Файлы System/bin Android 12. Справочник.
  Все     Команда     Скрипт     Служба     Приложение  
racoon
Демон для управления туннелем ISAKMP в IPSec
Тип файла: команда
  Рус  
usage:  racoon <interface> <server> [...], where [...] can be:

 udppsk    <identifier> <pre-shared-key> <port>;
 udprsa    <user-private-key> <user-certificate> \
           <ca-certificate> <server-certificate> <port>;
 xauthpsk  <identifier> <pre-shared-key> \
           <username> <password> <phase1-up> <script-arg>;
 xauthrsa  <user-private-key> <user-certificate> \
           <ca-certificate> <server-certificate> \
           <username> <password> <phase1-up> <script-arg>;
 hybridrsa <ca-certificate> <server-certificate> \
           <username> <password> <phase1-up> <script-arg>;
   
Комментарии
IPSec — набор техник и протоколов по организации защищенного соединения

Для IPSec не создается явных туннельных интерфейсов, через которые можно маршрутизировать трафик.
Вместо этого в IPSec предусмотрена концепция так называемых Security Assotiations (SA).
SA - это туннель от одного сетевого устройства к другому.

SA — не сетевой интерфейс, классическая маршрутизация здесь не используется.
Вместо таблицы маршрутизации применена концепция Security Policy (SP).


Фреймворк ISAKMP содержит описание процедур IPSec.
В нем описываются термины SA, SP, SAD (Security Assotiations Database),
SPD (Security Policy Database), необходимость установки вспомогательных туннелей.

ISAKMP вводит необходимые определения, чтобы не зависеть от технологий туннелирования,
алгоритмов аутентификации и шифрования.
IKE(v1/2) — непосредственно протокол аутентифиации, который реализует алгоритмы
обмена ключами и их применение (ISAKMP и IKE являются синонимами).

Перед шифрованием трафика стороны должны договориться о параметрах (и ключах)
этого шифрования. Для этого между обоими сторонами поднимается вспомогательный туннель
(ISAKMP туннель), который действует все время.

Туннель двунаправленный и представляет из себя соединение по UDP (по умолчанию на порту 500).
Для его организации стороны должны проверить подлинность друг друга по совпадению пароля.
Этим занимается протокол IKEv1/2 (Internet Key Exchange). И уже по организованному ISAKMP
туннелю стороны договариваются о шифровании непосредственно пользовательского трафика.

Организация IPSecа делится на две фазы:
- создание вспомогательного туннеля ISAKMP
- создание туннеля пользовательских данных

(https://habr.com/ru/articles/425079)