%20%EC%82%AC%EC%9D%B4%EC%9D%98%20LAN%EC%97%90%EC%84%9C%20IPSEC%20%EC%84%A4%EC%A0%95.png)
원래 ServerFault에서 이 질문을 했지만 아무것도 얻지 못했습니다. 여기에 OpenBSD 전문가가 있기를 바랍니다.
LAN의 두 호스트 간에 IPSEC를 사용해 보십시오.VPN이 포함되지 않음
OpenBSD 5.8 사용(VirtualBox에서). 나는 제3자보다는 OpenBSD의 내장 IPSEC 지원을 사용하는 것을 선호합니다.
두 개의 호스트: ( 10.0.2.10호스트 "A") 및 10.0.2.11(호스트 "B")
IPSEC를 설정하기 전에 서로 ping/ssh를 실행할 수 있습니다.
A를 /etc/iked/local.pubB로 복사 B를 A로 /etc/iked/pubkeys/ipv4/10.0.2.10
복사/etc/iked/local.pub/etc/iked/pubkeys/ipv4/10.0.2.11
양쪽:
echo "ikev2 esp from any to any" > /etc/iked.conf
chmod 640 /etc/iked.conf
echo "ipsec=YES" > /etc/rc.conf.local
echo "iked_flags=" >> /etc/rc.conf.local
구성을 확인하세요.
/sbin/iked -n
Configuration OK
다음에 무엇을 해야 할지 혼란스럽습니다. 이것을 설정해야 할 것 같은데 /etc/ipsec.confIKEv1 문서만 찾았습니다.
두 컴퓨터를 모두 다시 시작합니다. 오류가 없습니다. iked 데몬이 시작되었다고 말합니다. 공개 키의 이름을 다른 것으로 바꾸면 여전히 서로 ping할 수 있으므로 IPSEC가 작동하지 않는 것 같습니다.
- 그 밖에 무엇을 구성해야 합니까?
- IPSEC 및 iked 로그가 있습니까? 그렇다면 어디서 찾을 수 있나요?
- 시스템 간 데이터 패킷을 확인하지 않고 구성 후 IPSEC가 제대로 작동하는지 확인하는 방법은 무엇입니까?
고쳐 쓰다:
IKED 없이 IPSEC가 작동하도록 했습니다(제 생각에는?):
/etc/ipsec.conf:
flow esp from 10.0.2.10 to 10.0.2.11
esp transport from 10.0.2.10 to 10.0.2.11 \
spi 0xCAFEBABE:0xCAFEBABE \
authkey 0x64CHARHEX:0x64CHARHEX \
enckey 0x64CHARHEX:0x64CHARHEX
16진수에는 모두 대문자가 필요합니다.
chmod 640 /etc/ipsec.conf
ipsecctl -F (delete config)
ipsecctl -f /etc/ipsec.conf (load config)
ipsecctl -s all -v (show config)
저는 IKE의 자동 키를 사용하는 것을 선호합니다. 어떡해?