2010-03-16

racoon の IKE 設定用ファイル(racoon.conf)について

 
* めためた

  • number : means a hexadecimal or a decimal number. The former must be prefixed with `0x'.
  • string
  • path
  • file : means any string enclosed in `"' (double quotes).
  • address : means IPv6 and/or IPv4 address.
  • port : means a TCP/UDP port number. The port number is always enclosed by `[' and `]'.
  • timeunit : is one of following: sec, secs, second, seconds, min, mins, minute, minutes, hour, hours.



* パスの仕様

  • path include path;
    他の設定ファイルをインクルードする
  • path pre_shared_key file;
    事前共有鍵のファイルを指定する
  • path certificate path;
    証明書と秘密鍵のパスを指定する



* フェーズ 1

  • remote (address | anonymous) [[port]] { ... }
    IKE フェーズ 1 を設定する
    • default port : 500

** フェーズ 1 -> remote パラメータの設定
  • exchange_mode (main | agressive | base);
    認証モードを指定する(カンマ区切りで複数指定が可能)
    • main : ID を保護 (ID に address しか使えなくなる)
    • aggressive :
    • base :
  • lifetime time number timeunit;
    ISAKMP SA (IKE SA)の有効時間
  • passive (on | off);
    ネゴシエートしない
    (※ サーバ用に便利)
    • default : off
  • generate_policy (on | off);
    ポリシーの自動生成をする
    (※ IPアドレスが動的に割り当てられているクライアントとネゴシエートするのに便利)
    • default : off
  • nat_traversal (on | off | force);
    NAT-Traversal を利用する
    • default : off
    • on :
    • off :
    • force :
  • ike_frag (on | off | force);
    IKE フラグメンテーションを利用する
    • default : off
  • esp_frag fraglen;
    ESP フラグメンテーションを利用する
    トンネルモードで NAT-Traversal を利用するときのみ有効
  • proposal { ... }
    IKE-SA のパラメータを設定する

*** フェーズ 1 -> remote パラメータ -> IKE-SA のパラメータの設定
  • encryption_algorithm algorithm;
    暗号化アルゴリズム
    • algorithm : des, 3des, blowfish, cast128, aes, camellia
  • hash_algorithm algorithm;
    ハッシュアルゴリズム
    • algorithm : md5, sha1, sha256, sha384, sha512
  • authentication_method type;
    認証方式
    • type : pre_shared_key, rsasig (for plain RSA authentication), gssapi_krb, hybrid_rsa_server, hybrid_rsa_client, xauth_rsa_server, xauth_rsa_client, xauth_psk_server, xauth_psk_client
  • dh_group group;
    Diffie-Hellman グループ
    • group : modp768, modp1024, modp1536, modp2048, modp3072, modp4096, modp6144, modp8192 or 1, 2, 5, 14, 15, 16, 17, 18



* フェーズ 2

  • sainfo (source_id destination_id | anonymous) [from idtype [string]] { ... }
    IKE フェーズ 2(IPsec-SA 確立) を設定する

** フェーズ 2 -> sainfo パラメータの設定
  • pfs_group group;
    Diffie-Hellman グループ
    • group : modp768, modp1024, modp1536, modp2048, modp3072, modp4096, modp6144, modp8192 or 1, 2, 5, 14, 15, 16, 17, 18
  • lifetime time number timeunit;
    IPsec SA の有効時間
  • encryption_algorithm algorithms;
    暗号化アルゴリズム
    • des, 3des, des_iv64, des_iv32, rc5, rc4, idea, 3idea, cast128, blowfish, null_enc, twofish, rijndael, aes, camellia (used with ESP)
  • authentication_algorithm algorithms;
    認証アルゴリズム
    • des, 3des, des_iv64, des_iv32, hmac_md5, hmac_sha1, hmac_sha256, hmac_sha384, hmac_sha512, non_auth (used with ESP authentication and AH)
  • compression_algorithm algorithms;
    圧縮アルゴリズム
    • dflate




* 詳細

man racoon.conf

もしくは




* 環境

CentOS release 5.4 (Final) + kernel 2.6.18
ipsec-tools 0.6.5
 

0 件のコメント:

コメントを投稿