impostazione strongswan per l'ambiente ipsec

3

Ho creato due cloni ubuntu di virtualbox allo scopo di configurare una rete di test ipsec con strongswan; Sto cercando di seguire questa guida . Le macchine virtualbox sono su un adattatore a ponte e io verifica che possano connettersi eseguendo il ping all'ip l'una dell'altra, che supera

Fondamentalmente ho creato una configurazione net-net come descritto nella documentazione, Sulla macchina a sinistra, sostituisco right in ipsec.conf con l'ip mostrato quando si esegue ifconfig sulla macchina giusta e viceversa sulla destra.

(Come breve commento a lato, voglio usare un segreto privato condiviso da canali sicuri, i presumo che ciò implichi uno schema di crittografia a chiave simmetrica, poiché qualsiasi cosa per quanto riguarda una chiave pubblica sarebbe un po 'meno sicuro, e per essere abbastanza chiaro, questo è un problema per i paesi in cui i governi toccherà tutte le tue connessioni, quindi il MITM è un vero problema. , non esitare a chiarire)

torna al problema tecnico, in luna, ho creato un file /etc/ipsec.d/moonKey.pem che contiene una stringa segreta e poi in /etc/ipsec.secrets:

: RSA moonKey.pem

senza passphrase, poiché la stringa in moonKey.pem è in chiaro

Allo stesso modo, in sole ho creato un file /etc/ipsec.d/sunKey.pem che contiene la stessa stringa segreta della luna. * Suppongo che questi saranno i PSK

Eseguo quindi sudo ipsec restart e non ottengo errori, ma eseguendo il ping dell'intera sottorete 10.2.0.0 da moon non ottengo alcuna risposta, e allo stesso modo da sun, quindi sembra che l'installazione non abbia superato

qualche idea su cosa potrei fare storto? o come eseguire il debug di questo problema?

btw, volevo creare questi tag ma non ho ancora abbastanza rep:

strongswan private-shared-key ubuntu-10.10

    
posta lurscher 13.04.2011 - 02:26
fonte

1 risposta

3

L'impostazione descritta nel documento che citi è adatta all'autenticazione basata su certificato. Il tag RSA in ipsec.secrets significa esattamente che il file moonKey.pem contiene la chiave privata RSA.

Che cosa devi fare per utilizzare Chiavi precondivise (PSK) :

  • nei tuoi ipsec.secrets hai bisogno di una riga con il tag PSK seguito dal segreto stesso tra virgolette. Come questo: %codice%
  • poiché non utilizzi i certificati devi eliminare le righe 192.168.0.1 %any : PSK "v+NkxY9LLZvwj4qCC2o/gGrWDF2d21jL" e leftcert da ipsec.conf .
  • in ipsec.conf aggiungi la riga rightid appena sotto l'istruzione authby=secret per specificare il meccanismo di autenticazione PSK.
  • non hai bisogno di alcun file conn .

Non riesco a testare queste modifiche in questo momento, quindi forse mi manca qualcosa.

Come nota a margine, la crittografia a chiave pubblica non è inferiore alla crittografia a chiave simmetrica. Se usati correttamente, sono entrambi sicuri.

    
risposta data 13.04.2011 - 19:31
fonte

Leggi altre domande sui tag