Zaurus SL-C750 + PLANEX GW-CF11HでIPsec
Zaurus SL-C750 + PLANEX GW-CF11H(CF型無線LANカード)を使って、FreeBSD 4.10-STABLEとの間でトンネルを張ってみました。その時のメモです。
192.168.250.20/24 192.168.250.254/24
| |
v v
+-------+ +------------+ +-----------+
|SL-C750| ... |Access Point+----+FreeBSD BOX+--->内部LAN(192.168.0.0/22)
+-------+ +------------+ +-----------+
| ^ | ^
| | | |
| 192.168.250.252 | 192.168.1.1/22
| |
|<--- トンネル区間 ---->|
無線LANの設定
無線LANの設定は次のように設定。対向の無線アクセスポイントもお話ができるよう適当に設定。
- ESSIDあり、通信方式:アクセスポイント
- WEP40bit、16進指定
- PPPoE使用しない
- web認証使用しない
- IP:192.168.250.20, netmask:255.255.255.0, gateway:192.168.250.254
- DNS:192.168.1.2, ドメイン:example.co.jp
- プロキシ使用しない
VPNの設定
アクセスポイントとzaurusの間でpingが普通に折り返す事を確認して、VPNの設定を以下のように設定。
- サーバー:192.168.250.254
- ID:192.168.254.20
- 暗号化:ESP, アルゴリズム:3DES
- ハッシュ:SHA1
- 鍵共有アルゴリズム:グループ2, PFS:有効
- 圧縮:DEFLATE
- ID Type:自動選択
対向のFreeBSD boxのipsec.confはこんな感じ。
# zaurus
spdadd 192.168.250.20/32 192.168.250.254/32 icmp -P in none;
spdadd 192.168.250.254/32 192.168.250.20/32 icmp -P out none;
spdadd 192.168.250.20/32 0.0.0.0/0 any -P in ipsec esp/tunnel/192.168.250.20-192.168.250.254/require;
spdadd 0.0.0.0/0 192.168.250.20/32 any -P out ipsec esp/tunnel/192.168.250.254-192.168.250.20/require;
最初の2行がハマリpoint。どうやら、ゲートウェイまでpingが飛ぶか確認できないと「仮想専用線(VPN)接続開始」というボタンが出て来ないようです。ご注意ください。
ikeにracoonを使っているので、racoon.confは次のような内容。
path pre_shared_key "/usr/local/etc/racoon/psk.txt" ;
#log debug;
padding {
maximum_length 20;
randomize off;
strict_check off;
exclusive_tail off;
}
timer {
counter 5;
interval 10 sec;
persend 1;
phase1 30 sec;
phase2 15 sec;
}
remote anonymous {
exchange_mode main,aggressive;
doi ipsec_doi;
situation identity_only;
nonce_size 16;
lifetime time 8 hour;
initial_contact on;
proposal_check obey;
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
}
}
sainfo anonymous {
pfs_group 2;
encryption_algorithm 3des,blowfish,cast128;
authentication_algorithm hmac_sha1,hmac_md5;
compression_algorithm deflate ;
}
おまじないとしてsysctlで「net.key.prefered_oldsa=0」も指定しておくとよいかもしれません。何を意味するかはマニュアルでご確認ください。
正確には
- 5.x系 ... net.key.preferred_oldsa
- 4.x系 ... net.key.prefered_oldsa
です。(2005.10.6 訂正)
戻る
![[Powered by FreeBSD]](/images/powerlogo.gif)
みずたに まさき
Your are using
,
from 38.107.191.81
CCBot/1.0 (+http://www.commoncrawl.org/bot.html)
Last modified: Tue Oct 6 10:45:03 JST 2005