16.2.2. IPsec インターフェイス
以下の例は、LAN A の network-to-network IPsec 接続の
ifcfg ファイルを示しています。この例では接続を識別する一意の名前は ipsec1 であるため、生成されるファイルには /etc/sysconfig/network-scripts/ifcfg-ipsec1 という名前が付けられます。
TYPE=IPsec ONBOOT=yes IKE_METHOD=PSK SRCNET=192.168.1.0/24 DSTNET=192.168.2.0/24 DST=X.X.X.X
上記の例では、X.X.X.X は宛先 IPsec ルーターの公開されている
IP アドレスです。
以下は、IPsec インターフェイスの設定可能なパラメーターの一覧です。
- DST=<address>
- ここで 、<address > は IPsec 宛先ホストまたはルーターの
IPアドレスです。これは、ホスト間およびネットワーク間 IPsec 設定の両方に使用されます。 - DSTNET=<network>
- ここで 、<network > は IPsec 宛先ネットワークのネットワークアドレスです。これは、ネットワーク間 IPsec 設定にのみ使用されます。
- SRC=<address>
- ここで 、<address > は IPsec ソースホストまたはルーターの
IPアドレスです。この設定はオプションで、ホスト間の IPsec 設定にのみ使用されます。 - SRCNET=<network>
- ここで 、<network > は IPsec ソースネットワークのネットワークアドレスです。これは、ネットワーク間 IPsec 設定にのみ使用されます。
- TYPE=<interface-type>
- ここで 、<interface-type> は IPSEC です。どちらのアプリケーションも ipsec-tools パッケージに含まれます。
IPsec を使用した手動キー暗号化を使用する場合は、設定パラメーターについて
/usr/share/doc/initscripts- <version-number> /sysconfig.txt (< version-number > を initscripts パッケージのバージョンに置き換えます)を参照してください。
racoon IKEv1 キー管理デーモンは、IPSec のパラメーターセットをネゴシエートして設定します。事前共有キー、RSA 署名、または GSS-API を使用できます。キーの暗号化を自動的に管理するために racoon が使用される場合は、以下のオプションが必要です。
- IKE_METHOD=<encryption-method>
- ここで 、<encryption-method& gt; は PSK、X509、または GSSAPI のいずれかです。PSK を指定する場合は、IKE_PSK パラメーターも設定する必要があります。X509 を指定する場合は、IKE_CERTFILE パラメーターも設定する必要があります。
- IKE_PSK=<shared-key>
- ここ で、<shared-key > は PSK (事前共有鍵)メソッドの共有秘密値です。
- IKE_CERTFILE=<cert-file>
- ここで 、<cert-file > は、ホストの有効な
X.509証明書ファイルです。 - IKE_PEER_CERTFILE=<cert-file>
- ここで 、<cert-file > は、リモート ホストの有効な
X.509証明書ファイルです。 - IKE_DNSSEC=<answer>
- ここで、<answer> は yes になります。racoon デーモンは、DNS 経由でリモートホストの
X.509証明書を取得します。IKE_PEER_CERTFILE が指定されている場合は、このパラメーターを含め ない でください。
IPsec で利用可能な暗号化アルゴリズムの詳細は、setkey の man ページを参照してください。racoon の詳細は、racoon および racoon.conf の man ページを参照してください。
