Differences

This shows you the differences between two versions of the page.

--- doc:appunti:linux:sa:ipsec [2016/12/13 11:31] – [IPSEC con Debian GNU/Linux] niccolo
+++ doc:appunti:linux:sa:ipsec [2018/01/08 12:24] (current) – [Configurazione Debian 8 Jessie] niccolo
@@ Line 33: / Line 33: @@
         hash_algorithm md5;
         authentication_method pre_shared_key;
-        dh_group modp768;
+        dh_group modp1024;
     }
-    # Verifica l'identita' del peer su /etc/racoon/psk.txt con l'indirizzo IP.
+    # Verifica l'identita' del peer su psk.txt con l'indirizzo IP.
     peers_identifier address "5.20.195.220";
     verify_identifier on;
     initial_contact on;
+    lifetime time 86400 seconds;
+    #proposal_check obey;
+    #nat_traversal on;
 }
@@ Line 45: / Line 48: @@
     authentication_algorithm hmac_md5,hmac_sha1;
     compression_algorithm deflate;
+    lifetime time 43200 seconds;
 }
 </file>
+**NOTA**: Se non si usa l'opzione **proposal_check obey** è necessario impostare le stesse identiche opzioni tra le due parti, compresi i **lifetime time**, ecc., altrimenti la connessione fallisce. Per effettuare il debug dei parametri non corrispondenti è necessario impostare almeno **log debug** in **/etc/racoon/racoon.conf**.
 **/etc/racoon/psk.txt**
@@ Line 55: / Line 60: @@
 </file>
+Per fermare e riavviare il servizio:
+<code>
+systemctl stop racoon
+systemctl stop setkey
+systemctl start setkey
+systemctl start racoon
+</code>
+Il traffico IPSEC va ovviamente gestito in maniera opportuna poiché non corrisponde al criterio standard MASQUERADE di iptables. Ad esempio [[#configurazione_firewall_shorewall|Shorewall]] ha delle direttive apposite per gestire IPSEC.
+In generale si potrà testare la VPN con un ping, a patto di usare gli indirizzi IP sul lato LAN:
+<code>
+ping -I 192.168.10.254 192.168.20.1
+</code>
 ===== Pezzi di IPSEC per Linux =====