Howto

IPSecを使用する:手動鍵処理

ここでは、2台のArmadillo-210をIPSecで通信させる手順を示します。

手動鍵処理を行なうためには、setkeyが必要となります。
ipsec-toolsのコンパイル』を参照してビルドしてください。

1. 設定ファイルの生成スクリプト:setkey.setting

IPSecを動かすためには、鏡映的な設定ファイルが必要となります。
これを手入力で作成し、少しでもミスがあると動作しない可能性が十分にあるので、
ここではスクリプトによる自動生成を行なってみます。
*注意:このスクリプトは、Armadillo-210用です。PCでは使用しないで下さい。

スクリプト:setkey.setting

2. Armadillo-210上での設定

ここでは、FTPを用いて必要なファイルをArmadillo-210に転送したこととします。
IPSecを実現するには、自分(HOST-A)のIPアドレスと相手(HOST-B)のIPアドレスが必要です。

<span class="input">HOST-A側。</span>
[armadillo ~]# cd /home/ftp/pub
[armadillo /home/ftp/pub]# chmod 0777 *
[armadillo /home/ftp/pub]# ./setkey.setting [自分のIPアドレス] [相手のIPアドレス] a
[armadillo /home/ftp/pub]# ./setkey -f ipsec.conf
<span class="input">HOST-B側。</span>
[armadillo ~]# cd /home/ftp/pub
[armadillo /home/ftp/pub]# chmod 0777 *
[armadillo /home/ftp/pub]# ./setkey.setting [自分のIPアドレス] [相手のIPアドレス] b
[armadillo /home/ftp/pub]# ./setkey -f ipsec.conf
[armadillo /home/ftp/pub]# ping [相手のIPアドレス]

pingが通ったら成功です。
ネットワークの経路上でethereal等のパケットキャプチャーソフトを使用すれば、
[IP][AH][ESP]のパケットが見えると思います。

スクリプト:setkey.setting

このスクリプトでは、ipsec.confを作成します。

#!/bin/sh
 
SRC_IP=$1
shift
DST_IP=$1
shift
SELECT=$1
 
if [ "$SELECT" = "a" ] ; then
        SELECT=HOST-A
        HOSTA_IP=$SRC_IP
        HOSTB_IP=$DST_IP
else
        SELECT=HOST-B
        HOSTA_IP=$DST_IP
        HOSTB_IP=$SRC_IP
fi
 
IPSEC_CONF=./ipsec.conf
 
debug_status(){
        echo "### debug status ###"
        echo src_ipaddr=$SRC_IP
        echo dst_ipaddr=$DST_IP
        echo host-a=$HOSTA_IP
        echo host-b=$HOSTB_IP
        echo select=$SELECT
}
 
#
# init
#
initialize(){
        iptables -F INPUT
        iptables -F OUTPUT
        iptables -P INPUT ACCEPT
        iptables -P OUTPUT ACCEPT
        #iptables -A INPUT -p 50 -j ACCEPT
        #iptables -A INPUT -p 51 -j ACCEPT
}
 
#
# create ipsec.conf
#
create_ipsec_conf(){
        cat &gt; $IPSEC_CONF &lt;&lt;EOF
#!/sbin/setkey -f
flush;
spdflush;
 
#AH
add $HOSTA_IP $HOSTB_IP ah 15700 -A hmac-md5 "1234567890123456";
add $HOSTB_IP $HOSTA_IP ah 24500 -A hmac-md5 "1234567890123456";
 
#ESP
add $HOSTA_IP $HOSTB_IP esp 15701 -E 3des-cbc "123456789012345678901234";
add $HOSTB_IP $HOSTA_IP esp 24501 -E 3des-cbc "123456789012345678901234";
spdadd $SRC_IP $DST_IP any -P out ipsec
                esp/transport//require
                ah/transport//require;
spdadd $DST_IP $SRC_IP any -P in ipsec
                esp/transport//require
                ah/transport//require;
EOF
}
 
#
# main
#
debug_status
initialize
create_ipsec_conf