racoon Демон для управления туннелем ISAKMP в IPSec Тип файла: команда usage: racoon <interface> <server> [...], udppsk <identifier> <pre-shared-key> <port> udprsa <user-private-key> <user-certificate> <ca-certificate> <server-certificate> <port> xauthpsk <identifier> <pre-shared-key> <username> <password> <phase1-up> <script-arg> xauthrsa <user-private-key> <user-certificate> <ca-certificate> <server-certificate> <username> <password> <phase1-up> <script-arg> hybridrsa <ca-certificate> <server-certificate> <username> <password> <phase1-up> <script-arg> Комментарии Для IPSec не создается явных туннельных интерфейсов, через которые можно маршрутизировать трафик. Вместо этого в IPSec предусмотрена концепция так называемых Security Assotiations (SA). SA - это туннель от одного сетевого устройства к другому. SA — не сетевой интерфейс, классическая маршрутизация здесь не используется. Вместо таблицы маршрутизации применена концепция Security Policy (SP). Фреймворк ISAKMP содержит описание процедур IPSec. В нем описываются термины SA, SP, SAD (Security Assotiations Database), SPD (Security Policy Database), необходимость установки вспомогательных туннелей. ISAKMP вводит необходимые определения, чтобы не зависеть от технологий туннелирования, алгоритмов аутентификации и шифрования. IKE(v1/2) — непосредственно протокол аутентифиации, который реализует алгоритмы обмена ключами и их применение (ISAKMP и IKE являются синонимами). Перед шифрованием трафика стороны должны договориться о параметрах (и ключах) этого шифрования. Для этого между обоими сторонами поднимается вспомогательный туннель (ISAKMP туннель), который действует все время. Туннель двунаправленный и представляет из себя соединение по UDP (по умолчанию на порту 500). Для его организации стороны должны проверить подлинность друг друга по совпадению пароля. Этим занимается протокол IKEv1/2 (Internet Key Exchange). И уже по организованному ISAKMP туннелю стороны договариваются о шифровании непосредственно пользовательского трафика. Организация IPSecа делится на две фазы: - создание вспомогательного туннеля ISAKMP - создание туннеля пользовательских данных (https://habr.com/ru/articles/425079) |