2つのホスト(OpenBSD)間のLANでIPSECを設定する

2つのホスト(OpenBSD)間のLANでIPSECを設定する

もともとServerFaultでこの質問をしましたが、何も得られませんでした。ここにOpenBSDの専門家がいることを願っています。

LAN上の2つのホスト間でIPSECを試してください。VPNは含まれていません

OpenBSD 5.8を使用する(VirtualBoxで)。私は第三者ではなくOpenBSDの組み込みIPSECサポートを使用することを好みます。

2つのホスト:(10.0.2.10ホスト「A」)と10.0.2.11(ホスト「B」)

IPSECを設定する前に、互いにping / sshを実行できます。

Aを/etc/iked/local.pubBにコピー BをAに/etc/iked/pubkeys/ipv4/10.0.2.10
コピー/etc/iked/local.pub/etc/iked/pubkeys/ipv4/10.0.2.11

両側:

echo "ikev2 esp from any to any" > /etc/iked.conf

chmod 640 /etc/iked.conf

echo "ipsec=YES" > /etc/rc.conf.local

echo "iked_flags=" >> /etc/rc.conf.local

構成を確認してください。

/sbin/iked -n
Configuration OK

次は何をすべきか混乱しています。これを設定する必要があるようですが、/etc/ipsec.confIKEv1文書のみが見つかりました。

両方のコンピュータを再起動します。エラーはありません。 ikedデーモンが始まったと言います。公開鍵の名前を別のものに変更すると、まだPingができるため、IPSECが機能しないようです。

  1. 他に何を構成する必要がありますか?
  2. IPSECとikedログはありますか?では、どこで見つけることができますか?
  3. システム間のデータパケットをチェックせずに設定後にIPSECが正常に動作することを確認する方法は?

修正する:

IKEDなしでIPSECが動作するようにしました(私の考えでは?):

/etc/ipsec.conf:

flow esp from 10.0.2.10 to 10.0.2.11

esp transport from 10.0.2.10 to 10.0.2.11 \
spi 0xCAFEBABE:0xCAFEBABE \
authkey 0x64CHARHEX:0x64CHARHEX \
enckey 0x64CHARHEX:0x64CHARHEX

16進数にはすべて大文字が必要です。

chmod 640 /etc/ipsec.conf

ipsecctl -F (delete config)
ipsecctl -f /etc/ipsec.conf (load config)
ipsecctl -s all -v (show config)

私はIKEの自動キーを使用することを好みます。どうですか?

関連情報