Linux Advanced Routing & Traffic Control HOWTO (Hubert, Graf) - страница 25

>10.0.0.11 10.0.0.216

>        esp mode=transport spi=165123736(0x09d79698) reqid=0(0x00000000)

>        E: 3des-cbc d7af8466 acd4f14c 872c5443 ec45a719 d4b3fde1 8d239d6a

>        A: hmac-sha1 41ccc388 4568ac49 19e4e024 628e240c 141ffe2f

>        seq=0x00000000 replay=4 flags=0x00000000 state=mature

>        created: Nov 11 12:28:45 2002   current: Nov 11 12:29:16 2002

>        diff: 31(s)     hard: 600(s)    soft: 480(s)

>        last:                           hard: 0(s) soft: 0(s)

>        current: 231(bytes)     hard: 0(bytes) soft: 0(bytes)

>        allocated: 2    hard: 0 soft: 0

>        sadb_seq=0 pid=17112 refcnt=0

А команда setkey –DP — список политик безопасности, даст такой результат:

>10.0.0.11[any] 10.0.0.216[any] tcp

>        in ipsec

>        esp/transport//require

>        created:Nov 11 12:28:28 2002 lastused:Nov 11 12:29:12 2002

>        lifetime:0(s) validtime:0(s)

>        spid=3616 seq=5 pid=17134

>        refcnt=3

>10.0.0.216[any] 10.0.0.11[any] tcp

>        out ipsec

>        esp/transport//require

>        created:Nov 11 12:28:28 2002 lastused:Nov 11 12:28:44 2002

>        lifetime:0(s) validtime:0(s)

>        spid=3609 seq=4 pid=17134

>        refcnt=3

Если этот вариант у вас не работает, проверьте — все ли файлы конфигурации принадлежат суперпользователю (root) и доступны на чтение только ему. Чтобы запустить racoon в приоритетном режиме, используйте ключ '-f'. Чтобы указать ему местоположение файла конфигурации — ключ '-f'. Для того, чтобы увеличить детальность, добавьте инструкцию 'log debug;' в racoon.conf.

Как уже говорилось, использование предопределенных ключей осложнено необходимостью тесной координации с удаленной стороной, что не всегда бывает удобно. Кроме того, при согласовании ключевой информации она становится известной нескольким лицам (по крайней мере двоим), а секрет, который знают несколько человек, перестает быть секретом. К счастью существуют асимметричные технологии кодирования, которые помогают снять эту проблему.

Если каждая из сторон, использующих IPSEC, создаст открытый и секретный ключи, то обе стороны, обменявшись своими открытыми ключами и настроив политику безопасности, смогут установить защищенное соединение.

Процедура создания ключей относительно проста, хотя и требует выполнения некоторых дополнительных действий. Ниже рассматривается пример использования, для этих целей, утилиты openssl.

OpenSSL обладает разветвленной инфраструктурой поддержки ключей, используемых для подтверждения сертификатов подлинности. Прямо сейчас, мы с вами пройдем всю процедуру создания сертификатов и настройки защищенного соединения.