[General] Listen-on= 10.1.3.1 [Phase 1] Default= SECUREWLAN-1 [SECUREWLAN-1] Phase= 1 Transport= udp Configuration= Default-main-mode ID= WLAN [WLAN] ID-type= FQDN Name= wlan.mydomain.privat [Default-main-mode] DOI= IPSEC EXCHANGE_TYPE= ID_PROT Transforms= 3DES-SHA-GRP2-RSA_SIG,BLF-SHA-GRP2-RSA_SIG [Phase 2] Passive-connections= SECUREWLAN-2 [SECUREWLAN-2] Phase= 2 ISAKMP-peer= SECUREWLAN-1 Configuration= Default-quick-mode Local-ID= wlan-router [wlan-router] ID-type= IPV4_ADDR_SUBNET Network= 0.0.0.0 Netmask= 0.0.0.0 [Default-quick-mode] DOI= IPSEC EXCHANGE_TYPE= QUICK_MODE Suites= QM-ESP-AES-SHA-PFS-GRP2-SUITE,QM-ESP-3DES-SHA-PFS-GRP2-SUITEisakmpd.policy:
KeyNote-Version: 2 Comment: Authentication based on CA certificates Authorizer: "POLICY" Licensees: "CA" Authorizer: "CA" Licensees: "DN:/C=DE/ST=NRW/L=Bonn/O=Unix WG/CN=CA" Conditions: app_domain == "IPsec policy" && esp_present == "yes" -> "true";
Beide Dateien dürfen nur für root les- und schreibbar sein. Der Dämon wird permanent über die Variable isakmpd_flags in der /etc/rc.conf aktiviert. Um den Dämon zu starten, muß als root folgender Befehl ausgeführt werden:
# isakmpd
Beim ersten Start empfiehlt es sich, den Dämon im debug-Modus zu starten und zu sehen, ob alles fehlerfrei konfiguriert wurde:
# isakmpd -d -DA=70
Das sollte etwa folgende Ausgabe liefern:
.... Default log_debug_cmd: log level changed from 0 to 70 for class 9 Misc 60 connection_record_passive: passive connection "SECUREWLAN-2" added Plcy 30 policy_init: initializing Cryp 40 x509_read_from_dir: reading certs from /etc/isakmpd/ca/ Cryp 60 x509_read_from_dir: reading certificate ca.crt Cryp 40 x509_read_from_dir: reading certs from /etc/isakmpd/certs/ Cryp 60 x509_read_from_dir: reading certificate wlan.crt Cryp 70 x509_hash_enter: cert 0x116800 added to bucket 16 Cryp 70 x509_hash_enter: cert 0x116800 added to bucket 53 Cryp 40 x509_read_crls_from_dir: reading CRLs from /etc/isakmpd/crls/ Trpt 70 transport_add: adding 0x117200 Trpt 70 transport_add: adding 0x1172c0 Trpt 70 transport_add: adding 0x117300
Beide Zertifikate wurden erfolgreich eingelesen und eine passive Verbindung vorbereitet, der Dämon lauscht jetzt auf UDP-Port 500 und wartet auf Verbindungen von Clientsystemen.
Sollte diese Ausgabe nicht erscheinen, müssen die Zertifikate und Konfigurationsdateien noch einmal sorgfältig überprüft werden.
Viele nützliche und ausführliche Hinweise zur Konfiguration von IPsec unter OpenBSD sind in der englischen FAQ [7] des OpenBSD-Projektes zu finden.