aaaaa - ключ (пароль)
bbbbb - криптокарта (используется только на Cisco)
w.w.w.w - внешний IP адрес Cisco
x.x.x.x - внешний IP адрес FlyRouter
y.y.y.y - Cisco LAN
z.z.z.z - FlyRouter LAN
Пример конфигурационных файлов на FlyRouter - ipsec.conf и ipsec.secrets:
# Openswan IPsec configuration file version 2.0 config setup interfaces="ipsec0=eth0" plutodebug=none klipsdebug=none uniqueids=yes conn flyrouter-cisco # Left (my) settings left= x.x.x.x leftsubnet= z.z.z.z/30 # Right (remote) settings right= w.w.w.w rightsubnet= y.y.y.y/30 # Security settings authby= secret pfs= yes auto= start esp= 3des-md5 #Disable Opportunistic Encryption include /etc/ipsec.d/examples/no_oe.conf
x.x.x.x w.w.w.w : PSK "aaaaa"
Внимание, формат данных файлов имеет значение - делайте такое-же форматирование (отступы в начале строк).
При использовании gprs, cdma и других ppp подключений указывайте правильное название шифруемых интерфейсов.
Например interfaces=“ipsec0=gprs1”, interfaces=“ipsec0=cdma1”, interfaces=“ipsec0=pptp1” и т.д.
Пример настройки Cisco:
crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2 lifetime 28800 crypto isakmp key aaaaa address x.x.x.x no-xauth crypto ipsec transform-set bbbbb esp-3des esp-md5-hmac crypto map bbbbb 71 ipsec-isakmp description "*** IPSEC FlyRouter-Cisco ***" set peer x.x.x.x set security-association lifetime seconds 28800 set transform-set bbbbb set pfs group2 match address 168 access-list 168 permit ip y.y.y.y 0.0.0.3 z.z.z.z 0.0.0.3 interface Serial1/1.500 point-to-point description "*** Internet ***" ip address w.w.w.w 255.255.255.252 frame-relay interface-dlci 500 crypto map bbbbb
Так-же не забудьте дополнительно прописать роутинг на Cisco:
ip route z.z.z.z 255.255.255.252 x.x.x.x
Проверка туннеля:
Если все сделано правильно, то туннель поднимется за несколько секунд.
Убедиться в том, что шифрованное соединение установлено можно выполнив команду logread (искать строку в которой есть IPsec SA established).
Jan 1 02:39:25 (none) authpriv.warn pluto[5381]: "flyrouter-cisco" #1: transition from state STATE_MAIN_I3 to state STATE_MAIN_I4 Jan 1 02:39:25 (none) authpriv.warn pluto[5381]: "flyrouter-cisco" #1: STATE_MAIN_I4: ISAKMP SA established {auth=OAKLEY_PRESHARED_KEY cipher=oakley_3des_cbc_192 prf=oakley_md5 group=modp1024} Jan 1 02:39:25 (none) authpriv.warn pluto[5381]: "flyrouter-cisco" #2: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP {using isakmp#1} Jan 1 02:39:27 (none) authpriv.warn pluto[5381]: "flyrouter-cisco" #2: ignoring informational payload, type IPSEC_RESPONDER_LIFETIME Jan 1 02:39:27 (none) authpriv.warn pluto[5381]: "flyrouter-cisco" #2: transition from state STATE_QUICK_I1 to state STATE_QUICK_I2 Jan 1 02:39:27 (none) authpriv.warn pluto[5381]: "flyrouter-cisco" #2: STATE_QUICK_I2: sent QI2, IPsec SA established {ESP=>0xc86b47ea <0x40c96934 xfrm=3DES_0-HMAC_MD5 NATD=none DPD=none}
Чтобы проверить, шифрует ли IPsec пакеты, передаваемые между узлами (или сетями), запустите утилиту tcpdump и проанализируйте пересылаемые сетевые пакеты. Пакет должен содержать заголовок AH и данные ESP которые указывают на то, что IPsec работает с шифрованием.
# tcpdump 17:13:20.617872 pinky.example.com > ijin.example.com: \ AH(spi=0x0aaa749f,seq=0x335): ESP(spi=0x0ec0441e,seq=0x335) (DF)
Максимальная пропускная способность такого туннеля на аппаратной платформе FlyRouter примерно 1,5 Mbit/s.