Configuración IPsec en debían etch

lo primero que debemos hacer es instalar el paquete ipsec-tools

apt-get install ipsec-tools

luego editamos el archivo de configuración ipsec-tools.conf, primero

descomentar las siguientes lineas:

flush;
spdflush;

si queremos implementar AH agregamos las siguientes lineas:

#AH#
add IPlocal IPdestino ah 0x200 -A hmac-md5 0x"clave generada de 128 bits";
add IPdestino IPlocal ah 0x300 -A hmac-md5 0x"clave generada de 128 bits";
#
#politicas de seguridad#
spdadd 192.168.1.1 192.168.1.2 any -P out ipsec
ah/transport//require;
# esp/transport//require;
spdadd 192.168.1.2 192.168.1.1 any -P in ipsec
ah/transport//require;
# esp/transport//require;

(las claves mencionadas se generan con el comando; esta clave la debe tener
el equipo con el que nos queremos conectar para la negociación de la
seguridad en las mismas líneas que mencionamos anteriormente)

dd if=/dev/random count=16 bs=1| xxd -ps para AH

dd if=/dev/random count=24 bs=1| xxd -ps para ESP

si queremos implementar ESP agregamos las siguientes lineas:

#ESP#
add IPlocal IPdestino esp 0x200 -E 3des-cbc 0x"clave generada de 192 bits";
add IPdestino IPlocal esp 0x300 -E 3des-cbc 0x"clave generada de 192 bits";
#
#politicas de seguridad#
spdadd 192.168.1.1 192.168.1.2 any -P out ipsec
esp/transport//require;
# ah/transport//require;
spdadd 192.168.1.2 192.168.1.1 any -P in ipsec
esp/transport//require;
# ah/transport//require;

y provamos si la configuracion esta buena con el siguiente comando:

setkey -f /etc/ipsec-tools.conf

luego instalamos el paquete tcpdump para mirar la autenticación de los

paquete mediante un ping sea por AH o ESP

apt-get install tcpdump

ahora podemos comprobar si esta funcionando con el siguiente comando:

tcpdump -i eth0 src host 192.168.1.1 or dst 192.168.1.2

hasta aqui todo debe estar correcto.

configuracion del racoonesto se instala para trabajar con certificados

digitales o claves precompartidas

instalamos el paquete racoon (durante la instalacion nos pregunta el modo de

configuracion para el demonio IKE de racoon, al que configuraremos en modo
directo)

apt-get install racoon

luego de la instalacion verificamos la creacion de tres archivos en el directorio

racoon:
/etc/racoon/psk.txt
/etc/racoon/racoon.conf
/etc/racoon/racoon-tool.conf
ahora editamos el archivo psk.txt, comentamos todas las lineas y agregamos
las siguientes:
pico /etc/racoon/psk.txt
#direcciones IPv4
192.168.1.1
192.168.1.2 0x"clave generada de 128 bits";
# USER_FQDN
cuenta@dominio.net
# FQDN
Luego editamos el archivo racoon.conf, comentamos la linea #path certificate
"/etc/racoon/certs"; para trabajar con clave precompartida, y copiamos o
modificamos la ipremota con quien trabajaremos.
path pre_shared_key "/etc/racoon/psk.txt";
#path certificate "/etc/racoon/certs";

remote 192.168.1.2 {
exchange_mode main,aggressive;
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group modp1024;
}
generate_policy off;
}
sainfo address 192.168.1.2[any] any address 192.168.1.1/24[any] any {
pfs_group modp768;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}

sainfo address 192.168.1.1[any] any address 192.168.1.2/24[any] any {

pfs_group modp768;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}

luego reiniciamos el racoon.

/etc/init.d/racoon restart
Y ya solo queda comprobar que todo esta funcionando correctamente, todo
debe estar bien.
tcpdump -i eth0 src host 192.168.1.1 or dst 192.168.1.2