next up previous contents
Next: 7.3.3.2 公開鍵を使った方法 Up: 7.3.3 IKEの設定 Previous: 7.3.3 IKEの設定

7.3.3.1 racoonの設定

racoon をパッケージからインストールすると、設定ファイルのサンプルが /usr/local/etc/racoon/ に展開されます。

    # ls /usr/local/etc/racoon/
    psk.txt.dist            racoon.conf.dist

psk.txt.dist は preshared(事前共有) key のサンプルファイルで、 racoon.conf.dist が racoonの設定ファイルracoon.conf のサンプルです。

例によって、/etc/rc.conf に以下のように、racoon が動作できるように設定します。

# /etc/rc.conf の末尾
racoon_enable="YES"

これらを設定していると、起動時に自動的に racoon が立ち上がります。 実際には、/usr/local/etc/rc.d/racoon.sh が起動スクリプトから呼び 出されるようになっています。手動で動かす場合には、以下のようにします。 (勿論、/etc/rc.conf に変数を設定していた場合の話です)

    # /usr/local/etc/rc.d/racoon.sh  start

あるいは直接 racoon を呼び出しても構いません。

    # /usr/local/sbin/racoon  -l   /var/log/racoon.log

ここでは、-l オプションをつけて、/var/log/racoon.log にログを取るように しています。

racoon の設定は racoon.conf に全てがありますので、racoon を動かす 前に設定ファイルを書かねばなりません。

以下に、事前共有鍵認証でのracoon.confの例を掲げます。

# search this file for pre_shared_key with various ID key.
path pre_shared_key "/usr/local/etc/racoon/psk.txt" ;

remote anonymous
{
        exchange_mode aggressive,main;
        my_identifier fqdn "dns.s01.wakhok.ac.jp";
        # peers_identifier fqdn "dns.s01.wakhok.ac.jp";
        proposal {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method pre_shared_key ;
                dh_group 2 ;
        }
}

sainfo anonymous
{
        pfs_group 2;
        lifetime time  12 hours ;
        encryption_algorithm 3des ;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate ;
}

  1. path pre_shared_key 事前共有鍵のファイル名
    相手のIDに対応する秘密鍵を保持しているファイルを指定します。デフォルト のままで構いませんが、ここには秘密鍵が入るので、パーミッションには 注意しましょう。
         # chmod og-rwx /usr/local/etc/racoon/psk.txt
    
    psk.txt は相手のIDと鍵を空白で区切って、一行に一つづつ書きます。

        # pre-shared key file for IKE
        2001:2f8:43:a000:290:39ff:fe88:77   secret-key-hogehoge
        kanayama@wakhok.ac.jp                my-secret-key-kana
        dns.s01.wakhok.ac.jp             my-host-secret-key
    

    相手のIDが提示されたら、それに対する秘密鍵をこのファイルから検索します。 相手のIDとして利用可能なものは、以下の通りです。

    ID
    IPアドレス 2001:2f8:43:a000::500
    FQDN(Full Qualified Domain Name) dns.s01.wakhok.ac.jp
    メイルアドレス kanayama@wakhok.ac.jp

  2. remote フェーズ1の設定
    IKE SA を確立するフェーズ1に関する設定が remote ディレクティブです。 remote は以下の書式に従います。

    remote ( address | anonymous ) [ port ] { 設定 }

    remote は必ず接続してくる、あるいは接続する 相手をIPアドレスで指定します。但し、anonymous を指定すると、 全ての相手に対してその設定が利用されます。勿論、複数のremoteディレクティブ を書いても良く、その場合にはanonymous は他のディレクティブに該当しない 場合に最後に適用されます。

    portはフェーズ1で使うポート番号を指定します。デフォルトは500番ですので、 これは理由のない限り変更しなくて良いでしょう。

        # 例
        remote 2001:2f8:43:a000::500 { ... } # 特定の相手との場合
        remote anonymous { ... }              # 不特定の相手に適用
    

    中括弧 ( { } )の中に、その接続相手に対する設定を指定します。 そこで指定できる設定の主なものは以下の通りです。


next up previous contents
Next: 7.3.3.2 公開鍵を使った方法 Up: 7.3.3 IKEの設定 Previous: 7.3.3 IKEの設定
Noriyo Kanayama