Kame racoon имеет достаточно неплохие настройки по-умолчанию, так что мы не будем их касаться. Как уже говорилось выше, мы должны определить только политику безопасности, оставив право на создание защищенных каналов за демоном IKE.
В этом примере, мы опять вернемся к нашим хостам 10.0.0.11 и 10.0.0.216, и еще раз попробуем установить защищенное соединение между ними, но на сей раз с помощью racoon. Для упрощения конфигурации будем использовать предопределенные ключи, сертификаты X.509 будут обсуждаться в отдельном разделе (см. раздел Автоматизация с использованием сертификатов X.509 ).
Мы будем придерживаться конфигурации, заданной практически по-умолчанию и идентичной для обоих хостов:
>path pre_shared_key "/usr/local/etc/racoon/psk.txt";
>remote anonymous
>{
> exchange_mode aggressive,main;
> doi ipsec_doi;
> situation identity_only;
> my_identifier address;
> lifetime time 2 min; # sec,min,hour
> initial_contact on;
> proposal_check obey; # obey – повиноваться, требованиям и ограничениям
> proposal {
> encryption_algorithm 3des;
> hash_algorithm sha1;
> authentication_method pre_shared_key;
> dh_group 2 ;
> }
>}
>sainfo anonymous {
> pfs_group 1;
> lifetime time 2 min;
> encryption_algorithm 3des ;
> authentication_algorithm hmac_sha1;
> compression_algorithm deflate ;
>}
Многие из параметров настройки, на мой взгляд, могут быть удалены, поскольку они достаточно близки к заданным по-умолчанию. Здесь приведены два анонимных параметра, которые применяются ко всем удаленным хостам, за счет чего достигается простота конфигурации. На данный момент пока нет особой потребности в создании настроек для каждого конкретного хоста.
Кроме того, в настройках задана самоидентификация на основе собственного IP-адреса (my_identifier address). Затем объявляются используемые алгоритмы шифрования — 3des и sha1 и указывается, что будут использоваться предопределенные ключи, расположенные в файле psk.txt.
Содержимое файлов psk.txt с ключами приводится ниже. Для разных хостов они различны. Для хоста 10.0.0.11:
>10.0.0.216 password2
Для хоста 10.0.0.216:
>10.0.0.11 password2
Назначте владельцем файла суперпользователя (root), и установите права доступа 0600, в противном случае racoon откажется доверять их содержимому.