235: | Řádek 235: | ||
radius1.eduroam.cz'', aby měl racoon důvod začít pracovat: | radius1.eduroam.cz'', aby měl racoon důvod začít pracovat: | ||
- | <xterm> | + | <code bash> |
radius1:~# racoon -F -4 -f /etc/racoon.conf | radius1:~# racoon -F -4 -f /etc/racoon.conf | ||
- | </xterm> | + | </code> |
Pro ukázku uvádím komunikaci s ''radius1.eduoram.cz'': | Pro ukázku uvádím komunikaci s ''radius1.eduoram.cz'': | ||
- | <xterm> | + | <code> |
@(#)ipsec-tools 0.6.4 (ipsec-tools.sourceforge.net) | @(#)ipsec-tools 0.6.4 (ipsec-tools.sourceforge.net) | ||
@(#)This product linked OpenSSL 0.9.7e 25 Oct 2004 (www.openssl.org) | @(#)This product linked OpenSSL 0.9.7e 25 Oct 2004 (www.openssl.org) | ||
Řádek 255: | Řádek 255: | ||
IPsec-SA established: ESP/Transport 195.113.187.22[0]->**10.0.0.1**[0] spi=48516199(0x2e44c67) | IPsec-SA established: ESP/Transport 195.113.187.22[0]->**10.0.0.1**[0] spi=48516199(0x2e44c67) | ||
IPsec-SA established: ESP/Transport **10.0.0.1**[0]->195.113.187.22[0] spi=107434508(0x667520c) | IPsec-SA established: ESP/Transport **10.0.0.1**[0]->195.113.187.22[0] spi=107434508(0x667520c) | ||
- | </xterm> | + | </code> |
Další možností kontroly funkce racoona je výpis SA pomocí příkazu ''setkey -D''. | Další možností kontroly funkce racoona je výpis SA pomocí příkazu ''setkey -D''. |