racoon.conf:

//begin of file
path pre_shared_key "/usr/local/etc/racoon/psk.txt";

remote anonymous
{
        exchange_mode main;
        lifetime time 24 hour;

        proposal 
        {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method pre_shared_key;
                dh_group 2;
        }
}

sainfo anonymous
{
        pfs_group 2;
        lifetime time 12 hour;
        encryption_algorithm 3des;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate;
}
//End of file

    path pre_shared_key "/usr/local/etc/racoon/psk.txt" (указываем путь к файлу с предопределёнными ключами psk.txt).

    path certificate "/tmp/certs".

    remote. Указывает, что последующие строки файла конфигурации применяются только к удалённому узлу, задаваемому по IP-адресу. В случае anonimous описанные в секции параметры будут применены ко всем удаленным хостам, за счет чего достигается простота конфигурации.

    • exchange_mode aggressive. Режим проверки подлинности, снижающий накладные расходы соединения и при этом позволяющий иметь разные IPsec-соединения с множеством узлов.
    • my_identifier asn1dn. Означает, что идентификатор сервера, отправляемый удаленному хосту, будет взят из поля Subject сертификата.
    • verify_identifier on. Проверять соответствие идентификатора удаленного хоста и идентификатора, использующегося в поле ID payload.
    • certificate_type x509 "cacert.pem" "key.pem". Указание на тип и файлы сертификата и закрытого ключа сервера.
    • ca_type x509 "public.pem". Указание на файл сертификата клиента.
    • generate_policy on. Автоматически создавать политику IPSec. Это делается в случае, если у клиента динамический IP-адрес, который мы не знаем заранее, и соответственно, не можем заранее установить нужную политику. **Дано для общего развития - в работах использовать не стоит.

    proposal. Эта секция хранит информацию необходимую в фазе 1.

    • hash_algorithm sha1. Указывается алгоритм расчёта хэша, используемый на первой фазе согласования между узлами. По умолчанию используется алгоритм безопасного хэша (Secure Hash Algorithm) версии 1.
    • authentication_method pre_shared_key. Определяет метод проверки подлинности, используемый при согласовании узлов.
    • dh_group 2. Указывается номер группы Диффи-Хелмана для выбора динамически создаваемых ключей сеанса. По умолчанию используется группа из 1024 бит.

     

    sainfo anonymous. Отмечает, что SA может автоматически инициализировать соединение с любым партнёром при совпадении учётных сведений IPsec.

    • pfs_group 2. Определяет протокол обмена ключами Диффи-Хелмана, задающий алгоритм, по которому узлы IPsec устанавливают общий временный ключ сеанса для второй фазы соединения IPsec.Для группы 2 применяется степенная функция по модулю 1024-бит, что предотвращает расшифровывание взломщиками предыдущих сеансов IPsec, даже если закрытый ключ скомпрометирован.
    • lifetime time 12 hour. Этот параметр задаёт срок жизни SA и может быть определяться временем или объёмом данных в байтах.
    • encryption_algorithm 3des, blowfish 448, rijndael. Указываются поддерживаемые алгоритмы шифрования для фазы 2.
    • authentication_algorithm hmac_sha1, hmac_md5. Перечисляются поддерживаемые алгоритмы хэша для проверке подлинности. Поддерживаются режимы sha1 и md5 хэшированных кодов проверки подлинности сообщения (Hashed Message Authentication Codes, HMAC).
    • compression_algorithm deflate. Определяет алгоритм сжатия Deflate для поддержки сжатия IP-заголовков (IP Payload Compression, IPCOMP), что может увеличить скорость передачи IP-датаграм по медленным соединениям.

    "Методы и средства защиты информации". ПетрГУ, 2006.