lo primero que debemos hacer es instalar el paquete ipsec-tools
apt-get install ipsec-tools
luego editamos el archivo ipsec-tools.conf, comenzamos por descomentar las siguientes lineas:
flush;
spdflush;
si queremos implementar AH agregamos las siguientes lineas:
#AH#
add IPlocal IPdestino ah 0x200 -A hmac-md5 0x"clave generada de 128 bits";
add IPdestino IPlocal ah 0x300 -A hmac-md5 0x"clave generada de 128 bits";
#
#politicas de seguridad#
spdadd 192.168.1.1 192.168.1.2 any -P out ipsec
ah/transport//require;
# esp/transport//require;
spdadd 192.168.1.2 192.168.1.1 any -P in ipsec
ah/transport//require;
# esp/transport//require;
(las claves mencionadas se generan con el siguiente comando)
dd if=/dev/random count=16 bs=1| xxd -ps para AH
dd if=/dev/random count=24 bs=1| xxd -ps para ESP
si queremos implementar ESP agregamos las siguientes lineas:
#ESP#
add IPlocal IPdestino esp 0x200 -E 3des-cbc 0x"clave generada de 192 bits";
add IPdestino IPlocal esp 0x300 -E 3des-cbc 0x"clave generada de 192 bits";
#
#politicas de seguridad#
spdadd 192.168.1.1 192.168.1.2 any -P out ipsec
esp/transport//require;
# ah/transport//require;
spdadd 192.168.1.2 192.168.1.1 any -P in ipsec
esp/transport//require;
# ah/transport//require;
y provamos si la configuracion esta buena con el siguiente comando:
setkey -f /etc/ipsec-tools.conf
luego instalamos el paquete tcpdump
apt-get install tcpdump
ahora podemos comprobar si esta funcionando con el siguiente comando:
tcpdump -i eth0 src host 192.168.1.1 or dst 192.168.1.2
hasta aqui todo debe estar correcto.
configuracion con racoon
instalamos el paquete racoon (durante la instalacion nos pregunta el modo de configuracion para el demonio IKE de racoon, al que configuraremos en modo directo)
apt-get install racoon
luego de la instalacion verificamos la creacion de tres archivos en el directorio racoon:
/etc/racoon/psk.txt
/etc/racoon/racoon.conf
/etc/racoon/racoon-tool.conf
ahora editamos el archivo psk.txt, comentamos todas las lineas y agregamos las siguientes:
pico /etc/racoon/psk.txt
#direcciones IPv4
192.168.1.1
192.168.1.2 0x"clave generada de 128 bits";
# USER_FQDN
cuenta@dominio.net
# FQDN
luego editamos el archivo racoon.conf, comentamos la linea #path certificate "/etc/racoon/certs"; para trabajar con clave precompartida, y copiamos o modificamos la remote.
#path certificate "/etc/racoon/certs";
remote 192.168.1.2 {
exchange_mode main,aggressive;
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group modp1024;
}
generate_policy off;
}
sainfo address 192.168.1.2[any] any address 192.168.1.1/24[any] any {
pfs_group modp768;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}
sainfo address 192.168.1.1[any] any address 192.168.1.2/24[any] any {
pfs_group modp768;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}
luego reiniciamos el racoon.
/etc/init.d/racoon restart
y ya solo queda comprobar que todo esta funcionando correctamente, todo debe estar bien.
tcpdump -i eth0 src host 192.168.1.1 or dst 192.168.1.2