Racoon: различия между версиями

Racoon (VPN) сервер

Racoon позволяет осуществлять VPN-соединения типа "транспорт" или "туннель" между компьютерами и целыми подсетями. Представляет собой собственно сервис для осуществления первой фазы соединения и задания правил фазы 2. Основных утилит по работе с VPN-соединением две: racoonctl и setkey, функционал которых несколько пересекается. Команда racoon - собственно демон - ничего интересного. Приведем несколько полезных команд...

(Бес)Полезные команды

• /etc/init.d/racoon start|stop|restart|status - позволяет управлять службой, но делать это стоит крайне осторожно, дело в том, что рестарт этой службы обрубит соединения и вычистит куки, сохраненные после фазы 1. Может так получиться, что вторая сторона будет продолжать их требовать при попытке снова подключиться (вместо полноценной процедуры обмена сертификатами и пр.), что помешает восстановить соединение, пока, например, второй сервер не будет перезапущен тоже...

• racoonctl reload-config - без разрыва имеющихся соединений позволяет применить новые настройки - рекомендую использовать вместо рестарта службы.

• racoonctl vpn-connect|vpn-disconnect <ip_gateway_of_the_2th_side> - явная попытка подключиться. Замечу, что при правильной настройке такое подключение осуществляется неявно при любом запросе удаленной стороны (ping, ssh и т.п.). Команды малополезны: об ошибках они НЕ сообщают. Все ошибки сыпятся в /var/log/messages.

• setkey -DP - показывает "шаблоны" соединений (должны быть нетривиальные записи даже до установленного соединения).
• setkey -DH (полный аналог: racoonctl show-sa ipsec) - показывает установленные соединения (обычно парами: из А в В, из В в А) с некоторой статистикой

• racoonctl show-sa isakmp - показывает сохраненные куки для соединений (результат фазы 1)