投稿日:2003年09月26日 作成鷹の巣

No.12545 /etc/ipsec.confの記述の仕方



/etc/ipsec.confの記述の仕方

No.12545 投稿時間:2003年09月26日(Fri) 02:59 投稿者名:hozumi-chan URL:

宜しくお願い致します。

Win2k(192.168.0.102)
|
eth0(192.168.0.2)
RedHat9
ppp0(ccc.ccc.ccc.ccc)
|
ADSLモデム
|(↑事務所側)
|
WAN
|
|(↓自宅側)
ADSLモデム
|
ppp0(aaa.aaa.aaa.aaa)
RedHat9
eth0(192.168.0.1)
|
Win2k(192.168.0.89)

として"事務所⇔自宅"でipsecでのトンネリングを実現したく思っています。先ず自
宅のRedHat9で

# hostname
hoge.co.jp
# uname -a
Linux hoge.co.jp 2.4.20-8 #1 Thu Mar 13 17:54:28 EST 2003 i686 i686 i386
GNU/Linux
としてカーネルのバージョンを確認してから
ftp://ftp.xs4all.nl/pub/crypto/freeswan/binaries/RedHat-RPMs/2.4.20-8/
から
freeswan-module-2.01_2.4.20_8-0.i386.rpm
freeswan-userland-2.01_2.4.20_8-0.i386.rpm
をダウンロードして
# rpm -ihv freeswan-module-2.01_2.4.20_8-0.i386.rpm
# rpm -ihv freeswan-userland-2.01_2.4.20_8-0.i386.rpm
# mv /lib/modules/2.4.20-8/kernel/net/ipsec/ipsec.o
/lib/modules/2.4.20-8/kernel/net/ipsec/ipsec.o.org
# cp /lib/modules/2.4.20-8/kernel/net/ipsec/e12ace44
/lib/modules/2.4.20-8/kernel/net/ipsec/ipsec.o
↑ブート時にipsec.oエラー、e12ace44を使えというメッセージが出た為
# mv /etc/rc.d/rc3.d/S47ipsec /etc/rc.d/rc3.d/S99ipsec
↑ppp0接続前だとipsec起動エラーが出た為
# reboot
#lsmod | grep ipsec
ipsec 263232 2
として組込まれているモジュールの確認
# ps ax | grep pluto
2189 ? S 0:00 /bin/sh
usr/local/lib/ipsec/_plutorun --debug --uniqueids
es --dump --opts --stderrlog --wait no --pre --post --log
daemon.error --pid /var/run/pluto.pid
2190 ? S 0:00 /bin/sh
usr/local/lib/ipsec/_plutorun --debug --uniqueids
es --dump --opts --stderrlog --wait no --pre --post --log
daemon.error --pid /var/run/pluto.pid
2191 ? S 0:00
/usr/local/libexec/ipsec/pluto --nofork --secretsfile
/etc/ipsec.secrets --policygroupsdir /etc/ipsec.d/policies --uniqueids
2192 ? S 0:00 /bin/sh /usr/local/lib/ipsec/_plutoload --wait
no --post
2193 ? S 0:00 logger -s -p daemon.error -t ipsec__plutorun
2217 ? S 0:00 _pluto_adns
7161 ? S 0:00 _pluto_adns
7867 pts/2 S 0:00 grep pluto
# ipsec showdefaults
routephys=ppp0
routevirt=ipsec0
routeaddr=aaa.aaa.aaa.aaa
routenexthop=bbb.bbb.bbb.bbb
# ifconfig
eth0 Link encap:Ethernet HWaddr 00:90:CC:A6:4F:43
inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:225 errors:0 dropped:0 overruns:0 frame:0
TX packets:66 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:21160 (20.6 Kb) TX bytes:7090 (6.9 Kb)
Interrupt:3 Base address:0x300
eth1 Link encap:Ethernet HWaddr 00:90:CC:44:4B:FB
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:241 errors:0 dropped:0 overruns:0 frame:0
TX packets:211 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:20226 (19.7 Kb) TX bytes:14759 (14.4 Kb)
Interrupt:5 Base address:0x320
ipsec0 Link encap:Point-to-Point Protocol
inet addr:aaa.aaa.aaa.aaa Mask:255.255.255.255
UP RUNNING NOARP MTU:16260 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:81 errors:0 dropped:9 overruns:0 carrier:0
collisions:0 txqueuelen:10
RX bytes:0 (0.0 b) TX bytes:5118 (4.9 Kb)
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:15858 errors:0 dropped:0 overruns:0 frame:0
TX packets:15858 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1109018 (1.0 Mb) TX bytes:1109018 (1.0 Mb)
ppp0 Link encap:Point-to-Point Protocol
inet addr:aaa.aaa.aaa.aaa P-t-P:bbb.bbb.bbb.bbb
Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1454 Metric:1
RX packets:115 errors:0 dropped:0 overruns:0 frame:0
TX packets:85 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:10046 (9.8 Kb) TX bytes:5240 (5.1 Kb)
# ipsec verify
Checking your system to see if IPsec got installed and started correctly
Version check and ipsec on-path [OK]
Checking for KLIPS support in kernel [OK]
Checking for RSA private key (/etc/ipsec.secrets) [OK]
Checking that pluto is running [OK]
DNS checks.
Looking for TXT in forward map: hoge.co.jp [MISSING]
Does the machine have at least one non-private address [OK]
Two or more interfaces found, checking IP forwarding [OK]
Checking NAT and MASQUERADING

という風になりました。この時点ではまだ/etc/ipsec.confや/etc/ipsec.secretsは
全く何もいじってません。この後、ipsecを停止してから

# grep -v ^# /etc/ipsec.conf
version 2.0 # conforms to second version of ipsec.conf specification
config setup
interfaces=%defaultroute
klipsdebug=none
plutodebug=none
plutoload=%search
plutostart=%search
uniqueids=yes
conn %default
type=tunnel
keyingtries=0
authby=secret
keylife=1h
pfs=yes
conn aa-to-cc
left=aaa.aaa.aaa.aaa #自分
leftsubnet=192.168.0.0/24
leftid=@hoge.co.jp
leftsasigkey=0sAQP…(中略)…A9VU9 # 自分の/etc/ipsec.secretsの
pubkeyの値
leftnexthop=%defaultroute
right=ccc.ccc.ccc.ccc #相手
rightsubnet=192.168.0.0/24
rightid=@foo.net
rightsasigkey=0sAQN…(中略)…S6IXIn # 相手の/etc/ipsec.secretsの
pubkeyの値
rightnexthop=%defaultroute
auto=add

と書換えて(各項目はTABでインデント)リスタートすると

# service ipsec start
ipsec_setup: (/etc/ipsec.conf, line 26) unknown parameter name
"plutoload" -- `start' aborted

となってしまいました。

# grep -v ^# /etc/ipsec.conf
version 2.0
config setup
interfaces=%defaultroute
klipsdebug=none
plutodebug=none
plutoload=%search
plutostart=%search
uniqueids=yes

conn %default
type=tunnel
keyingtries=0
authby=secret
keylife=1h
pfs=yes

conn ipsectest
left=aaa.aaa.aaa.aaa
leftnexthop=%defaultroute
leftsubnet=192.168.0.0/24
right=ccc.ccc.ccc.ccc
rightnexthop=%defaultroute
rightsubnet=192.168.1.0/24
auto=add

とした場合にも同様のエラーでした。
このエラーを改善にはどうすればいいのでしょうか?


|目次|掲示板|過去ログ目次|▲頁先頭|