cs:spravce:pripojovani:ipsec:linux

Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revize Předchozí verze
cs:spravce:pripojovani:ipsec:linux [2017/08/21 15:05]
semik@cesnet.cz [Definice IPsec politik]
cs:spravce:pripojovani:ipsec:linux [2018/06/15 12:50] (aktuální)
jop@cesnet.cz -xterm plugin
Řádek 61: Řádek 61:
 Vytvořte soubor ''/​etc/​ipsec-policies.conf''​ s tímto obsahem (raději použijte rovnou IP adresy): Vytvořte soubor ''/​etc/​ipsec-policies.conf''​ s tímto obsahem (raději použijte rovnou IP adresy):
  
-<xterm>+<code bash>
 SETKEY="/​usr/​local/​sbin/​setkey"​ SETKEY="/​usr/​local/​sbin/​setkey"​
 LOCAL="​**radius1.example.com**"​ LOCAL="​**radius1.example.com**"​
 PEERS="​radius1.eduroam.cz"​ PEERS="​radius1.eduroam.cz"​
-</xterm>+</code>
  
 a spusťte [[cs:​spravce:​pripojovani:​ipsec:​linux:​ipsec-policies|ipsec-policies start]]. Po spuštění by se a spusťte [[cs:​spravce:​pripojovani:​ipsec:​linux:​ipsec-policies|ipsec-policies start]]. Po spuštění by se
 mělo zobrazit: mělo zobrazit:
  
-<xterm>+<code>
 Setting ipsec policies: ​ Setting ipsec policies: ​
    ​**radius1.example.com** <-> radius1.eduroam.cz    ​**radius1.example.com** <-> radius1.eduroam.cz
-</xterm>+</code>
  
 Pro ověření, že je opravdu vše v pořádku, si můžete ještě zkontrolovat Pro ověření, že je opravdu vše v pořádku, si můžete ještě zkontrolovat
Řádek 79: Řádek 79:
 následující výstup: následující výstup:
  
-<xterm>+<code bash>
 195.113.187.22[any] **10.0.0.1**[any] any 195.113.187.22[any] **10.0.0.1**[any] any
         in prio def ipsec         in prio def ipsec
Řádek 101: Řádek 101:
         spid=18 seq=2 pid=5559         spid=18 seq=2 pid=5559
         refcnt=1         refcnt=1
-</xterm>+</code>
  
 Jestliže všechno vypadá v pořádku, zkuste pingnout na národní Jestliže všechno vypadá v pořádku, zkuste pingnout na národní
Řádek 119: Řádek 119:
 symbolický link na kořenový certifikát CA. Jména linků jsou hash z subjectu kořenového certifikátu CA. Linky vytvořte takto: symbolický link na kořenový certifikát CA. Jména linků jsou hash z subjectu kořenového certifikátu CA. Linky vytvořte takto:
  
-<xterm>+<code bash>
 radius1:/​etc/​ssl#​ ln -s certs/​CCA2005.pem \ radius1:/​etc/​ssl#​ ln -s certs/​CCA2005.pem \
   `openssl x509 -in certs/​CCA2005.pem -noout -hash`.0   `openssl x509 -in certs/​CCA2005.pem -noout -hash`.0
-</xterm>+</code>
  
 Kořenový certifikát,​ soubor ''​CCA2005.pem'',​ získáte na stránkách [[http://​www.cesnet.cz/​pki/​|CESNET CA]]. Kořenový certifikát,​ soubor ''​CCA2005.pem'',​ získáte na stránkách [[http://​www.cesnet.cz/​pki/​|CESNET CA]].
Řádek 138: Řádek 138:
 Instalace je následující:​ Instalace je následující:​
  
-<xterm>+<code bash>
 radius1:​~/​getcrl-1.9#​ ./configure --prefix=/​usr/​local/​getcrl-1.9 --sysconfdir=/​etc \ radius1:​~/​getcrl-1.9#​ ./configure --prefix=/​usr/​local/​getcrl-1.9 --sysconfdir=/​etc \
    ​--with-crt-dir=/​etc/​ssl --with-crl-dir=/​etc/​ssl    ​--with-crt-dir=/​etc/​ssl --with-crl-dir=/​etc/​ssl
 radius1:​~/​getcrl-1.9#​ make radius1:​~/​getcrl-1.9#​ make
 radius1:​~/​getcrl-1.9#​ make install radius1:​~/​getcrl-1.9#​ make install
-</xterm>+</code>
  
 Vytvořte soubor ''/​etc/​getcrls.cfg''​ s obsahem: Vytvořte soubor ''/​etc/​getcrls.cfg''​ s obsahem:
Řádek 153: Řádek 153:
 Vyzkoušejte,​ jestli vše funguje: ​ Vyzkoušejte,​ jestli vše funguje: ​
  
-<xterm>+<code bash>
 radius1:~# /​usr/​local/​getcrl-1.9/​sbin/​getcrls.sh -s radius1:~# /​usr/​local/​getcrl-1.9/​sbin/​getcrls.sh -s
-</xterm>+</code>
  
 Výstup by měl vypadat takto: Výstup by měl vypadat takto:
Řádek 178: Řádek 178:
 správně spočítat lifetime pro SA. Vzorec naleznete v [[:​cs:​spravce:​pripojovani:​ipsec:​uvod|obecném popisu parametrů IPsec spojení]]. správně spočítat lifetime pro SA. Vzorec naleznete v [[:​cs:​spravce:​pripojovani:​ipsec:​uvod|obecném popisu parametrů IPsec spojení]].
  
-<xterm>+<code bash>
 path certificate "/​etc/​ssl";​ path certificate "/​etc/​ssl";​
  
Řádek 214: Řádek 214:
   proposal_check claim;   proposal_check claim;
 } }
-</xterm>+</code>
  
 Sekce s ''​listen {...}''​ je volitelná a je na zvážení Sekce s ''​listen {...}''​ je volitelná a je na zvážení
Řádek 235: Řádek 235:
 radius1.eduroam.cz'',​ aby měl racoon důvod začít pracovat: radius1.eduroam.cz'',​ aby měl racoon důvod začít pracovat:
  
-<xterm>+<code bash>
 radius1:~# racoon -F -4 -f /​etc/​racoon.conf radius1:~# racoon -F -4 -f /​etc/​racoon.conf
-</xterm>+</code>
  
 Pro ukázku uvádím komunikaci s ''​radius1.eduoram.cz'':​ Pro ukázku uvádím komunikaci s ''​radius1.eduoram.cz'':​
  
-<xterm>+<code>
 @(#​)ipsec-tools 0.6.4 (ipsec-tools.sourceforge.net) @(#​)ipsec-tools 0.6.4 (ipsec-tools.sourceforge.net)
 @(#)This product linked OpenSSL 0.9.7e 25 Oct 2004 (www.openssl.org) @(#)This product linked OpenSSL 0.9.7e 25 Oct 2004 (www.openssl.org)
Řádek 255: Řádek 255:
 IPsec-SA established:​ ESP/​Transport 195.113.187.22[0]->​**10.0.0.1**[0] spi=48516199(0x2e44c67) IPsec-SA established:​ ESP/​Transport 195.113.187.22[0]->​**10.0.0.1**[0] spi=48516199(0x2e44c67)
 IPsec-SA established:​ ESP/​Transport **10.0.0.1**[0]->​195.113.187.22[0] spi=107434508(0x667520c) IPsec-SA established:​ ESP/​Transport **10.0.0.1**[0]->​195.113.187.22[0] spi=107434508(0x667520c)
-</xterm>+</code>
  
 Další možností kontroly funkce racoona je výpis SA pomocí příkazu ''​setkey -D''​. Další možností kontroly funkce racoona je výpis SA pomocí příkazu ''​setkey -D''​.
Poslední úprava:: 2018/06/15 12:50