Eu perguntei isso originalmente no ServerFault, mas não consegui nada. Esperando que haja alguns especialistas do OpenBSD aqui
Tentando usar o IPSEC entre dois hosts em uma LAN. Nenhuma VPN envolvida
Usando o OpenBSD 5.8 (no VirtualBox). Eu prefiro usar o suporte embutido do OpenBSD para IPSEC e não um terceiro.
Dois hosts: 10.0.2.10 (host "A") e 10.0.2.11 (host "B")
Eles podem pingar / ssh uns aos outros antes de tentar configurar o IPSEC.
Copied A's /etc/iked/local.pub para B's /etc/iked/pubkeys/ipv4/10.0.2.10
/etc/iked/local.pub de B copiado para A /etc/iked/pubkeys/ipv4/10.0.2.11
Em ambos:
echo "ikev2 esp from any to any" > /etc/iked.conf
chmod 640 /etc/iked.conf
echo "ipsec=YES" > /etc/rc.conf.local
echo "iked_flags=" >> /etc/rc.conf.local
Verifique a configuração:
/sbin/iked -n
Configuration OK
Estou confuso sobre o que fazer a seguir. Acho que preciso configurar o /etc/ipsec.conf , mas só encontrei a documentação do IKEv1 por aí.
Reiniciou as duas máquinas. Sem erros. Diz que o daemon iked foi iniciado. Se eu renomear as chaves públicas para qualquer coisa, ainda posso pingar umas nas outras, então o IPSEC não parece estar funcionando.
ATUALIZAÇÃO:
Eu tenho IPSEC funcionando sem o IKED (eu acho?):
/etc/ipsec.conf :
flow esp from 10.0.2.10 to 10.0.2.11
esp transport from 10.0.2.10 to 10.0.2.11 \
spi 0xCAFEBABE:0xCAFEBABE \
authkey 0x64CHARHEX:0x64CHARHEX \
enckey 0x64CHARHEX:0x64CHARHEX
hex precisa estar em maiúsculas
chmod 640 /etc/ipsec.conf
ipsecctl -F (delete config)
ipsecctl -f /etc/ipsec.conf (load config)
ipsecctl -s all -v (show config)
Eu prefiro usar a codificação automática do IKE. O que posso fazer?