もともとServerFaultでこの質問をしましたが、何も得られませんでした。ここにOpenBSDの専門家がいることを願っています。
LAN上の2つのホスト間でIPSECを試してください。VPNは含まれていません
OpenBSD 5.8を使用する(VirtualBoxで)。私は第三者ではなくOpenBSDの組み込みIPSECサポートを使用することを好みます。
2つのホスト:(10.0.2.10
ホスト「A」)と10.0.2.11
(ホスト「B」)
IPSECを設定する前に、互いにping / sshを実行できます。
Aを/etc/iked/local.pub
Bにコピー BをAに/etc/iked/pubkeys/ipv4/10.0.2.10
コピー/etc/iked/local.pub
/etc/iked/pubkeys/ipv4/10.0.2.11
両側:
echo "ikev2 esp from any to any" > /etc/iked.conf
chmod 640 /etc/iked.conf
echo "ipsec=YES" > /etc/rc.conf.local
echo "iked_flags=" >> /etc/rc.conf.local
構成を確認してください。
/sbin/iked -n
Configuration OK
次は何をすべきか混乱しています。これを設定する必要があるようですが、/etc/ipsec.conf
IKEv1文書のみが見つかりました。
両方のコンピュータを再起動します。エラーはありません。 ikedデーモンが始まったと言います。公開鍵の名前を別のものに変更すると、まだPingができるため、IPSECが機能しないようです。
- 他に何を構成する必要がありますか?
- IPSECとikedログはありますか?では、どこで見つけることができますか?
- システム間のデータパケットをチェックせずに設定後にIPSECが正常に動作することを確認する方法は?
修正する:
IKEDなしでIPSECが動作するようにしました(私の考えでは?):
/etc/ipsec.conf
:
flow esp from 10.0.2.10 to 10.0.2.11
esp transport from 10.0.2.10 to 10.0.2.11 \
spi 0xCAFEBABE:0xCAFEBABE \
authkey 0x64CHARHEX:0x64CHARHEX \
enckey 0x64CHARHEX:0x64CHARHEX
16進数にはすべて大文字が必要です。
chmod 640 /etc/ipsec.conf
ipsecctl -F (delete config)
ipsecctl -f /etc/ipsec.conf (load config)
ipsecctl -s all -v (show config)
私はIKEの自動キーを使用することを好みます。どうですか?